对一个网络安全情况进行评估,就是要关注哪个地方是最脆弱的。


针对一个二层交换环境,最不安全的就是接入层的交换机


二层交换安全:


1、con口登入密码


  line con 0

  login

  password cisco


2、vty线下密码


  line vty 0 935

  login

  password cisco


3、enable密码


  enable password cisco

  enable secret cisco


4、将配置文件的明文密码加密


  service password-encryption之后的明文密码都将被加密


  no service password-encryption 之前已加密将保持原样


  后续的明文密码将不被加密


MD5是一种加密算法不可逆,不等长输入,等长输出的散列函数,输出长度为128位


SHA-1是比MD5更安全的散列函数,长度为160位


5、提供相关登陆的banner信息,提示用户


6、远程登陆尽量使用SSH,而非telnet


7、端口安全port-security

 switchport port-security 端口安全开启开关

 switchport port-security mac-address mac_addree/sticky 端口怎样记录mac地址

 switchport port-security  maximum num                  端口最大MAC地址记录数

 switchport port-security violation shutdown/restrict/protect  端口安全的惩罚机制

 当端口变成errdisable的话,有两种方式可以恢复:


 1、先shutdown ,后no shutdown


 2、使用errdisable recovery cause psecure自动恢复


 3、设置恢复间隔errdisable recovery interval 30 30秒自动恢复


port-security默认的惩罚机制是shutdown ,也就是让端口errdisable


protect就是简单的丢弃,而restrict丢弃并生成日志发送


部署端口安全工程建议:连接服务器的端口使用静态手工绑定MAC地址,而普通的用户PC


使用sticky粘滞功能获得并绑定用户PC的MAC地址