*第2章:基本的交換概念和配置

BasicSwitchingConceptsandConfiguration第二學期：路由和交換RoutingandSwitching北京郵電大學思科網絡技術學院學習目標解釋靜態(tài)路由的優(yōu)點和缺點配置思科交換機的初始設置配置交換機端口以滿足網絡需求配置管理交換機虛擬接口說明交換環(huán)境中的基本安全攻擊說明交換環(huán)境中的最佳安全實踐配置端口安全功能以限制網絡訪問第2章:基本的交換概念和配置2.0簡介2.1基本交換機配置2.2交換機安全：管理和實施2.4總結*2.1基本交換機配置

BasicSwitchConfiguration北京郵電大學思科網絡技術學院基本交換機配置

交換機啟動順序POST運行啟動加載器軟件啟動加載器執(zhí)行低級CPU初始化啟動加載器初始化閃存文件系統(tǒng)啟動加載器定位并加載默認IOS操作系統(tǒng)軟件映像到內存，而且將對交換機的控制權交給IOS?；窘粨Q機配置

交換機啟動順序為了查找適當?shù)?/p>

IOS映像，交換機進行以下步驟：交換機嘗試通過使用BOOT環(huán)境變量中的信息自動啟動如果沒有設置此變量，交換機會對整個閃存文件系統(tǒng)進行徹底的搜索。如果可以，交換機會加載并執(zhí)行第一個可執(zhí)行文件。IOS操作系統(tǒng)然后使用配置文件（存儲在NVRAM中的啟動配置）中找到的CiscoIOS命令初始化接口。注意：bootsystem命令可用于設置BOOT環(huán)境變量?；窘粨Q機配置

從系統(tǒng)崩潰中恢復如果無法加載IOS，啟動加載器還可用于管理交換機?？刹捎靡韵路绞酵ㄟ^控制臺連接訪問啟動加載器：通過控制臺電纜將PC連接到交換機控制臺端口。拔下交換機電源線。將電源線重新連接到交換機并按住

Mode（模式）按鈕。系統(tǒng)LED迅速變?yōu)殓晟?，然后變?yōu)榧兙G色。釋放Mode（模式）按鈕。PC上的終端仿真軟件中出現(xiàn)啟動加載機switch:提示符?；窘粨Q機配置

交換機LED指示燈CiscoCatalyst交換機的每個端口都有狀態(tài)LED指示燈。默認情況下，這些LED燈反映端口活動，但它們也通過Mode（模式）按鈕提供其他有關交換機的信息。以下模式可用于CiscoCatalyst2960交換機：系統(tǒng)

LED冗余電源系統(tǒng)(RPS)LED端口狀態(tài)LED端口雙工LED端口速度LED以太網供電(PoE)模式LED基本交換機配置

交換機LED指示燈CiscoCatalyst2960

交換機模式基本交換機配置

準備基本交換機管理基本交換機配置

準備基本交換機管理配置交換機端口

雙工通信

在全工模式下,NIC上的碰撞檢測電路被禁用。配置交換機端口

在物理層配置交換機端口配置交換機端口

MDIX自動功能連接設備時需要特定類型的電纜（直通或交叉）自動介質相關接口交叉(auto-MDIX)功能可排除此問題啟用auto-MDIX后，接口會自動檢測并適當?shù)嘏渲眠B接。在接口上使用auto-MDIX時，必須將接口速度和雙工設置為自動配置交換機端口

MDIX自動功能配置交換機端口

MDIX自動功能配置交換機端口

檢驗交換機端口配置配置交換機端口

顯示接口狀態(tài)和統(tǒng)計配置交換機端口

顯示接口狀態(tài)和統(tǒng)計配置交換機端口

交換機介質（連接）問題故障排除*2.2交換機安全:管理和實施

SwitchSecurity:Management

andImplementation北京郵電大學思科網絡技術學院安全遠程訪問

SSH工作原理安全外殼(SSH)是一種為遠程設備提供基于安全（加密）命令行的連接的協(xié)議SSH通常用于UNIX系統(tǒng)CiscoIOS還支持SSH為了啟用Catalyst2960交換機上的SSH，需要包括加密功能和能力的IOS軟件版本由于其強大的加密功能，SSH應該取代用于管理連接的Telnet默認情況下，SSH使用TCP端口22。Telnet使用TCP端口23安全遠程訪問

配置SSHCiscoIOS:>=12.1(T),支持SSH主機名稱

(不要使用默認主機名稱)域名

(必須定義)本地

認證

或者

AAA需要

用戶名和密碼安全遠程訪問

檢驗SSHLAN中的安全問題

MAC地址泛洪如果流量無法在其CAM表中找到目的MAC，交換機將通過所有端口轉發(fā)流量交換機通過監(jiān)控進入其端口的流量自動填寫其CAM表在這些情況下，交換機充當集線器。連接至交換機的所有設備均可查看單播流量通過使用PC運行MAC泛洪工具，攻擊者可以利用該行為訪問通常由交換機控制的流量。最終，偽造MAC地址會充滿CAM表LAN中的安全問題

MAC地址泛洪使用偽造條目泛洪CAM表的攻擊者LAN中的安全問題

MAC地址泛洪交換機現(xiàn)在充當集線器LAN中的安全問題

DHCP欺騙DHCP是一種用于自動分配IP信息的網絡協(xié)議兩種DHCP攻擊是：DHCP欺騙DHCP耗竭在DHCP欺騙攻擊中，攻擊者將偽造DHCP服務器放在網絡中，以將DHCP地址發(fā)往客戶端。通常在DHCP欺騙攻擊之前使用DHCP耗竭以拒絕合法DHCP服務器的服務LAN中的安全問題

DHCP欺騙要緩解DHCP攻擊，請使用CiscoCatalyst交換機上的DHCP偵聽和端口安全功能。LAN中的安全問題

利用CDPCDP攻擊安全最佳實踐

10項最佳實踐UseHTTPSinsteadofHTTPShutdownservicesandports

BackupEducate安全最佳實踐

10項最佳實踐安全最佳實踐

網絡安全工具：選項網絡安全防火墻入侵防御系統(tǒng)操作系統(tǒng)編程網絡協(xié)議(如TCP/IP)安全最佳實踐

網絡安全工具：審計網絡安全工具可用于審計網絡通過監(jiān)控網絡，管理員可以評估攻擊者能夠收集的信息類型例如，通過攻擊和泛洪交換機的CAM表，管理員可以獲知哪些交換機端口容易遭受MAC泛洪并糾正該問題網絡安全工具還可用作滲透測試工具交換機端口安全

保護未使用的端口禁用未使用的端口是一種簡單但有效的安全原則交換機端口安全

DHCP探聽交換機端口安全

端口安全：操作端口安全限制端口上所允許的有效MAC

地址的數(shù)量允許訪問合法設備的MAC地址，而拒絕訪問其他

MAC地址任何通過未知MAC地址進行連接的其他嘗試都會導致安全違規(guī)可以通過多種方式配置安全MAC

地址：靜態(tài)安全MAC地址動態(tài)安全MAC地址粘滯安全MAC地址交換機端口安全

端口安全：違規(guī)模式當出現(xiàn)以下任一情況時，IOS會將其視為安全違規(guī)：CAM中添加了該接口最大數(shù)量的安全MAC地址，MAC地址不在地址表中的站點嘗試訪問接口。在一個安全接口上學習或配置的地址出現(xiàn)在同一個VLAN

中的另一個安全接口上。交換機端口安全

端口安全：配置動態(tài)端口安全默認值交換機端口安全

端口安全：配置配置動態(tài)端口安全交換機端口安全

端口安全：配置配置端口安全粘滯交換機端口安全

端口安全：檢驗檢驗端口安全粘滯交換機端口安全

端口安全：檢驗

交換機端口安全

端口處于錯誤禁用狀態(tài)端口安全違規(guī)會使交換機處于錯誤禁用狀態(tài)實際關閉處于錯誤禁用狀態(tài)的端口交換機將通過控制臺消息傳達這些事件交換機端口安全

端口處于錯誤禁用狀態(tài)showinterface

命令也顯示了處于錯誤禁用狀態(tài)的交換機端口交換機端口安全

端口處于錯誤禁用狀態(tài)必須發(fā)出shutdown/noshutdown接口命令重新啟用端口交換機端口安全

網絡時間協(xié)議(NTP)NTP是一種用于同步計算機系統(tǒng)數(shù)據網絡時鐘的協(xié)議路由器的日期和時間設置可以通過以下兩