行至水穷处，坐看云起时

转自 http://blog.sina.com.cn/s/blog_5374d6e30100smmp.html 李晓红的新浪博客

常见办公网安全问题：
1、arp欺骗
2、耗尽dhcp server的IP池
3、私设dhcp server
4、私设IP地址，绕过dhcp server的IP分配策略
5、产生大量dhcp分配请求，使dhcp server无法响应导致拒绝服务攻击
6、产生大量arp请求，使目标无法响应正常的arp请求导致的拒绝服务攻击
7、产生其它大量的服务请求包，如icmp，导致目标cpu过高，无法处理别的请求等
8、在本来接办公电脑的端口上，私接交换机

每个厂家的交换机都有一定的防护措施，但是不一定能堵住所有漏洞。另外，既便针对同一个安全问题，厂家的措施不一定能全部能堵住。

最好是交换机跟dhcp服务配合在一起，来防止arp欺骗、私设IP等，原理是交换机监听dhcp请求与响应的包，在内部建立一张端口、MAC地址与IP的表，这样在某个端口收到arp请求或响应包，就可以判断是不否是arp欺骗了，另外也可以在端口上收到IP包时，看它的源地址是否与内部登记中的一致，如果不一致，就属于私设IP，直接丢弃，这样也就达到了避免私设IP的效果了。

下面是针对华为的S2352和S3328的文档整理的安全配置方法，请参考。

作用：限制icmp包的数量，减少对CPU的占用，防止大量ICMP包攻击
适用：3层交换机，避免网关IP被大量ICMP包攻击
icmp rate-limit total threshold 50

作用：避免下连的设备伪造大量MAC地址过来，产生的危害，如大量进行dhcp请求而用光dhcp server的可用IP，从而导致正常用户无法获得IP；可以用来避免端口下连交换机，只允许连服务器，方法是限制动态学到的mac地址条目数为1
适用：适用于接入或3层交换机，一般配置在接入交换机上
mac-address restrict  (起用mac地址限制功能)
interface Ethernet0/0/1  (针对指定的接口配置，如下连用户设备的接口一般都要配)
mac-table limit 3 (限制动态学到的mac地址条目数为3)
port-security enable (起用指定端口的安全功能)

作用：避免各种针对dhcp动态分配IP服务的攻击，arp欺骗
适用：接入和3层交换机，一般配置在接入交换机上
dhcp snooping enable (全局起用dpch探测功能)
dhcp snooping arp security enable (防止arp欺骗)
vlan 1  (每个vlan都需要配，如果需要加固的话)
dhcp snooping enable  (起用指定vlan的探测功能)
dhcp snooping check arp enable (检查arp请求和应答，防止arp欺骗)
dhcp snooping check ip enable (检查所有IP包，避免用户绕过dhcp，私设IP)
dhcp snooping check dhcp-rate enable (限制1秒内可能的dhcp请求数，避免攻击dhcp 服务器)
dhcp snooping trusted interface Ethernet0/0/48 (避免私设dhcp server，只有trusted接口中能收到dhcp server的包，别的接口收到之后直接丢弃)
dhcp option82 rebuild enable interface Ethernet0/0/1 to 0/0/47 (支持上面的各项功能的配置项，建议加上，不加不知道行不行，没有试过)

作用：避免伪造的arp回应毒害arp条目，收到arp响应后，只有此前请求过对应的IP，才接受，反之丢弃
适用：3层交换机
arp learning strict

作用：避免某个条目在短时间内多次修改
达用：3层交换机
arp-suppress enable

如何在华为交换机上查询MAC地址？可以用display mac，假如想查询某端口上的MAC地址可以用dis mac int port-number。

那如何在交换机上显示MAC与IP地址的对应关系呢？可以用dis arp命令。假如想知道某端口上的IP地址与MAC地址的对应关系，可以用display arp | include <包含字符> 这样的命令。

真不错，还支持管道符号。。。

一条查ip冲突比较有效的命令，在linux下可用

arping -U -I eth1 -s 210.41.192.22 -c 5 192.168.1.1

用这条命令，就可以在210.41.192.22这么一台机器上，将ip地址设置为192.168.1.1的机器全部抓出来，有什么用呢？ 查ip冲突的时候有用，以及想查内网中有什么人把路由器当交换机在使用的时候有用，方便屏蔽封锁。

交换机基本操作 
1.进入特权模式 
Switch>enable 
Switch# 
2.返回用户模式 
Switch#exit 
Press RETURN to get started! 
Switch> 
配置模式： 
全局配置模式[主机名(config)#]:配置交换机的整体参数 
子模式: 
1.线路配置模式[主机名(config-line)#]:配置交换机的线路参数 
2.接口配置模式[主机名(config-if)#]:配置交换机的接口参数 

1.进入全局配置模式下 
Switch#configure terminal 
Switch(config)#exit 
Switch# 
2.进入线路配置模式 
Switch(config)#line console 0 
Switch(config-line)#exit 
Switch(config)# 
3.进入接口配置模式 
Switch(config)#interface fastEthernet 0/1 
Switch(config-if)#exit 
Switch(config)# 

从子模式下直接返回特权模式 
Switch(config-if)#end 
Switch# 

交换机操作帮助特点： 
1.支持命令简写(按TAB键将命令补充完整) 
2.在每种操作模式下直接输入“?”显示该模式下所有的命令 
3.命令空格 “?”显示命令参数并对其解释说明 
4.字符“?”显示以该字符开头的命令 
5.命令历史缓存: (Ctrl+P)显示上一条命令,(Ctrl+N)显示下一条命令 
6.错误提示信息 

交换机显示命令： 
显示交换机硬件及软件的信息 Switch#show version 
显示当前运行的配置参数 Switch#show running-config 
显示保存的配置参数 Switch#show configure 

常用交换机EXEC命令 
将当前运行的配置参数复制到flash：Switch#write memory 
Building configuration... 
[OK] 
Switch# 
清空flash中的配置参数：Switch#delete flash:config.text 
Switch# 
交换机重新启动：Switch#reload 
System configuration has been modified. Save? [yes/no]:n 
Proceed with reload? [confirm] 

配置交换机主机名：Switch(config)#hostname S2126G 
S2126G(config)# 

配置交换机口令： 
1、 配置交换机的登陆密码 
S2126G(config)#enable secret level 1 0 star 
“0”表示输入的是明文形式的口令 
2、 配置交换机的特权密码 
S2126G(config)#enable secret level 15 0 Star 
“0”表示输入的是明文形式的口令 

常用交换机配置命令： 
1、为交换机分配管理IP地址 
S2126G(config)#interface vlan 1 
S2126G(config-if)#ip address {IP address} {IP subnetmask}[secondary] 
2、将接口启用 
S2126G(config-if)#no shutdown 
3、将接口关闭 
S2126G(config-if)#shutdown 
4、配置接口速率 
S2126G(config-if)#speed [10|100|auto] 
5、配置接口双工模式 
S2126G(config-if)#duplex [auto|full|half 

显示接口状态：S2126G#show interfaces 
测定目的端的可达性：S2126G>ping {IP address} 
从TFTP服务器下载配置参数：S2126G#copy tftp startup-config 
管理交换机MAC地址表： 
1、查看MAC地址表 
S2126G#show mac-address-table 
2、配置MAC地址表记录的生存时间(缺省为300秒) 
S2126G(config)#mac-address-table aging-time <10-1000000> 
3、查看MAC地址表记录的生存时间 
S2126G#show mac-address-table aging-time 

VLAN的配置： 
1.添加一个VLAN 
S2126G(config)#vlan <1-4094> 
S2126G(config-vlan)# 
2.为VLAN命名(可选) 
S2126G(config-vlan)#name 
将交换机端口分配到VLAN 
1.配置Port VLAN 
Switch(config-if)#switchport access vlan <1-4094> 
2.配置Tag VLAN 
Switch(config-if)#switchport mode trunk 
1）.配置本地(native)VLAN 
Switch(config-if)#switchport trunk native vlan <1-4094> 
2）.从主干链路中清除VLAN 
Switch(config-if)#switchport trunk allowed vlan except 
注:VLAN1不可被清除 
VLAN的验证： 
1.显示全部的VLAN：Switch#show vlan 
2.显示单独的VLAN ：Switch#show vlan id <1-4094> 

将VLAN信息保存到flash中：Switch#write memory 
从flash中清除VLAN信息：Switch#delete flash:vlan.dat 
RSTP的配置： 
1.启用生成树：S2126G(config)#spanning-tree 
2.配置交换机优先级：S2126G(config)#spanning-tree priority <0-61440> 
“0”或“4096”的倍数(RSTP BPDU该值后12bit全0) 
3.配置交换机端口优先级：S2126G(config-if)#spanning-tree port-priority <0-240> 
“0”或“16”的倍数(RSTP BPDU该值后4bit全0) 
4、生成树hello时间的配置(由Root决定)：S2126G(config)#spanning-tree hello-time <1-10> 
5、生成树的验证：Switch#show spanning-tree 
Switch#show spanning-tree interface <接口名称> <接口编号> 
以上用于锐捷交换机的。

　　交换机配置命令集

　　>Enable 进入特权模式
　　#ExIT 返回上一级操作模式
　　#End 返回到特权模式
　　#write memory 或copy running-config startup-config 保存配置文件
　　#del flash:config.text 删除配置文件(交换机及1700系列路由器)
　　#erase startup-config 删除配置文件(2500系列路由器)
　　#del flash:vlan.dat 删除Vlan配置信息（交换机）
　　#Configure terminal 进入全局配置模式
　　(config)# hostname switchA 配置设备名称为switchA
　　(config)#banner motd & 配置每日提示信息 &为终止符
　　(config)#enable secret level 1 0 star 配置远程登陆密码为star
　　(config)#enable secret level 15 0 star 配置特权密码为star
　　Level 1为普通用户级别，可选为1~15，15为最高权限级别；0表示密码不加密
　　(config)#enable services web-server 开启交换机WEB管理功能
　　Services 可选以下：web-server(WEB管理)、telnet-server(远程登陆)等

　　查看信息
　　#show running-config 查看当前生效的配置信息
　　#show interface fastethernet 0/3 查看F0/3端口信息
　　#show interface serial 1/2 查看S1/2端口信息
　　#show interface 查看所有端口信息
　　#show ip interface brief 以简洁方式汇总查看所有端口信息
　　#show ip interface 查看所有端口信息
　　#show version 查看版本信息
　　#show mac-address-table 查看交换机当前MAC地址表信息
　　#show running-config 查看当前生效的配置信息
　　#show vlan 查看所有VLAN信息
　　#show vlan id 10 查看某一VLAN (如VLAN10)的信息
　　#show interface fastethernet 0/1 switchport 查看某一端口模式(如F 0/1)
　　#show aggregateport 1 summary 查看聚合端口AG1的信息
　　#show spanning-tree 查看生成树配置信息
　　#show spanning-tree interface fastethernet 0/1 查看该端口的生成树状态
　　#show port-security 查看交换机的端口安全配置信息
　　#show port-security address 查看地址安全绑定配置信息
　　#show ip access-lists listname 查看名为listname的列表的配置信息
　　#show access-lists

　　端口的基本配置
　　(config)#Interface fastethernet 0/3 进入F0/3的端口配置模式
　　(config)#interface range fa 0/1-2,0/5,0/7-9 进入F0/1、F0/2、F0/5、F0/7、F0/8、F0/9的端口配置模式
　　(config-if)#speed 10 配置端口速率为10M,可选10,100,auto
　　(config-if)#duplex full 配置端口为全双工模式,可选full(全双工),half(半双式),auto(自适应)
　　(config-if)#no shutdown 开启该端口
　　(config-if)#switchport access vlan 10 将该端口划入VLAN10中,用于VLAN
　　(config-if)#switchport mode trunk 将该端口设为trunk模式,用于Tag vlan 
　　可选模式为access , trunk
　　(config-if)#port-group 1 将该端口划入聚合端口AG1中,用于聚合端口

　　聚合端口的创建
　　(config)# interface aggregateport 1 创建聚合接口AG1
　　(config-if)# switchport mode trunk 配置并保证AG1为 trunk 模式
　　(config)#int f0/23-24
　　(config-if-range)#port-group 1 将端口（端口组）划入聚合端口AG1中

　　生成树
　　(config)#spanning-tree 开启生成树协议
　　(config)#spanning-tree mode stp 指定生成树类型为stp
　　可选模式stp , rstp , mstp
　　(config)#spanning-tree priority 4096 设置交换机的优先级为4096 , 优先级值小为高。优先级可选值为0，4096，8192，……，为4096的倍数。交换机默认值为32768

　　VLAN的基本配置
　　(config)#vlan 10 创建VLAN10
　　(config-vlan)#name vlanname 命名VLAN为vlanname
　　(config-if)#switchport access vlan 10 将该端口划入VLAN10中
　　某端口的接口配置模式下进行
　　(config)#interface vlan 10 进入VLAN 10的虚拟端口配置模式
　　(config-if)# ip address 192.168.1.1 255.255.255.0 为VLAN10的虚拟端口配置IP及掩码，二层交换机只能配置一个IP，此IP是作为管理IP使用，例如，使用Telnet的方式登录的IP地址
　　(config-if)# no shutdown 启用该端口

　　端口安全
　　(config)# interface fastethernet 0/1 进入一个端口
　　(config-if)# switchport port-security 开启该端口的安全功能
　　1．配置最大连接数限制
　　(config-if)# switchport port-secruity maxmum 1 配置端口的最大连接数为1，最大连接数为128
　　(config-if)# switchport port-secruity violation shutdown 
　　配置安全违例的处理方式为shutdown，可选为protect (当安全地址数满后，将未知名地址丢弃)、restrict(当违例时，发送一个Trap通知)、shutdown(当违例时将端口关闭，并发送Trap通知，可在全局模式下用errdisable recovery来恢复)
　　2．IP和MAC地址绑定
　　(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx ip-address 172.16.1.1 
　　接口配置模式下配置MAC地址xxxx.xxxx.xxxx和IP172.16.1.1进行绑定(MAC地址注意用小写)

　　三层路由功能(针对三层交换机)
　　(config)# ip routing 开启三层交换机的路由功能
　　(config)# interface fastethernet 0/1 
　　(config-if)# no switchport 开启端口的三层路由功能(这样就可以为某一端口配置IP)
　　(config-if)# ip address 192.168.1.1 255.255.255.0 
　　(config-if)# no shutdown 
　　三层交换机路由协议
　　(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1 配置静态路由
　　注:172.16.1.0 255.255.255.0 为目标网络的网络号及子网掩码
　　172.16.2.1 为下一跳的地址，也可用接口表示,如ip route 172.16.1.0 255.255.255.0 serial 1/2(172.16.2.0所接的端口)
　　(config)# router rip 开启RIP协议进程
　　(config-router)# network 172.16.1.0 申明本设备的直连网段信息
　　(config-router)# version 2 开启RIP V2，可选为version 1(RIPV1)、version 2(RIPV2) 
　　(config-router)# no auto-summary 关闭路由信息的自动汇总功能(只有在RIPV2支持)

　　(config)# router ospf 开启OSPF路由协议进程（针对1762，无需使用进程ID）
　　(config)# router ospf 1 开启OSPF路由协议进程（针对2501，需要加OSPF进程ID）
　　(config-router)# network 192.168.1.0 0.0.0.255 area 0 
　　申明直连网段信息，并分配区域号(area0为骨干区域)

　　IP ACL：
　　交换机采用命名的访问控制列表；分标准(stand)和扩展(extended)两种
　　1.标准ACL
　　(config)#ip access-list stand listname 定义命名标准列表，命名为listname，stand为标准列表
　　(config-std-nacl)#deny 192.168.30.0 0.0.0.255 拒绝来自192.168.30.0网段的IP流量通过
　　注：deny：拒绝通过；可选：deny(拒绝通过)、permit(允许通过)
　　192.168.30.0 0.0.0.255：源地址及源地址通配符；可使用any表示任何IP
　　(config-std-nacl)#permit any
　　(config-std-nacl)#end 返回
　　2.扩展ACL
　　(config)#ip access-list extended listname 
　　定义命名扩展列表，命名为listname,extended为扩展
　　(config-ext-nacl)#deny tcp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 eq www 拒绝源地址为192.168.30.0网段的IP访问目的地址为192.168.10.0网段的WWW服务
　　注：deny：拒绝通过，可选：deny(拒绝通过)、permit(允许通过)
　　tcp: 协议名称，协议可以是udp, ip，eigrp, gre, icmp, igmp, igrp等等。
　　192.168.10.0 0.0.0.255：源地址及源地址通配符
　　192.168.30.0 0.0.0.255：目的地址及目的地址通配符
　　eq：操作符（lt-小于，eq-等于，gt-大于，neg-不等于，range-包含） 
　　www：端口号，可使用名称或具体编号
　　可以使用的协议名称（或编号）和端口名称（或编号）请打？查询。
　　(config-ext-nacl)#permit ip any any 允许其它通过
　　(config-ext-nacl)#end 返回
　　(config)#interface vlan 10 进入端口配置模式
　　(config-if)# ip access-group listname in 访问控制列表在端口下in方向应用；可选：in(入栈)、out(出栈)
　　(config-if)#end 返回
　　注：配置ACL时，若只想对其中部分IP进行限制访问时，必须配置允许其流量通过，否则设备只会对限制IP进行处理，不会对非限制IP进行允许通过处理。

如题,昨天要求我考虑一下研究生网络的整改方案,于是先在办公室用了一台锐捷的3250,一台2026G,两台1926 做了下实验.

由于要求是要减少广播,arp的干扰,并且对目前的网络结构改动最小,所以在参考了技术手册之后,发现super vlan的概念很符合需求,特地进了实验.结构如下.

外网--网关设备(ip:210.41.192.1/20) -- 1926(1)--3250(210.41.194.199/20)-- 2026--1926(2)--客户端(210.41.194.251/20).

要求作到:
1.网关设备和客户机必须分属不同vlan,以防止广播风暴等问题;
2.客户机可访问外网; 阅读全文 »