思科Cisco Catalyst交換機(jī)安全配置方法:為防患網(wǎng)絡(luò)安全隱患，建議在每臺(tái)cisco設(shè)備上采取如下措施：

　　1. 配置堅(jiān)固的口令

　　使用enable secret ，選擇包括字母，數(shù)字和特殊字符的密碼 Eg：$PECIAL$

　　Router(config)#enablesecret $PECIAL$

　　2. 使用acl

　　使用acl來(lái)限制管理訪問(wèn)和遠(yuǎn)程接入，防止對(duì)管理接口的非授權(quán)訪問(wèn)和dos攻擊

　　3. 確保設(shè)別物理安全

　　4. 確保vty接入安全

　　通過(guò)使用acl

　　配置堅(jiān)固的vty接入口令

　　使用ssh2

　　5. 配置警告語(yǔ)

　　6. 禁用不必要的服務(wù)

　　多層交換網(wǎng)絡(luò)中通常不使用下列服務(wù)

　　Tcp small server(echo chargendiscard daytime)

　　Udp small server(echo chargendiscard daytime)

　　Finger

　　自動(dòng)配置

　　Pad

　　Bootp

　　標(biāo)識(shí)服務(wù)

　　不進(jìn)行身份驗(yàn)證的ntp

　　源路由選擇

　　Ip代理arp

　　Icmp不可達(dá)

　　Icmp 重定向

　　定向廣播轉(zhuǎn)發(fā)

　　Mop

　　7. 盡可那少用cdp

　　Cdp原則：在每個(gè)接口上禁用cdp只在管理需要是才運(yùn)行cdp;只在控制范圍內(nèi)的設(shè)備上運(yùn)行cdp;不要在不安全的鏈接上使用cdp例如：internet

　　8. 禁用集成的http后臺(tái)程序

　　在基于ios的軟件的交換機(jī)中默認(rèn)是禁用集成的http服務(wù)器，如果http訪問(wèn)是必不可少的應(yīng)使用另一個(gè)http端口，并通過(guò)使用acl只允許受信任的子網(wǎng)和工作站訪問(wèn)。

　　Noip http server

　　9. 配置基本的系統(tǒng)日志

　　使用日志工具來(lái)監(jiān)控交換機(jī)系統(tǒng)信息，默認(rèn)的緩沖區(qū)大小不足以記錄大部分事件。

　　10. 確保snmp的安全

　　盡可能避免使用snmp讀寫(xiě)特性，應(yīng)使用snmpv3和經(jīng)過(guò)加密的口令

　　11. 限制鏈路聚集連接和vlan傳播

　　手工或使用vtp來(lái)刪除干道上未使用的vlan，防止未經(jīng)授權(quán)的鏈路聚集。

　　12. 確保生成樹(shù)拓?fù)涞陌踩?/p>

　　通過(guò)配置網(wǎng)橋優(yōu)先級(jí)，避免因新交換機(jī)加入網(wǎng)絡(luò)而無(wú)意間移動(dòng)stp跟