① ospf協議是怎麼配置的
OSPF路由協議是用於網際協議(IP)網路的鏈路狀態路由協議。該協議使用鏈路狀態路由演算法的內部網關協議(IGP),在單一自治系統(AS)內部工作。適用於IPv4的OSPFv2協議定義於RFC 2328,RFC 5340定義了適用於IPv6的OSPFv3。
OSPF協議是一種鏈路狀態協議。每個路由器負責發現、維護與鄰居的關系,並將已知的鄰居列表和鏈路費用LSU報文描述,通過可靠的泛洪與自治系統AS(Autonomous System)內的其他路由器周期性交互,學習到整個自治系統的網路拓撲結構;並通過自治系統邊界的路由器注入其他AS的路由信息,從而得到整個Internet的路由信息。每隔一個特定時間或當鏈路狀態發生變化時,重新生成LSA,路由器通過泛洪機制將新LSA通告出去,以便實現路由的實時更新。
(1)ospf怎麼配置區域md5認證擴展閱讀:
OSPF路由協議的實現過程
1、初始化形成埠初始信息:在路由器初始化或網路結構發生變化(如鏈路發生變化,路由器新增或損壞)時,相關路由器會產生鏈路狀態廣播數據包LSA,該數據包里包含路由器上所有相連鏈路,也即為所有埠的狀態信息。
2、路由器間通過泛洪(Floodingl機制交換鏈路狀態信息:各路由器一方面將其LSA數據包傳送給所有與其相鄰的OSPF路由器,另一方面接收其相鄰的OSPF路由器傳來的LSA數據包,根據其更新自己的資料庫。
3、形成穩定的區域拓撲結構資料庫:OSPF路由協議通過泛洪法逐漸收斂,形成該區域拓撲結構的資料庫,這時所有的路由器均保留了該資料庫的一個副本。
4、形成路由表:所有的路由器根據其區域拓撲結構資料庫副本採用最短路徑法計算形成各自的路由表。
② cisco交換機安全配置設定命令(2)
MAC地址綁定埠安全設定
switch(config-if)#switchport port-security /啟用埠安全
switch(config-if)#switchport port-security maximum number /默認每個介面最大的值為1
switch(config-if)#switchport port-security violation
protect|restrict|shutdown /啟用安全違規行為
protect:當介面學習到設定數量的MAC後,後來的MAC信息將直接丟棄,且不產生通知
restrict: 當介面學習到設定數量的MAC後,後來的MAC信息將直接丟棄並發送snmp trap,syslog信息。
shutdown: 當介面學習到設定數量的MAC後,後來的MAC信息將不再解析並直接關閉該埠,除非手動shut,no
shut或通過errdisable recovery cause 原因 來進行恢復
switch(config-if)#switchport port-security mac-address sticky
/啟用mac自動學習功能,無需手動進行綁定
埠錯誤檢測和自動恢復設定
switch(config)#errdisable detect cause all /啟用所有類型錯誤檢測
switch(config)#errdisable recovery cause all /啟用所有類型錯誤發生後在30s後自動恢復
switch(config)#errdisable recovery interval 30 /自動恢復間隔時間為30s
四、三層交換機常用路由協議安全配置
1、RIP協議
建議不採用RIPV1,使用支持md5認證的RIPV2版本
switch(config)#key chain chain_name /設置密鑰鏈名
switch(config-key-chain)#key 1 /設置密鑰號
switch(config-key-chain)#key-string pass_string /設置密鑰字元串
switch(config)#router rip
switch(config-router)#version 2 /啟用RIP-V2
switch(config-router)#network x.x.x.x
switch(config-router)# passive-interface x/x
/啟用passive-interface禁用一些不需要接收和轉發路由信息的埠(只是禁止轉發路由信息,並沒有禁止接收)
switch(config)#interface x/x
switch(config-if)#ip rip authentication mode md5 /指定認證方式為md5
switch(config-if)#ip rip authentication key-chain chain_name /調用定義的密鑰鏈名
注意:啟用RIPV2協議的互連路由介面其密鑰Key ID和Key string必須相同才可通過認證!
2、EIGRP協議
eigrp僅支持md5認證
switch(config)#key chain chain_name /設置密鑰鏈名
switch(config-key-chain)#key 1 /設置密鑰號
switch(config-key-chain)#key-string pass_string /設置密鑰字元串
switch(config)#router eigrp as-num /設置eigrp自治系統號,在本地有效
switch(config-router)#network x.x.x.x
switch(config-router)#no auto-summary /關閉自動匯總功能
switch(config)#interface x/x
switch(config-if)#ip authentication mode eigrp 100 md5 /指定eigrp
100區域的認證方式為md5
switch(config-if)#ip authentication key-chain eigrp 100 chain_name
/調用定義的密鑰鏈名
注意:啟用EIGRP md5認證的.互連路由介面其密鑰Key ID和Key string必須相同才可通過認證!
3、OSPF協議
由於明文認證在更改密碼時會出現斷流且容易比抓包破解,推薦採用md5認證;另OSPF在介面上的認證和區域內的認證是不同的,只要兩端的一樣就可以通信!
switch(config)#router ospf 100 /設置本地有效的標識符100
switch(config-router)#area area_id authentication message-digest
/在區域內啟用md5認證
switch(config-if)#ip ospf authentication message-digest /在介面下啟用md5認證
switch(config-if)#ip ospf message-digest-key id md5 pass_string
/在介面下設置md5密鑰id及密鑰字元串,兩端啟用OSPF路由協議的埠必須相同
4、HSRP/VRRP協議
switch(config)#key chain chain_name /設置密鑰鏈名
switch(config-key-chain)#key 1 /設置密鑰號
switch(config-key-chain)#key-string pass_string /設置密鑰字元串
switch(config-if)#standby group_num authentication md5 key-chain chain_name
/在啟用hsrp協議的介面下啟用md5認證並調用設定的密鑰鏈名
switch(config-if)#vrrp group_num authentication md5 key-chain chain_name
/在啟用vrrp協議的介面下啟用md5認證並調用設定的密鑰鏈名
五、交換機日誌收集審計安全配置
trunk介面日誌事件設定
switch(config)#int gi x/x/x
switch(config-if)#sw mode trunk
switch(config-if)#sw trunk encaps dot1q
switch(config-if)#logging event trunk-status
switch(config-if)#logging event link-status
switch(config-if)#logging event spanning-tree
switch(config-if)#logging event bundle-status
switch(config-if)#logging event status
access介面日誌世界設定
switch(config)#int gi x/x/x
switch(config-if)#sw mode access
switch(config-if)#sw access vlan xx
switch(config-if)#logging event link-status
switch(config-if)#logging event spanning-tree
switch(config-if)#logging event bundle-status
switch(config-if)#logging event status
日誌收集分析設定
switch(config)#logging on /啟動日誌
switch(config)#logging host x.x.x.x /設定收集日誌的syslog server
switch(config)#logging source-interface loopback0 /設定發送日誌的原地址
switch(config)#logging facility local6 /cisco設備的默認類型
switch(config)#logging trap 7 /設定記錄日誌服務的類型,數據越大,威脅程度越低,分為0-7,
設置為7表示包含所有日誌類型
switch(config)#logging buffered number /設定本地日誌buffer size 大小
時區和時間設定(確保日誌記錄的准確性)
switch(config)# clock timezone UTC 8 /設定時區為UTC 8
switch(config)#ntp server x.x.x.x /設定NTP Server時間同步伺服器
switch(config)#ntp source loopback0 /設定ntp時間同步原地址
switch(config)#ntp authenticate /啟用ntp認證
switch(config)#ntp authentication-key 1 md5 pass-string /設置認證密鑰和密碼
switch(config)#ntp trusted-key 1
六、交換機其他安全配置
1、即時關注cisco ios漏洞信息,為漏洞ios安裝補丁或升級ios
2、定期備份交換機設備配置文件及ios文件
3、嚴格設置登錄Banner。必須包含非授權用戶禁止登錄的字樣
4、禁用DNS查找
switch(config)#no ip domain-lookup