【正文】 ..Loading from :!!!!... [OK 8141044/8388608 bytes]22 / 28Verifying via checksum... vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv vvvvvvvvvvvvvvvvvvvvvvvvvvvvvFlash verification successful. Length = 8141044, checksum = 0x12AD把配置文件從網(wǎng)絡(luò)服務(wù)器拷貝到交換機(jī) NVRAM【實(shí)施命令】：FJFZSWITCH02 (enable) copy tftp config修改啟動(dòng) NMP 軟件指向【實(shí)施命令】：FJFZSWITCH01 (enable) set boot system flash filename重新啟動(dòng)交換機(jī)【實(shí)施命令】：FJFZSWITCH02 (enable) reset system 檢查升級后系統(tǒng)的狀態(tài)和 步驟備份的系統(tǒng)狀態(tài)信息進(jìn)行核對?！緦?shí)施命令】：！查看硬件環(huán)境FJFZSWITCH01 (enable) show system ！查看端口狀態(tài)FJFZSWITCH01 (enable) show port status 應(yīng)急保障措施在升級遇到問題時(shí)，由于已經(jīng)刪除了舊的操作系統(tǒng)，路由器沒有操作系統(tǒng)，23 / 28重啟后，進(jìn)入 ROMMON 狀態(tài)，此時(shí)，可以用 TFTP 方式重新導(dǎo)入 NMP 軟件，將計(jì)算機(jī)串口和路由器 Console 口相連，計(jì)算機(jī)網(wǎng)口與交 換機(jī)的管理端口相連。操作步驟如下： 恢復(fù)軟件【實(shí)施命令】： ！查看 FLASH 空間rommon 1 dir bootflash:rommon 2 dir slot0: ！清除原有的啟動(dòng)配置rommon 3 unset boot ！配置交換機(jī)管理端口地址以及到達(dá) TFTP 服務(wù)器網(wǎng)關(guān)rommon 4 set interface fa1 rommon 5set ip route default ！配置 TFTP 服務(wù)器與交換機(jī)的管理端口可通，然后從網(wǎng)絡(luò)啟動(dòng)交換機(jī)rommon 6 boot t ！交換機(jī)起來后，從 TFTP 倒入 NMP 軟件 Switchenable Switchcopy tftp flash 恢復(fù)配置正常進(jìn)入路由器后，把配置文件從網(wǎng)絡(luò)服務(wù)器拷貝到路由器 NVRAM?！緦?shí)施命令】：FJFZSWITCH01 (enable)copy tftp config 24 / 285 特定的安全配置 關(guān)閉不必要的服務(wù)Catalyst 交換機(jī)本身提供了許多比較危險(xiǎn)的服務(wù)如 CDP、IP Unreachables,Redirects,Mask－Replies 和 DNS 等等， 對該類服務(wù)的建議是，如果不需要服務(wù)，要求關(guān)閉這些服務(wù)。 禁止 CDP(Cisco Discovery Protocol)由于 CDP 服務(wù)可能被攻擊者利用獲得交換機(jī)的版本等信息，從而進(jìn)行攻擊，所以如果沒有使用 CDP 服 務(wù)，要求關(guān) 閉 CDP 服務(wù) ?！具m用網(wǎng)絡(luò)層次】：所有設(shè)備【影響】：無法發(fā)現(xiàn)網(wǎng)絡(luò)鄰居的詳細(xì)信息，造成維護(hù)不便?！揪唧w配置】：！全局 CDP 的關(guān)閉FJFZSWITCH02 (enable) set cdp disable！特定端口 CDP 的關(guān)閉FJFZSWITCH02 (enable) set cdp disable 3/2 ICMP 服務(wù)要求禁止 ICMP 協(xié)議的 IP Unreachables,Redirects,Mask－Replies?！具m用網(wǎng)絡(luò)層次】：所有設(shè)備【影響】：造成維護(hù)不便【具體配置】：25 / 28FJFZSWITCH02 (enable) set ip redirect disableFJFZSWITCH02 (enable) set ip unreachable disable DNS 服務(wù)如果沒必要使用 DNS 服務(wù)， 則要求禁止 DNS 服務(wù) ?！具m用網(wǎng)絡(luò)層次】：所有設(shè)備【影響】：不能將主機(jī)名轉(zhuǎn)換為 IP 地址， 進(jìn)行自動(dòng)登陸【具體配置】：FJFZSWITCH02 (enable) set ip dns disable 其他特定的安全配置 VTP 安全的配置虛擬局域網(wǎng)中繼協(xié)議（VTP）是在交換機(jī)之間通過trunk交換VLAN信息并使VLAN保持一致的協(xié)議。所有的交換機(jī)默認(rèn)的VTP模式是服 務(wù)器，當(dāng)一個(gè)VTP 管理域是非安全的，這樣交換 機(jī)連接到已存在的非安全管理域，交換機(jī)會(huì)自動(dòng)加入到該管理域中。在這個(gè)“功能”背后的思想是，新交換機(jī)有了解所有新VLAN的能力。不需要為每個(gè)交換機(jī)進(jìn) 行配置，包括域名的配置。 這個(gè)“功能”是極端危險(xiǎn)的。它能導(dǎo)致除了VLAN 1之外所有的VLAN從已存在的管理域中被刪除。所以要求配置安全的管理域，設(shè)置密 碼，使得新交 換機(jī)不會(huì)自 動(dòng)加入管理域；否則需要手工配置好新交換機(jī)后將其接入?！具m用網(wǎng)絡(luò)層次】：所有網(wǎng)絡(luò)層次【影響】：新加入的交換機(jī)不能自動(dòng)加入域，需要配置正確的密碼【具體配置】：26 / 28FJFZSWITCH01 (enable) set vtp domain security_domain passwd xxxxxxx 對 CON 端口的管理要求控制 CON 端口的訪問,要求給 CON 口設(shè)置高強(qiáng)度的密碼，修改默認(rèn)參數(shù)，配置認(rèn)證策略，可以使用 AAA 認(rèn)證，包括 RADIUS 和 TACACS【適用網(wǎng)絡(luò)層次】：所有設(shè)備【影響】：無【具體配置】：！修改默認(rèn)的波特率FJFZSWITCH02 (enable) set system baud 19200！設(shè)置登陸密碼FJFZSWITCH02 (enable) set password ！RADIUS 認(rèn)證FJFZSWITCH02 (enable) set radius server authport 1645FJFZSWITCH02 (enable) set radius key xxxxxx！console 認(rèn)證FJFZSWITCH02 (enable) set authentication login radius enable console!TACACS 認(rèn)證FJFZSWITCH02 (enable) set tacacs server FJFZSWITCH02 (enable) set tacacs key xxxxxxFJFZSWITCH02(enable) set authentication login tacacs enable console 對 sl0 端口的管理要求為了通過舊式電話系統(tǒng)（POTS ）撥號遠(yuǎn)程訪問 Catalyst 交換機(jī)， s10 接口允許在控制臺(tái)端口建立串行 Inter 協(xié)議（SLIP）連接，如果不必要 sl0 端口的管理27 / 28要求，要求關(guān)閉它?！具m用網(wǎng)絡(luò)層次】：在所有層面設(shè)備實(shí)施該建議 【影響】：不能撥號接入交換機(jī)【具體配置】：！關(guān)閉 SLIP 撥號接入： FJFZSWITCH02 (enable) set interface sl0 down！要使用 SLIP 撥號，配置如下：FJFZSWITCH02 (enable) set interface sl0 up！設(shè)置 SLIP 地址以及目標(biāo) 地址FJFZSWITCH02 (enable) set interface sl0 ！起用 SLIP 接入FJFZSWITCH02 (enable) slip attach 禁止未使用或空閑的端口【適用網(wǎng)絡(luò)層次】：所有設(shè)備【影響】：無【具體配置】：！對端口進(jìn)行 shutdownFJFZSWITCH02 (enable) set port disable 4/3 banner 的設(shè)置要求對遠(yuǎn)程登陸的 banner 的設(shè) 置要求必須包含非授權(quán)用戶禁止登錄的字樣。【適用網(wǎng)絡(luò)層次】：所有設(shè)備【影響】：無【注意事項(xiàng)】：在所有設(shè)備上實(shí)施該配置，起警示非法入侵的作用，內(nèi)容不包括28 / 28與設(shè)備特征有關(guān)的信息，如層次、 IP 地址、類型等?！揪唧w配置】：FJFZSWITCH02 (enable) set banner motd xxxxxxxxxx