【正文】 ..Loading from :!!!!... [OK 8141044/8388608 bytes]22 / 28Verifying via checksum... vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv vvvvvvvvvvvvvvvvvvvvvvvvvvvvvFlash verification successful. Length = 8141044, checksum = 0x12AD把配置文件從網(wǎng)絡(luò)服務(wù)器拷貝到交換機 NVRAM【實施命令】：FJFZSWITCH02 (enable) copy tftp config修改啟動 NMP 軟件指向【實施命令】：FJFZSWITCH01 (enable) set boot system flash filename重新啟動交換機【實施命令】：FJFZSWITCH02 (enable) reset system 檢查升級后系統(tǒng)的狀態(tài)和 步驟備份的系統(tǒng)狀態(tài)信息進行核對?！緦嵤┟睢浚?！查看硬件環(huán)境FJFZSWITCH01 (enable) show system ！查看端口狀態(tài)FJFZSWITCH01 (enable) show port status 應(yīng)急保障措施在升級遇到問題時，由于已經(jīng)刪除了舊的操作系統(tǒng)，路由器沒有操作系統(tǒng)，23 / 28重啟后，進入 ROMMON 狀態(tài)，此時，可以用 TFTP 方式重新導(dǎo)入 NMP 軟件，將計算機串口和路由器 Console 口相連，計算機網(wǎng)口與交 換機的管理端口相連。操作步驟如下： 恢復(fù)軟件【實施命令】： ！查看 FLASH 空間rommon 1 dir bootflash:rommon 2 dir slot0: ！清除原有的啟動配置rommon 3 unset boot ！配置交換機管理端口地址以及到達 TFTP 服務(wù)器網(wǎng)關(guān)rommon 4 set interface fa1 rommon 5set ip route default ！配置 TFTP 服務(wù)器與交換機的管理端口可通，然后從網(wǎng)絡(luò)啟動交換機rommon 6 boot t ！交換機起來后，從 TFTP 倒入 NMP 軟件 Switchenable Switchcopy tftp flash 恢復(fù)配置正常進入路由器后，把配置文件從網(wǎng)絡(luò)服務(wù)器拷貝到路由器 NVRAM?！緦嵤┟睢浚篎JFZSWITCH01 (enable)copy tftp config 24 / 285 特定的安全配置 關(guān)閉不必要的服務(wù)Catalyst 交換機本身提供了許多比較危險的服務(wù)如 CDP、IP Unreachables,Redirects,Mask－Replies 和 DNS 等等， 對該類服務(wù)的建議是，如果不需要服務(wù)，要求關(guān)閉這些服務(wù)。 禁止 CDP(Cisco Discovery Protocol)由于 CDP 服務(wù)可能被攻擊者利用獲得交換機的版本等信息，從而進行攻擊，所以如果沒有使用 CDP 服 務(wù)，要求關(guān) 閉 CDP 服務(wù) 。【適用網(wǎng)絡(luò)層次】：所有設(shè)備【影響】：無法發(fā)現(xiàn)網(wǎng)絡(luò)鄰居的詳細信息，造成維護不便?！揪唧w配置】：！全局 CDP 的關(guān)閉FJFZSWITCH02 (enable) set cdp disable！特定端口 CDP 的關(guān)閉FJFZSWITCH02 (enable) set cdp disable 3/2 ICMP 服務(wù)要求禁止 ICMP 協(xié)議的 IP Unreachables,Redirects,Mask－Replies?！具m用網(wǎng)絡(luò)層次】：所有設(shè)備【影響】：造成維護不便【具體配置】：25 / 28FJFZSWITCH02 (enable) set ip redirect disableFJFZSWITCH02 (enable) set ip unreachable disable DNS 服務(wù)如果沒必要使用 DNS 服務(wù)， 則要求禁止 DNS 服務(wù) 。【適用網(wǎng)絡(luò)層次】：所有設(shè)備【影響】：不能將主機名轉(zhuǎn)換為 IP 地址， 進行自動登陸【具體配置】：FJFZSWITCH02 (enable) set ip dns disable 其他特定的安全配置 VTP 安全的配置虛擬局域網(wǎng)中繼協(xié)議（VTP）是在交換機之間通過trunk交換VLAN信息并使VLAN保持一致的協(xié)議。所有的交換機默認的VTP模式是服 務(wù)器，當(dāng)一個VTP 管理域是非安全的，這樣交換 機連接到已存在的非安全管理域，交換機會自動加入到該管理域中。在這個“功能”背后的思想是，新交換機有了解所有新VLAN的能力。不需要為每個交換機進 行配置，包括域名的配置。 這個“功能”是極端危險的。它能導(dǎo)致除了VLAN 1之外所有的VLAN從已存在的管理域中被刪除。所以要求配置安全的管理域，設(shè)置密 碼，使得新交 換機不會自 動加入管理域；否則需要手工配置好新交換機后將其接入。【適用網(wǎng)絡(luò)層次】：所有網(wǎng)絡(luò)層次【影響】：新加入的交換機不能自動加入域，需要配置正確的密碼【具體配置】：26 / 28FJFZSWITCH01 (enable) set vtp domain security_domain passwd xxxxxxx 對 CON 端口的管理要求控制 CON 端口的訪問,要求給 CON 口設(shè)置高強度的密碼，修改默認參數(shù)，配置認證策略，可以使用 AAA 認證，包括 RADIUS 和 TACACS【適用網(wǎng)絡(luò)層次】：所有設(shè)備【影響】：無【具體配置】：！修改默認的波特率FJFZSWITCH02 (enable) set system baud 19200！設(shè)置登陸密碼FJFZSWITCH02 (enable) set password ！RADIUS 認證FJFZSWITCH02 (enable) set radius server authport 1645FJFZSWITCH02 (enable) set radius key xxxxxx！console 認證FJFZSWITCH02 (enable) set authentication login radius enable console!TACACS 認證FJFZSWITCH02 (enable) set tacacs server FJFZSWITCH02 (enable) set tacacs key xxxxxxFJFZSWITCH02(enable) set authentication login tacacs enable console 對 sl0 端口的管理要求為了通過舊式電話系統(tǒng)（POTS ）撥號遠程訪問 Catalyst 交換機， s10 接口允許在控制臺端口建立串行 Inter 協(xié)議（SLIP）連接，如果不必要 sl0 端口的管理27 / 28要求，要求關(guān)閉它?！具m用網(wǎng)絡(luò)層次】：在所有層面設(shè)備實施該建議 【影響】：不能撥號接入交換機【具體配置】：！關(guān)閉 SLIP 撥號接入： FJFZSWITCH02 (enable) set interface sl0 down！要使用 SLIP 撥號，配置如下：FJFZSWITCH02 (enable) set interface sl0 up！設(shè)置 SLIP 地址以及目標 地址FJFZSWITCH02 (enable) set interface sl0 ！起用 SLIP 接入FJFZSWITCH02 (enable) slip attach 禁止未使用或空閑的端口【適用網(wǎng)絡(luò)層次】：所有設(shè)備【影響】：無【具體配置】：！對端口進行 shutdownFJFZSWITCH02 (enable) set port disable 4/3 banner 的設(shè)置要求對遠程登陸的 banner 的設(shè) 置要求必須包含非授權(quán)用戶禁止登錄的字樣?！具m用網(wǎng)絡(luò)層次】：所有設(shè)備【影響】：無【注意事項】：在所有設(shè)備上實施該配置，起警示非法入侵的作用，內(nèi)容不包括28 / 28與設(shè)備特征有關(guān)的信息，如層次、 IP 地址、類型等。【具體配置】：FJFZSWITCH02 (enable) set banner motd xxxxxxxxxx