接入交换机常见安全配置
适用场景:1-24口下联PC用户,25口下联二层网管交换机,26口上联汇聚交换机
堆叠环境中,若未指定优先级,则是根据它们的MAC地址(mac小的为主机)来确定谁是主机。优先级为越大越好,范围1-10。出场默认为1。
1、系统时间同步:如果客户有使用 ntp/sntp进行全网统一的时间配置的需求,可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名
Ruijie(config)#sntp enable //首先开启 sntp 服务
Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址,此为国家授时中心服务器IP 地址
Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔
若客户无需配置SNTP功能,则配置单台设备系统时间命令如下
Ruijie#clock set 20:30:50 3 20 2011 //配置系统时间配置方法:
2、系统远程管理规范配置
远程登录
方式一:采用两级密码方式
Ruijie(config)#enable password test4321 //特权密码配置
Ruijie(config)#line vty 0 35
Ruijie(config-line)#password test //telnet远程登录密码配置
Ruijie(config-line)#exit
Ruijie(config)#service password-encryption //对所配置的密码进行加密
方式二:采用用户名密码方式
Ruijie(config)#username admin privilege 15 password test4321 //用户名和密码配置
Ruijie(config)#line console 0 //进入console口配置模式
Ruijie(config-line)#password ruijie //配置console口登录密码
Ruijie(config-line)#login //配置console口登录模式
Ruijie(config-line)#exit
Ruijie(config)#line vty 0 35 //进入远程登录接口配置模式
Ruijie(config)#login local //启用本地认证模式
Ruijie(config)#exit
Ruijie(config)#service password-encryption //对所配置的密码进行加密
SNMP远程管理
Ruijie(config)#snmp-server community ycrmyy rw
额外安全措施
措施一:限制远程管理源地址
Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#line vty 0 35
Ruijie(config-line)#access-class 99 in
措施二:限制SNMP管理源地址
Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99
措施三:使用加密管理协议,使用SSH管理,禁用Telnet协议
Ruijie(config)#no enable service telnet-server //禁用telnet管理
Ruijie(config)#enable service ssh-server //启用SSH管理
Ruijie(config)#crypto key generate dsa //设置ssh加密模式
Ruijie(config)#line vty 0 35
Ruijie(config-line)#transport input ssh //远程登录接口启用SSH管理
措施四:使用加密管理协议,使用SNMPv3
Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#snmp-server user ruijie Group1 v3 auth md5Ruijie123 access 99 //启用snmpv3
措施五:配置登录警告信息
Ruijie(config)#banner login c
Warning :Unauthorized access are forbidden!
Your behavior will be recorded!c
3、设置设备日志记录
Ruijie(config)#logging on //启用日志记录功能
Ruijie(config)#logging count //打开日志信息统计功能
Ruijie(config)#service sysname //在日志报文中添加系统名称
Ruijie(config)#log trap debugging //所有级别的日志信息将发给syslog server
Ruijie(config)#service sequence-numbers //在日志报文中添加序列号
Ruijie(config)#service timestamps debug datetime // 启用debug 信息时间戳,日期格式Ruijie(config)#service timestamps message-type datetime //启用日志信息中的时间戳
Ruijie(config)#logging server 172.16.250.10 //将日志信息发送给网络上的Syslog Sever Ruijie(config)#logging file flash:log.txt 1000000 //将日志信息根据指定的文件名创建文件,记录到扩展FLASH上,文件大小会随日志增加而增加,但其上限以配置的max-file-size
Ruijie(config)#logging buffered 40960 //将日志记录到内存缓冲区
Ruijie#terminal monitor //允许日志信息显示在VTY 窗口上
4、配置下联PC端口环路检测
Ruijie(config)#rldp enable //启用rldp功能
Ruijie(config)#errdisable recovery interval 120 // 设定故障关闭端口恢复时间为120s Ruijie(config)#interface range fastethernet 0/1-24 //进入下联接口
Ruijie(config-if-range)#rldp port loop-detect shutdown-port ////环路检测触发处理方法为关闭端口,防止产生数据包泛洪影响整个网络
5、防arp欺骗
场景一:静态ip分配方式下防arp
Ruijie(config)#interface FastEthernet 0/1 //进入下联接口
Ruijie(config-if)#switchport port-security //打开端口安全功能
Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 3 //配置最大MAC地址数Ruijie(config-FastEthernet 0/1)#switchport port-security mac-address 001a.a900.0001 //交换机一个端口只能是合法的mac接入
Ruijie(config-FastEthernet 0/1)#switchport port-security binding 192.168.10.1 //交换机一个端口只能是合法的IP接入
Ruijie(config-FastEthernet 0/1)#switchport port-security bind 001a.a900.0001 vlan 10 192.168.10.1 //交换机端口只能是合法的IP且合法的MAC接入
Ruijie(config-if-range)#arp-check //打开ARP检查功能,配合端口安全功能防止ARP欺骗
备注:此场景中,交换机一个端口最大只能接入3台主机,但其中有一台主机是合法保障的。静态ip 地址场景要达到完全防止arp主机欺骗和网关欺骗,只能把所有的ip都进行绑定。
因为在实际环境中严格的绑定不太适用,所以常用arp防网关欺骗的命令来达到防止arp网关欺骗目的
Ruijie(config-if)#anti-arp-spoofing ip 192.168.10.254 //打开ARP网关检查功能防止ARP
网关欺骗
场景二:动态ip获取方式下防arp
Ruijie(config)#ip dhcp snooping //开启dhcp snooping功能
Ruijie(config)#ip dhcp snooping verify mac-address //打开源MAC检查功能
Ruijie(config)#ip arp inspection vlan 1-10 //
Ruijie(config)#interface range GigabitEthernet 0/25-26 //进入上联接口
Ruijie(config-if-range)#ip dhcp snooping trust //指定DAI监测的相关VLAN
Ruijie(config-if-range)#ip arp inspection trust //设置DAI信任接口
场景三:用supervlan方式防arp欺骗
适用场景:二层交换机下联用户都进行二层隔离,每个隔离端口配置一个vlanID,需要三层交换机支持supervlan功能
汇聚交换机配置
Ruijie(config)#vlan 3
Ruijie(config-vlan)#vlan 4
Ruijie(config-vlan)#vlan 5
Ruijie(config-vlan)#vlan 2
Ruijie(config-vlan)#supervlan //配置VLAN2为SuperVLAN模式
Ruijie(config-vlan)#subvlan 3,4-5 //配设置VLAN3-5为SuperVLAN2的Sub-VLAN Ruijie(config-vlan)#vlan 4
Ruijie(config-vlan)#subvlan-address-range192.168.1.40 192.168.1.49 //配置VLAN4的地址
范围为192.168.1.40~49
Ruijie(config)#interface range GigabitEthernet 0/25-26 //进入下联接口
Ruijie(config-if-range)#switchport mode trunk //配置为trunk口模式
接入交换机配置
Ruijie(config)#vlan 3
Ruijie(config-vlan)#vlan 4
Ruijie(config-vlan)#vlan 5
Ruijie(config)#interface range fastEthernet 0/1-2 //进入下联PC接口
Ruijie(config-if-range)#switchport access vlan 3 //配置为vlan3口模式
Ruijie(config)#interface range fastEthernet 0/3-10 //进入下联PC接口
Ruijie(config-if-range)#switchport access vlan 4 //配置为vlan3口模式
Ruijie(config)#interface range GigabitEthernet 0/25-26 //进入上联接口
Ruijie(config-if-range)#switchport mode trunk //配置为trunk口模式
6、认证相关配置
方式一:802.1x认证(10.x系列)
Ruijie(config)#aaa new-model //开启aaa认证开关
Ruijie(config)#radius-server host 172.16.8.200 //定义radius认证服务器IP Ruijie(config)#radius-server key 01214242 //配置Radius key
Ruijie(config)#aaa authentication dot1x default group radius local none //配置dot1x 认证方法列表
Ruijie(config)#dot1x authentication default //开启dot1x 认证功能列表
Ruijie(config)#dot1x private-supplicant-only //打开过滤非我司supplicant功能的开关,备注:若使用非锐捷客户端,此功能要关闭
Ruijie(config)#dot1x client-probe enable //打开客户端在线探测功能,备注:若使用非锐捷客户端,此功能要关闭
Ruijie(config)#aaa accounting network default start-stop group radius //配置记账方法列表
Ruijie(config)#dot1x accounting default // 为802.1X应用记账方法列表
Ruijie(config)#aaa accounting update //配置记账更新功能
Ruijie(config)#aaa accounting update periodic 60 //定义记账更新间隔60分钟
Ruijie(config)#dot1x timeout server-timeout 5 //配置RADIUS 服务器的最大响应时间为5s
Ruijie(config)#aaa authentication login default group radius local //定义设备telnet 登录使用本地认证
Ruijie(config)#aaa group server radius default //进入记账服务器default组,用于配置多认证服务器
Ruijie(config-gs-radius)#server 172.16.8.200 //定义主记账服务器IP
Ruijie(config-gs-radius)#server 172.16.8.201 //定义备份记账服务器IP
Ruijie(config-gs-radius)#exit //退出服务器组配置模式
Ruijie(config)#mac-address-table static 00a0.d276.0bfe vlan 106 interface fastEthernet 0/19 //接口下不认证的设置
Ruijie(config)#interface range fastEthernet 0/1-24 //进入接入PC用户端口
Ruijie(config-if-range)#dot1x port-control auto //端口开启dot1x认证
客户端自动分发功能配置(SAM服务器设置好客户端链接位置)
Ruijie(config)#dot1x redirect //打开全局客户端下载功能
Ruijie(config)#http redirect 172.16.8.200 //设置认证服务器的IP 地址
Ruijie(config)#http redirect homepage https://www.sodocs.net/doc/7211830232.html,/su/index.jsp //设置客户端下载的主页链接地址
Ruijie(config)#http redirect direct-site 192.168.4.254 arp //将网关IP设为免认证资源范围,并开启arp选项,保证在认证前PC 能完成DNS及ARP请求
GSN相关配置
Ruijie(config)#security gsn enable //全局开启GSN认证功能
Ruijie(config)#security community aaa //配置和SMP服务器的认证 key
Ruijie(config)#smp-server host 192.168.10.200 //配置和SMP服务器的ip地址
Ruijie(config)#interface fastEthernet 0/24 //进入接入PC用户端口
Ruijie(config-if-range)#security address-bind enable //端口开启gsn安全认证
方式一:802.1x认证(21系列)
Ruijie(config)#aaa authentication dot1x //打开802.1x
Ruijie(config)#radius-server host 172.16.8.200 //配置认证服务器IP地址
Ruijie(config)#aaa accounting server 172.16.8.200 //配置计费服务器IP地址
Ruijie(config)#aaa accounting //打开计费
Ruijie(config)#aaa accounting update //开启记费更新
Ruijie(config)#dot1x client-probe enable //配置hello 功能与生存时间
Ruijie(config)#dot1x probe-timer alive 130 //配置设备的Alive Interval
Ruijie(config)#radius-server key aaa //配置认证服务器的key 为 test字符串
Ruijie(config)#snmp-server community ruijie rw //配置交换机SNMP共同体
Ruijie(config)#interface range FastEthernet 0/1-24
Ruijie(config-if-range)#dot1x port-control auto //配置交换机上的1-8端口为认证口
方式二:web认证
1、端口上打开了Web认证后,即使未认证的用户发出的DHCP和DNS报文是可以通过的,不会影响用户获取IP,及域名解析
2、由于Web认证必须依靠客户PC能发起HTTP连接,而在进行连接之前,须要能让客户PC获取到DNS 解析的IP地址,以及网关的ARP报文
Ruijie(config)#http redirect 192.168.10.250 //配置认证服务器的ip地址Ruijie(config)#web-auth portal key ycrmyy //设置设备与认证服务器进行通信的密钥
Ruijie(config)#http redirect homepage http://192.168.10.250:80/ess/webauthservlet //设置认证页面的主页地址
Ruijie(config)#snmp-server community test rw// 设置SNMP Community
Ruijie(config)#snmp-server enable traps web-auth //设置设备允许向外发送Web认证的消息,类型包括Trap和Inform
Ruijie(config)#snmp-server host 192.168.10.250 informs version 2c test web-auth //设置发送Web认证消息的目的主机(认证服务器ip)、类型、版本、Community等参数
Ruijie(config)#web-auth offline-detect-mode flow //设置基于流量检测用户是否下线
Ruijie(config)#http redirect direct-site 192.168.121.254 arp // 设置网关为免认证的网络资源
Ruijie(config)#http redirect direct-site 192.168.10.250 arp // 设置重要服务器为免认证的网络资源
Ruijie(config)#web-auth direct-host 192.168.20.1 arp //设置交换机下无需认证用户(最大允许配置50个)
Ruijie(config)#interface range fastEthernet 0/1-24 //进入接入PC用户端口
Ruijie(config-if-range)#web-auth port-control //在端口上启动Web认证功能
安全通道配置(备注:和GSN功能冲突,不能同时存在)
Ruijie(config)#ip access-list extended saftunnel //配置访问控制列表名
Ruijie(config-ext-nacl)#permit udp any eq bootpc any eq bootps //配置允许dhcp请求报文通过
Ruijie(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 //配置未认证时允许访问的网段请求报文通过
Ruijie(config-ext-nacl)#exit
Ruijie(config)#security global access-group saftunnel //全局模式下启用安全通道
Ruijie(config)#interface fastEthernet 0/24 //进入接入PC用户端口
Ruijie(config-if)#security uplink enable //把此接口配置为安全通道例外口
认证逃生功能配置(10.x版本)
Ruijie(config-if)#radius-server timeout 3 //指定设备重传请求以前等待的时间
Ruijie(config-if)#radius-server retransmit 0 // 指定设备在确认 RADIUS 无效以前发送请
求的次数
Ruijie(config-if)#aaa authentication dot1x default group radius none //配置在无法联系认证服务器时,认证方法列表使用none method方法
7、通用安全控制列表
Ruijie(config)#ip access-list extended anti_virus
Ruijie(config-ext-nacl)#deny tcp any any eq 135
Ruijie(config-ext-nacl)#deny tcp any any eq 136
Ruijie(config-ext-nacl)#deny tcp any any eq 137
Ruijie(config-ext-nacl)#deny tcp any any eq 138
Ruijie(config-ext-nacl)#deny tcp any any eq 139
Ruijie(config-ext-nacl)#deny tcp any any eq 445
Ruijie(config-ext-nacl)#deny tcp any any eq 593
Ruijie(config-ext-nacl)#deny tcp any any eq 554
Ruijie(config-ext-nacl)#deny tcp any any eq 707
Ruijie(config-ext-nacl)#deny tcp any any eq 1068
Ruijie(config-ext-nacl)#deny tcp any any eq 1080
Ruijie(config-ext-nacl)#deny tcp any any eq 2222
Ruijie(config-ext-nacl)#deny tcp any any eq 3332
Ruijie(config-ext-nacl)#deny tcp any any eq 4444
Ruijie(config-ext-nacl)#deny tcp any any eq 5554
Ruijie(config-ext-nacl)#deny tcp any any eq 6669
Ruijie(config-ext-nacl)#deny tcp any any eq 6711
Ruijie(config-ext-nacl)#deny tcp any any eq 6712
Ruijie(config-ext-nacl)#deny tcp any any eq 6776
Ruijie(config-ext-nacl)#deny tcp any any eq 7000
Ruijie(config-ext-nacl)#deny tcp any any eq 9996
Ruijie(config-ext-nacl)#deny tcp any any eq 9995
Ruijie(config-ext-nacl)#deny tcp any any eq 27665
Ruijie(config-ext-nacl)#deny tcp any any eq 16660
Ruijie(config-ext-nacl)#deny tcp any any eq 65000
Ruijie(config-ext-nacl)#deny tcp any any eq 33270
Ruijie(config-ext-nacl)#deny tcp any any eq 39168
Ruijie(config-ext-nacl)#deny udp any any eq 135
Ruijie(config-ext-nacl)#deny udp any any eq 136
Ruijie(config-ext-nacl)#deny udp any any eq 137
Ruijie(config-ext-nacl)#deny udp any any eq 138
Ruijie(config-ext-nacl)#deny udp any any eq 139
Ruijie(config-ext-nacl)#deny udp any any eq 445
Ruijie(config-ext-nacl)#deny udp any any eq 1163
Ruijie(config-ext-nacl)#deny udp any any eq 1434
Ruijie(config-ext-nacl)#deny udp any any eq 5554
Ruijie(config-ext-nacl)#deny udp any any eq 1068
Ruijie(config-ext-nacl)#deny udp any any eq 31335
Ruijie(config-ext-nacl)#deny udp any any eq 27444
Ruijie(config-ext-nacl)#permit ip 172.16.0.0 0.0.255.255 any
8、端口安全和风暴控制
适用场景:交换机下联用户有大量风暴报文涌入情况
Ruijie(config)#interface range fastEthernet 0/1-24 //进入接入PC用户端口
Ruijie(config-if-range)#storm-control multicast pps 10000 //设置未知名组播报文每秒10000个上限,超过丢弃
Ruijie(config-if-range)#storm-control broadcast pps 10000 //设置未知名广播报文每秒10000个上限,超过丢弃
Ruijie(config-if-range)#storm-control unicast pps 10000 //设置未知名单播报文每秒10000个上限,超过丢弃
Ruijie(config-if-range)#switchport protected //设置为保护口,阻断保护口之间的二层交换但允许保护口之间路由
交换机的端口安全配置
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
第八章实验讲义-- 交换机基本配置端口安全与STP
第12章交换机基本配置 交换机是局域网中最重要的设备,交换机是基于MAC来进行工作的。和路由器类似,交换机也有IOS,IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。 12.1 交换机简介 交换机是第2层的设备,可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个:一个是维护CAM(Conetxt Address Memory)表,该表是计算机的MAC地址和交换端口的映射表;另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种:交换机收到帧后,查询CAM表,如果能查询到目的计算机所在的端口,并且目的计算机所在的端口不是交换接收帧的源端口,交换机将把帧从这一端口转发出去(Forward);如果该计算机所在的端口和交换机接收帧的源端口是同一端口,交换机将过滤掉该帧(Filter);如果交换机不能查询到目的计算机所在的端口,交换机将把帧从源端口以外的其他所有端口上发送出去,这称为泛洪(Flood),当交换机接收到的帧是广播帧或多播帧,交换机也会泛洪帧。 12.2 实验0:交换机基本配置 1.实验目的: 通过本实验,可以掌握交换机的基本配置这项技能。 2.实验拓扑 实验拓扑图如图12-2所示。 图12-2 实验1拓扑图 3.实验步骤 (1)步骤1:通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端. 登录成功后, 通过PC0配置交换机Switch0的主机名 Switch>enable Switch#conf terminal
三层交换机配置实例
三层交换综合实验 一般来讲,设计方案中主要包括以下内容: ◆????? 用户需求 ◆????? 需求分析 ◆????? 使用什么技术来实现用户需求 ◆????? 设计原则 ◆????? 拓扑图 ◆????? 设备清单 一、模拟设计方案 【用户需求】 1.应用背景描述 某公司新建办公大楼,布线工程已经与大楼内装修同步完成。现公司需要建设大楼内部的办公网络系统。大楼的设备间位于大楼一层,可用于放置核心交换机、路由器、服务器、网管工作站、电话交换机等设备。在每层办公楼中有楼层配线间,用来放置接入层交换机与配线架。目前公司工程部25人、销售部25人、发展部25人、人事部10人、财务部加经理共15人。 2.用户需求 为公司提供办公自动化、计算机管理、资源共享及信息交流等全方位的服务,目前的信息点数大约100个,今后有扩充到200个的可能。 公司的很多业务依托于网络,要求网络的性能满足高效的办公要求。同时对网络的可靠性要求也很高,要求在办公时间内,网络不能宕掉。因此,在网络设计过程中,要充分考虑到网络设备的可靠性。同时,无论是网络设备还是网络线路,都应该考虑冗余备份。不能因为单点故障,而导致整个网络的瘫痪,影响公司业务的正常进行。 公司需要通过专线连接外部网络。 【需求分析】 为了实现网络的高速、高性能、高可靠性还有冗余备份功能,主要用于双核心拓扑结构的网络中。
本实验采用双核心拓扑结构,将三层交换技术和VTP、STP、EthernetChannel 综合运用。 【设计方案】 1、在交换机上配置VLAN,控制广播流量 2、配置2台三层交换机之间的EthernetChannel,实现三层交换机之间的高速互通 3、配置VTP,实现单一平台管理VLAN, 同时启用修剪,减少中继端口上不必要的广播信息量 4、配置STP,实现冗余备份、负载分担、避免环路 5、在三层交换机上配置VLAN间路由,实现不同VLAN之间互通 6、通过路由连入外网,可以通过静态路由或RIP路由协议 【网络拓扑】 根据用户对可靠性的要求,我们将网络设计为双核心结构,为了保证高性能,采用双核心进行负载分担。当其中的一台核心交换机出现故障的时候,数据能自动转换到另一台交换机上,起到冗余备份作用。 注意:本实验为了测试与外网的连通性,使用一个简单网络
接入层交换机配置文档
接入层交换机配置文档开机过程:
这里需要输“no”才能进入用户模式“>”(第一次开机才会出现) 配置交换机: 进入用户模式后输入“enable”进入特权模式(命令可以用“tab”键补全) 在特权模式下可使用show命令后面可以跟具体的参数
在特权模式下输入“conf treminal”进入全局模式,也叫配置模式 在全局模式下可以实现用户名、密码、设备名称、路由等配置,还可以创建vlan、进入vlan 接口、进入物理接口。 //创建用户名和密码,这个用户名和密码是远程登陆时候需要用到的:用户名:cisco 密码:cisco //这是从特权模式进入到全局模式需要用的密码,这个密码无论远程登陆或者console线连接登陆都是需要的(密码是密文的)密码:cisco 配置设备名称: //在全局模式下配置本设备名称:“hostname 后加设备名称” (JR=接入、JHJ=交换机、LTBGL=炼铁办公楼、C3560=交换机型号) 划分Vlan:
//首先全局模式创建相应的vlan:vlan 2 进入vlan 2 :int vlan 2 开启vlan 2 :no shutdown 然后进入物理端口,配置需要划分vlan的端口,例如把f0/1口划分到vlan 2里 //全局模式下进入f0/1口:interface f0/1 把此端口划分到vlan 2:switchport access vlan 2 把此端口模式设置成访问模式:switchport mode access 开启此端口:no shutdowm 还可以同时将多个端口划分到同一个vlan里, 全局模式下进入多个端口:interface range f0/1 - 24 例如: 配置trunk链路 //全局模式下进入需要配置trunk模式的端口:interface range g0/1 -2 封装dot1q协议:switchport trunk encapsulation dot1q 设置trunk模式:switchport mode trunk 开启端口:no shutdown 配置管理地址: //全局模式下进入vlan 1的端口模式:interface vlan 1 添加一个ip地址:ip address 10.99.21.1 255.255.255.128
思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)
网络拓扑图如下: 根据图示连接设备。 在本次试验中,具体端口情况如上图数字标出。核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。 IP 地址分配: Router:e0::f0/1: 接口:Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址:区域网段地址: PC1:PC2:路由器清空配置命令: en erase startup-config Reload 交换机清空配置命令: en erase startup-config
delete Reload 加速命令: en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击; 1、基本配置 SW1的配置: SW1(config)#vtp domain cisco 然后在pc上进入接口,设置为DHCP获取地址,命令如下: int f0/1 ip add dhcp 查看结果:
5、Student区域ARP防护: SW2配置如下: ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量,此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址,就可以发现端口down状态,修改mac地址命令如下: pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证: 服务器地址为:vlan 30 //创建vlan 30的原因:在sw1、sw2中配置svi口,服务器的地址为,使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机,所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct
接入交换机常见安全配置
适用场景:1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机 堆叠环境中,若未指定优先级,则是根据它们的MAC地址(mac小的为主机)来确定谁是主机。优先级为越大越好,范围1-10。出场默认为1。 1、系统时间同步:如果客户有使用 ntp/sntp进行全网统一的时间配置的需求,可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名 Ruijie(config)#sntp enable //首先开启 sntp 服务 Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址,此为国家授时中心服务器IP 地址 Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔 措施一:限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 99 in 措施二:限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99 措施三:使用加密管理协议,使用SSH管理,禁用Telnet协议 Ruijie(config)#no enable service telnet-server //禁用telnet管理 Ruijie(config)#enable service ssh-server //启用SSH管理 Ruijie(config)#crypto key generate dsa //设置ssh加密模式
三层交换机配置实例
---------------------------------------------------------------最新资料推荐------------------------------------------------------ 三层交换机配置实例 三层交换综合实验一般来讲,设计方案中主要包括以下内容: 用户需求需求分析使用什么技术来实现用户需求设计原则拓扑图设备清单一、模拟设计方案【用户需求】 1. 应用背景描述某公司新建办公大楼,布线工程已经与大楼内装修同步完成。 现公司需要建设大楼内部的办公网络系统。 大楼的设备间位于大楼一层,可用于放置核心交换机、路由器、服务器、网管工作站、电话交换机等设备。 在每层办公楼中有楼层配线间,用来放置接入层交换机与配线架。 目前公司工程部 25 人、销售部 25人、发展部 25 人、人事部 10 人、财务部加经理共 15 人。 2. 用户需求为公司提供办公自动化、计算机管理、资源共享及信息交流等全方位的服务,目前的信息点数大约 100 个,今后有扩充到 200 个的可能。 公司的很多业务依托于网络,要求网络的性能满足高效的办公要求。 同时对网络的可靠性要求也很高,要求在办公时间内,网络不能宕掉。 1 / 14
因此,在网络设计过程中,要充分考虑到网络设备的可靠性。 同时,无论是网络设备还是网络线路,都应该考虑冗余备份。 不能因为单点故障,而导致整个网络的瘫痪,影响公司业务的正常进行。 公司需要通过专线连接外部网络。 【需求分析】为了实现网络的高速、高性能、高可靠性还有冗余备份功能,主要用于双核心拓扑结构的网络中。 本实验采用双核心拓扑结构,将三层交换技术和 VTP、 STP、EthernetChannel综合运用。 【设计方案】 1、在交换机上配置 VLAN,控制广播流量 2、配置 2 台三层交换机之间的 EthernetChannel,实现三层交换机之间的高速互通 3、配置 VTP,实现单一平台管理 VLAN,同时启用修剪,减少中继端口上不必要的广播信息量 4、配置 STP,实现冗余备份、负载分担、避免环路 5、在三层交换机上配置 VLAN 间路由,实现不同 VLAN 之间互通 6、通过路由连入外网,可以通过静态路由或 RIP 路由协议【网络拓扑】根据用户对可靠性的要求,我们将网络设计为双核心结构,为了保证高性能,采用双核心进行负载分担。 当其中的一台核心交换机出现故障的时候,数据能自动转换到另一台交换机上,起到冗余备份作用。 注意: 本实验为了测试与外网的连通性,使用一个简单网络【设备
cisco交换机的端口安全配置
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
接入交换机RSTP配置规范
接入交换机RSTP配置规范 广州亚运会AGIS系统接入交换机原来部分配置了smart-link,但后来由于网络结构变更,部分开启了生成树,为了配置规范统一和维护的需要,现统一改成生成树的模式,并去掉smart-link相关配置,具体规范要求建议如下: 1、汇聚交换机配置: 001号交换机为主root,命令: stp mode rstp stp instance 0 root primary stp bpdu-protection stp enable 002号交换机为从root,命令: stp mode rstp stp instance 0 root secondary stp bpdu-protection stp enable 2、接入交换机配置,模式为RSTP,命令: stp mode rstp stp bpdu-protection stp enable 注意: 1)交换机和交换机相连的端口开启stp,交换机接PC、打印机的端口配置边缘端口,端口视图stp edged-port enable 2)配置了边缘端口的交换机同时开启BPDU保护,命令: 全局视图stp bpdu-protection 正常情况下,边缘端口应该不会收到生成树协议的配置消息。如果有人伪造配置消息恶意攻击交换机,就会引起网络震荡,BPDU保护功能可以防止这种网络攻击。交换机上启动了BPDU保护功能以后,如果边缘端口收到了配置消息,系统就将这些端口关闭,同时通知网管这些端口被MSTP关闭,被关闭的边缘端口只能由网络管理人员恢复。 配置范例: 汇聚交换机1 (全局启用RSTP) # stp mode rstp
2016年华为交换机配置步骤讲解
BIOS LOADING ... CopyrighT (c) 2008-2011 HUAWEI TECH CO,, LTD, (Ver248t ^un 26 2012, 18:54:52) press ctr1+B to enrer BOOTROM menu ?*. 0 Auto-booti ng.,. Decompressing image file .*? done Inirialize FSP Task PPI DEV sysinit .............................................. OK vrrp emd di sabl e... BFD emd disable*.. SEP emd di sable? * ? Hard system init............................................ OK Begin to start the system, pl ease wai ti ng VOS VF5彳门亍工 ............................... O K. Starrup File Check........................................ O K vos monitor ini t*..*,*..* .OK CFM inix advan匚E ........................................ OK PAT init .......................................................... OK HA S2M 1nit.................................................. O K VDS VFS irht hind............................. OK vRP_Root begin,,, VRP_in111 al 1zeTask begin.?. init the Device Link .................................... . . CFG(_planETrrit begin................................ CFM_Ini t begi n ........................................... CLi_cmdinit begin■ VRP_RegestAnLiNK€ird begin create task begi门……. task 1n1t begin... Recover configurate on, ,, OK!Press ENTER To get started. 恢复出厂设置:
华为交换机安全防范技术
在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。 广播风暴控制技术 网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。 1.广播风暴抑制比 可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。当百分比为100时,表示不对该端口进行广播风暴抑制。缺省情况下,允许通过的广播流量为100%,即不对广播流量进行抑制。在以太网端口视图下进行下列配置: broadcast-suppression ratio 2.为VLAN指定广播风暴抑制比 同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。缺省情况下,系统所有VLAN不做广播风暴抑制,即max-ratio值为100%。 MAC地址控制技术 以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。对于发往这些MAC地址的报文,以太网交换机可以直接使用硬件转发。如果MAC地址表过于庞大,可能导致以太网交换机的转发性能的下降。MAC攻击利用工具产生欺骗的MAC地址,快速填满交换机的MAC表,MAC表被填满后,交换机会以广播方式处理通过交换机的报文,流量以洪泛方式发送到所有接口,这时攻击者可以利用各种嗅探工具获取网络信息。TRUNK接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包,甚至瘫痪。可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间,来抑制MAC攻击。 1.设置最多可学习到的MAC地址数
交换机应用中的六种安全设置方法
交换机应用中的六种安全设置方法 L2-L4 层过滤 现在的新型交换机大都可以通过建立规则的方式来实现各种过滤需求。规则设置有两种模式,一种是MAC模式,可根据用户需要依据源MAC或目的MAC有效实现数据的隔离,另一种是IP模式,可以通过源IP、目的IP、协议、源应用端口及目的应用端口过滤数据封包;建立好的规则必须附加到相应的接收或传送端口上,则当交换机此端口接收或转发数据时,根据过滤规则来过滤封包,决定是转发还是丢弃。另外,交换机通过硬件“逻辑与非门”对过滤规则进行逻辑运算,实现过滤规则确定,完全不影响数据转发速率。 802.1X 基于端口的访问控制 为了阻止非法用户对局域网的接入,保障网络的安全性,基于端口的访问控制协议802.1X无论在有线LAN或WLAN中都得到了广泛应用。例如华硕最新的GigaX2024/2048等新一代交换机产品不仅仅支持802.1X 的Local、RADIUS 验证方式,而且支持802.1X 的Dynamic VLAN 的接入,即在VLAN和802.1X 的基础上,持有某用户账号的用户无论在网络内的何处接入,都会超越原有802.1Q 下基于端口VLAN 的限制,始终接入与此账号指定的VLAN组内,这一功能不仅为网络内的移动用户对资源的应用提供了灵活便利,同时又保障了网络资源应用的安全性;另外, GigaX2024/2048 交换机还支持802.1X的Guest VLAN功能,即在802.1X的应用中,如果端口指定了Guest VLAN项,此端口下的接入用户如果认证失败或根本无用户账号的话,会成为Guest VLAN 组的成员,可以享用此组内的相应网络资源,这一种功能同样可为网络应用的某一些群体开放最低限度的资源,并为整个网络提供了一个最外围的接入安全。 流量控制(traffic control)
交换机的安全设置六大原则及三层交换的组播配置
交换机的安全设置六大原则说明 L2-L4 层过滤 现在的新型交换机大都可以通过建立规则的方式来实现各种过滤需求。规则设置有两种模式,一种是MAC 模式,可根据用户需要依据源MAC或目的MAC有效实现数据的隔离,另一种是IP模式,可以通过源IP、目的IP、协议、源应用端口及目的应用端口过滤数据封包;建立好的规则必须附加到相应的接收或传送端口上,则当交换机此端口接收或转发数据时,根据过滤规则来过滤封包,决定是转发还是丢弃。另外,交换机通过硬件“逻辑与非门”对过滤规则进行逻辑运算,实现过滤规则确定,完全不影响数据转发速率。 802.1X 基于端口的访问控制 为了阻止非法用户对局域网的接入,保障网络的安全性,基于端口的访问控制协议802.1X无论在有线LAN 或WLAN中都得到了广泛应用。例如华硕最新的GigaX2024/2048等新一代交换机产品不仅仅支持802.1X 的Local、RADIUS 验证方式,而且支持802.1X 的Dynamic VLAN 的接入,即在VLAN和802.1X 的基础上,持有某用户账号的用户无论在网络内的何处接入,都会超越原有802.1Q 下基于端口VLAN 的限制,始终接入与此账号指定的VLAN组内,这一功能不仅为网络内的移动用户对资源的应用提供了灵活便利,同时又保障了网络资源应用的安全性;另外,GigaX2024/2048 交换机还支持802.1X 的Guest VLAN功能,即在802.1X的应用中,如果端口指定了Guest VLAN项,此端口下的接入用户如果认证失败或根本无用户账号的话,会成为Guest VLAN 组的成员,可以享用此组内的相应网络资源,这一种功能同样可为网络应用的某一些群体开放最低限度的资源,并为整个网络提供了一个最外围的接入安全。 流量控制(traffic control) 交换机的流量控制可以预防因为广播数据包、组播数据包及因目的地址错误的单播数据包数据流量过大造成交换机带宽的异常负荷,并可提高系统的整体效能,保持网络安全稳定的运行。 SNMP v3 及SSH 安全网管SNMP v3 提出全新的体系结构,将各版本的SNMP 标准集中到一起,进而加强网管安全性。SNMP v3 建议的安全模型是基于用户的安全模型,即https://www.sodocs.net/doc/7211830232.html,M对网管消息进行加密和认证是基于用户进行的,具体地说就是用什么协议和密钥进行加密和认证均由用户名称(userNmae)权威引擎标识符(EngineID)来决定(推荐加密协议CBCDES,认证协议HMAC-MD5-96 和HMAC-SHA-96),通过认证、加密和时限提供数据完整性、数据源认证、数据保密和消息时限服务,从而有效防止非授权用户对管理信息的修改、伪装和窃听。 至于通过Telnet 的远程网络管理,由于Telnet 服务有一个致命的弱点——它以明文的方式传输用户名及口令,所以,很容易被别有用心的人窃取口令,受到攻击,但采用SSH进行通讯时,用户名及口令均进行了加密,有效防止了对口令的窃听,便于网管人员进行远程的安全网络管理。
2.10 交换机端口安全配置
2.10 交换机端口安全配置1 预备知识: 网络安全涉及到方方面面,从交换机来说,首选需要保证交换机端口的安全。在不少公司或网络中,员工可以随意的使用集线器等工具将一个上网端口增至多个,或者说使用自己的笔记本电脑连接到网络中,类似的情况都会给企业的网络安全带来不利的影响。 交换机的端口安全特性可以让我们配置交换机端口,使得当网络上具有非法MAC地址的设备接入时,交换机会自动关闭或者拒绝非法设备接入,也可以限制某个端口上最大的MAC地址连接数。配置端口安全时一般在接入层交换机上配置,使非法接入的设备挡在网络最低层,不会影响网络带宽。 交换机的端口安全能从限制接入端口的最大连接数和接入MAC地址来达到安全配置。 一、实训目的 1、了解交换机端口安全的作用。 2、能读懂交换机MAC地址表。 3、掌握配置交换机端口安全的方法。 二、应用环境 某企业一些办公室里出现了一些员工没经过网络中心允许私自带个人手提电脑连上公司局域网的情况,一些个人电脑中毒后在局域网内发送病毒,影响了公司的正常上网。交换机端口安全特性可以让我们配置交换机端口,使得当具有非法MAC地址的设备接入时交换机会自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的MAC地址数。 三、实训要求 1.设备要求: 1)两台2950-24二层交换机、四台PC机。 2)一条交叉双绞线、四条直通双绞线。 2.实训拓扑图 3.配置要求:
2)交换机配置要求: 在交换机S1上的F0/24上启用端口安全、限制最大连接MAC 地址数为2并设置发生违例后丢弃新加入计算机发送的数据包并发送警告信息。 4. 实训效果:PC1、PC2、PC3之间能互联互通,P1、 PC2机PING PC4不通,PC3与PC4 互通。 四、实训步骤 1、 添加设备并连接部分网络。 2、 进入F0/24启用端口安全配置。 3、 设置端口最大连接MAC 数限制。 4、 设置违例处理方式。 5、 测试效果。 五、详细步骤 1、 按要求添加二台2950-24二层交换机和四台PC 机。 2、 按实训配置要求设置四台PC 机的IP 地址信息。 3、 按如下拓扑图连接设备,如下图所示。 4、 进入交换机S1的命令行配置窗口,在特权用户配置模式下使用show mac-address-table 命令查看交换机MAC 地址表。
H3C交换机端口绑定与端口安全
H3C端口绑定与端口安全 端口安全: 1.启用端口安全功能 [H3C]port-security enable 2.配置端口允许接入的最大MAC地址数 [H3C-Ethernet1/0/3]port-security max-mac-count count-value 缺省情况下,最大数不受限制为0 3.配置端口安全模式 [H3C-Ethernet1/0/3]port-security port-mode { autolearn |noRestriction… } 4.手动添加Secure MAC地址表项 [H3C-Ethernet1/0/3] mac-address security mac-address vlan vlan-id 5.配置Intrusion Protection(Intrusion Protection被触发后,设置交换机采取的动作) [H3C-Ethernet1/0/3]port-security intrusion-mode { blockmac | disableport | disableport -temporarily } 验证命令: display port-security [ interface interface-list ] 显示端口安全配置的相关信息display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] 显示Secure MAC地址的配置信息
端口+IP+MAC绑定 方法一: [H3C]am user-bind mac-addr B888-E37B-CE2C ip-addr 192、168、1、106 interface Ethernet 1/0/3 方法二: [H3C-Ethernet1/0/3] am user-bind mac-addr B888-E37B-CE2C ip-addr 192、168、1、106 验证命令: [H3C]display am user-bind 显示端口绑定的配置信息 端口+IP绑定 [H3C-Ethernet1/0/3] am user-bind ip-addr 192、168、1、106 注: 交换机只要接收一个3层表项,交换机使用动态ARP产生一条arp条目。选用交换机时应该注意交换机所支持的最大ARP表项的数目。
华为交换机安全基线
华为设备安全配置基线目录
概述 目的 规范配置华为路由器、交换机设备,保证设备基本安全。 适用范围 本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。 适用版本 华为交换机、路由器。
帐号管理、认证授权安全要求 帐号管理 1.1.1用户帐号分配* 1、安全基线名称:用户帐号分配安全 2、安全基线编号:SBL-HUAWEI-02-01-01 3、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。 4、参考配置操作: [Huawei]aaa [Huawei-aaa]local-user admin password cipher admin123 [Huawei-aaa]local-user admin privilege level 15 [Huawei-aaa]local-user admin service-type ssh [Huawei-aaa]local-user user password cipher user123 [Huawei-aaa]local-user user privilege level 4 [Huawei-aaa]local-user user service-type ssh 5、安全判定条件: (1)配置文件中,存在不同的账号分配 (2)网络管理员确认用户与账号分配关系明确 6、检测操作: 使用命令dis cur命令查看: … # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!! local-user admin privilege level 15 local-user admin service-type ssh local-user user password cipher "=LP!6$^-IYNZP local-user user privilege level 4 local-user user service-type ssh # 对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。 1.1.2删除无关的帐号* 1、安全基线名称:删除无关的账号 2、安全基线编号:SBL-HUAWEI-02-01-02 3、安全基线说明:应删除与设备运行、维护等工作无关的账号。 4、参考配置操作:
交换机端口安全配置实验
1、如图的拓扑 2、配置交换机的 Switch(config)#interface f0/1 Switch(config-if)#switchport mode access 接口设置为access模式 Switch(config-if)#switchport port-security 、//启动安全端口 Switch(config-if)#switchport port-security ? mac-address Secure mac address maximum Max secure addresses violation Security violation mode
交换机端口安全之类的配置
在三层交换设备上开启Telnet管理功能 DCRS-5650-28(R4)(config)#telnet-server enable Telnet server has been already enabled. 连接交换机空闲超时时间为5分钟 DCRS-5650-28(R4)(config)#exec-timeout 5 管理设备使用2015telnet作为用户名,口令为telnet2015 第一种方法: DCRS-5650-28(R4)#setup ---System Configuration Dialog--- At any point you may enter a question mark '?' for help. Default settings are in square brackets '[]', if you do not change the default settings, you may input enter. Continue with configuration dialog? [y/n]:y Please select language: [0]: English [1]: Chinese
Selection(0|1)[0]:1 配置菜单 [0]: 配置交换机主机名 [1]: 配置Vlan1的接口 [2]: 配置交换机Telnet服务器 [3]: 配置交换机Web服务器 [4]: 配置SNMP [5]: 退出setup模式不保存配置结果 [6]: 退出setup模式保存配置结果 选择序号:2 配置Telnet服务器 [0]: 添加Telnet服务器用户 [1]: 配置Telnet服务器的状态 [2]: 返回上一级菜单 选择序号:0 请输入要添加的Telnet用户名:2015telnet 请输入用户密码:telnet2015 配置Telnet服务器 [0]: 添加Telnet服务器用户
H3C接入层交换机E126B配置实例
H3C接入层交换机E126B配置实例配 (1)Super 进入特权模式 (2)输入超级用户密码 (3)system-view 进入系统视图模式 (4)sysname H3C-E126B 为设备命名 (5)super password level 3 cipher manager! 配置超级用户密码(cipher:表示密码不以明文形式出现在交换机的配置文件当中,simple表示以明文形式出现在交换机的配置文件当中) (6)user-interface aux 0 //配置console控制台登录密码 authentication-mode none/password/scheme //认证模式 set authentication password cipher manager //设置密码为manager user privilege level 3 //通过AUX口登录的命令访问级别为3 speed 9600 //配置AUX用户界面使用波特率为9600b/s screen-length 30 //配置AUX用户界面终端屏幕一屏显示30行命令 history-command max-size 20 //配置AUX用户界面历史命令缓冲区可存放20条命令idle-timeout 6 //配置AUX用户界面的超时时间为6分钟 (7)user-interface vty 0 4 //配置远程登录的接口(如远程telnet管理)authentication-mode none/password/scheme //认证模式 set authentication password cipher manager //配置远程登录接口验证密码(cipher:表示密码不以明文形式出现在交换机的配置文件当中,simple表示以明文形式出现 在交换机的配置文件当中) user privilege level 3 //通过VTY口登录的命令访问级别为3 protocol inbound telnet //配置vty 用户界面支持telnet协议 screen-length 30 //配置vty用户界面终端屏幕一屏显示30行命令 history-command max-size 20 //配置vty用户界面历史命令缓冲区可存放20条命令 idle-timeout 6 //配置vty用户界面的超时时间为6分钟 telnet server enable //允许远程终端通过telnet方式管理该交换机 (8)vlan 256 //新建vlan quit //退出vlan mana 256 //把vlan 256设置为管理vlan (创建vlan 256,management-vlan 5,它提示vlan已存在,请先删除, undo interface vlan 1 //删除vlan1的接口信息 undo mana 1 //删除vlan1的管理任务,以为vlan1 是系统自带的删除不了 mana 5 //把vlan5作为管理vlan 这样就可以把vlan5设为管理vlan了。) Interface vlan-interface 256 //进入刚刚设置的管理vlan256 Ip address 192.168.2.34 255.255.255.224 //设置交换机的管理地址 ip route 0.0.0.0 0.0.0.0 192.168.2.54 preference 60 //设置静态路由,路由接口地址是 192.168.2.54 (9)vlan 1006 //新建vlan 1006 port ethernet 1/0/1 to ethernet 1/0/24 //在vlan1006下把1到24号百兆以太网端口加入