接入交换机常见安全配置

适用场景：1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机

堆叠环境中，若未指定优先级，则是根据它们的MAC地址（mac小的为主机）来确定谁是主机。优先级为越大越好，范围1-10。出场默认为1。

1、系统时间同步：如果客户有使用 ntp/sntp进行全网统一的时间配置的需求，可在设备上做

Ruijie(config)#hostname TSG#5750 //给交换机命名

Ruijie(config)#sntp enable //首先开启 sntp 服务

Ruijie(config)#sntp server //配置服务器IP地址，此为国家授时中心服务器IP地址

Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔

若客户无需配置SNTP功能，则配置单台设备系统时间命令如下

Ruijie#clock set 20:30:50 3 20 2011 //配置系统时间配置方法：

2、系统远程管理规范配置

远程登录

方式一：采用两级密码方式

Ruijie(config)#enable password test4321 //特权密码配置

Ruijie(config)#line vty 0 35

Ruijie(config-line)#password test //telnet远程登录密码配置

Ruijie(config-line)#exit

Ruijie(config)#service password-encryption //对所配置的密码进行加密

方式二：采用用户名密码方式

Ruijie(config)#username admin privilege 15 password test4321 //用户名和密码配置

Ruijie(config)#line console 0 //进入console口配置模式

Ruijie(config-line)#password ruijie //配置console口登录密码

Ruijie(config-line)#login //配置console口登录模式

Ruijie(config-line)#exit

Ruijie(config)#line vty 0 35 //进入远程登录接口配置模式

Ruijie(config)#login local //启用本地认证模式

Ruijie(config)#exit

Ruijie(config)#service password-encryption //对所配置的密码进行加密

SNMP远程管理

Ruijie(config)#snmp-server community ycrmyy rw

额外安全措施

措施一：限制远程管理源地址

Ruijie(config)#access-list 99 permit host //配置控制列表，严格限定允许ip

Ruijie(config)#line vty 0 35

Ruijie(config-line)#access-class 99 in

措施二：限制SNMP管理源地址

配置控制列表，严格限定允许ip

Ruijie(config)#snmp-server community ruijie rw 99

措施三：使用加密管理协议，使用SSH管理，禁用Telnet协议

Ruijie(config)#no enable service telnet-server //禁用telnet管理

Ruijie(config)#enable service ssh-server //启用SSH管理

Ruijie(config)#crypto key generate dsa //设置ssh加密模式

Ruijie(config)#line vty 0 35

Ruijie(config-line)#transport input ssh //远程登录接口启用SSH管理

措施四：使用加密管理协议，使用SNMPv3

Ruijie(config)#access-list 99 permit host //配置控制列表，严格限定允许ip

Ruijie(config)#snmp-server user ruijie Group1 v3 auth md5Ruijie123 access 99 //启用snmpv3 措施五：配置登录警告信息

Ruijie(config)#banner login c

Warning :Unauthorized access are forbidden!

Your behavior will be recorded!c

3、设置设备日志记录

Ruijie(config)#logging on //启用日志记录功能

Ruijie(config)#logging count //打开日志信息统计功能

Ruijie(config)#service sysname //在日志报文中添加系统名称

Ruijie(config)#log trap debugging //所有级别的日志信息将发给syslog server

Ruijie(config)#service sequence-numbers //在日志报文中添加序列号

Ruijie(config)#service timestamps debug datetime // 启用debug 信息时间戳，日期格式

Ruijie(config)#service timestamps message-type datetime //启用日志信息中的时间戳

Ruijie(config)#logging server //将日志信息发送给网络上的Syslog Sever

Ruijie(config)#logging file flash:1000000 //将日志信息根据指定的文件名创建文件,记录到扩展FLASH上，文件大小会随日志增加而增加，但其上限以配置的max-file-size

Ruijie(config)#logging buffered 40960 //将日志记录到内存缓冲区

Ruijie#terminal monitor //允许日志信息显示在VTY 窗口上

4、配置下联PC端口环路检测

Ruijie(config)#rldp enable //启用rldp功能

Ruijie(config)#errdisable recovery interval 120 // 设定故障关闭端口恢复时间为120s

Ruijie(config)#interface range fastethernet 0/1-24 //进入下联接口

Ruijie(config-if-range)#rldp port loop-detect shutdown-port ////环路检测触发处理方法为关闭端口，防止产生数据包泛洪影响整个网络

5、防arp欺骗

场景一：静态ip分配方式下防arp

Ruijie(config)#interface FastEthernet 0/1 //进入下联接口

Ruijie(config-if)#switchport port-security //打开端口安全功能

Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 3 //配置最大MAC地址数Ruijie(config-FastEthernet 0/1)#switchport port-security mac-address //交换机一个端口只能是合法的mac接入

Ruijie(config-FastEthernet 0/1)#switchport port-security binding //交换机一个端口只能是合法的IP接入

Ruijie(config-FastEthernet 0/1)#switchport port-security bind vlan //交换机端口只能是合法的IP且合法的MAC接入

Ruijie(config-if-range)#arp-check //打开ARP检查功能，配合端口安全功能防止ARP欺骗

备注：此场景中，交换机一个端口最大只能接入3台主机，但其中有一台主机是合法保障的。静态ip地址场景要达到完全防止arp主机欺骗和网关欺骗，只能把所有的ip都进行绑定。

因为在实际环境中严格的绑定不太适用，所以常用arp防网关欺骗的命令来达到防止arp网关欺骗目的Ruijie(config-if)#anti-arp-spoofing ip //打开ARP网关检查功能防止ARP网关欺骗

场景二：动态ip获取方式下防arp

Ruijie(config)#ip dhcp snooping //开启dhcp snooping功能

Ruijie(config)#ip dhcp snooping verify mac-address //打开源MAC检查功能

Ruijie(config)#ip arp inspection vlan 1-10 //

Ruijie(config)#interface range GigabitEthernet 0/25-26 //进入上联接口

Ruijie(config-if-range)#ip dhcp snooping trust //指定DAI监测的相关VLAN

Ruijie(config-if-range)#ip arp inspection trust //设置DAI信任接口

场景三：用supervlan方式防arp欺骗

适用场景：二层交换机下联用户都进行二层隔离，每个隔离端口配置一个vlanID，需要三层交换机支持supervlan功能

汇聚交换机配置

Ruijie(config)#vlan 3

Ruijie(config-vlan)#vlan 4

Ruijie(config-vlan)#vlan 5

Ruijie(config-vlan)#vlan 2

Ruijie(config-vlan)#supervlan //配置VLAN2为SuperVLAN模式

Ruijie(config-vlan)#subvlan 3,4-5 //配设置VLAN3-5为SuperVLAN2的Sub-VLAN

Ruijie(config-vlan)#vlan 4

//配置VLAN4的地址范围为

Ruijie(config)#interface range GigabitEthernet 0/25-26 //进入下联接口

Ruijie(config-if-range)#switchport mode trunk //配置为trunk口模式

接入交换机配置

Ruijie(config)#vlan 3

Ruijie(config-vlan)#vlan 4

Ruijie(config-vlan)#vlan 5

Ruijie(config)#interface range fastEthernet 0/1-2 //进入下联PC接口

Ruijie(config-if-range)#switchport access vlan 3 //配置为vlan3口模式

Ruijie(config)#interface range fastEthernet 0/3-10 //进入下联PC接口

Ruijie(config-if-range)#switchport access vlan 4 //配置为vlan3口模式

Ruijie(config)#interface range GigabitEthernet 0/25-26 //进入上联接口

Ruijie(config-if-range)#switchport mode trunk //配置为trunk口模式

6、认证相关配置

方式一：认证（系列）

Ruijie(config)#aaa new-model //开启aaa认证开关

Ruijie(config)#radius-server host //定义radius认证服务器IP

Ruijie(config)#radius-server key 01214242 //配置Radius key

Ruijie(config)#aaa authentication dot1x default group radius local none //配置dot1x 认证方法列表

Ruijie(config)#dot1x authentication default //开启dot1x 认证功能列表

Ruijie(config)#dot1x private-supplicant-only //打开过滤非我司supplicant功能的开关,备注：若使用非锐捷客户端，此功能要关闭

Ruijie(config)#dot1x client-probe enable //打开客户端在线探测功能，备注：若使用非锐捷客户端，此功能要关闭

Ruijie(config)#aaa accounting network default start-stop group radius //配置记账方法列表Ruijie(config)#dot1x accounting default // 为应用记账方法列表

Ruijie(config)#aaa accounting update //配置记账更新功能

Ruijie(config)#aaa accounting update periodic 60 //定义记账更新间隔60分钟

Ruijie(config)#dot1x timeout server-timeout 5 //配置RADIUS 服务器的最大响应时间为5s

Ruijie(config)#aaa authentication login default group radius local //定义设备telnet登录使用本地认证

Ruijie(config)#aaa group server radius default //进入记账服务器default组，用于配置多认证服务器

Ruijie(config-gs-radius)#server //定义主记账服务器IP

Ruijie(config-gs-radius)#server //定义备份记账服务器IP

Ruijie(config-gs-radius)#exit //退出服务器组配置模式

接口下不认证的设置

Ruijie(config)#interface range fastEthernet 0/1-24 //进入接入PC用户端口

Ruijie(config-if-range)#dot1x port-control auto //端口开启dot1x认证

客户端自动分发功能配置（SAM服务器设置好客户端链接位置）

Ruijie(config)#dot1x redirect //打开全局客户端下载功能

Ruijie(config)#http redirect //设置认证服务器的IP 地址

Ruijie(config)#http redirect homepage //设置客户端下载的主页链接地址

将网关IP设为免认证资源范围，并开启arp选项，保证在认证前PC 能完成DNS及ARP请求

GSN相关配置

Ruijie(config)#security gsn enable //全局开启GSN认证功能

Ruijie(config)#security community aaa //配置和SMP服务器的认证 key

Ruijie(config)#smp-server host //配置和SMP服务器的ip地址

Ruijie(config)#interface fastEthernet 0/24 //进入接入PC用户端口

Ruijie(config-if-range)#security address-bind enable //端口开启gsn安全认证

方式一：认证（21系列）

Ruijie(config)#aaa authentication dot1x //打开

配置认证服务器IP地址

配置计费服务器IP地址

Ruijie(config)#aaa accounting //打开计费

Ruijie(config)#aaa accounting update //开启记费更新

Ruijie(config)#dot1x client-probe enable //配置hello 功能与生存时间

Ruijie(config)#dot1x probe-timer alive 130 //配置设备的Alive Interval

Ruijie(config)#radius-server key aaa //配置认证服务器的key 为 test字符串

Ruijie(config)#snmp-server community ruijie rw //配置交换机SNMP共同体

Ruijie(config)#interface range FastEthernet 0/1-24

Ruijie(config-if-range)#dot1x port-control auto //配置交换机上的1－8端口为认证口方式二：web认证

1、端口上打开了Web认证后，即使未认证的用户发出的DHCP和DNS报文是可以通过的，不会影响用户获取IP，及域名解析

2、由于Web认证必须依靠客户PC能发起HTTP连接，而在进行连接之前，须要能让客户PC获取到DNS解析的IP地址，以及网关的ARP报文

Ruijie(config)#http redirect //配置认证服务器的ip地址

Ruijie(config)#web-auth portal key ycrmyy //设置设备与认证服务器进行通信的密钥

Ruijie(config)#http redirect homepage //设置认证页面的主页地址

Ruijie(config)#snmp-server community test rw// 设置SNMP Community

Ruijie(config)#snmp-server enable traps web-auth //设置设备允许向外发送Web认证的消息，类型包括Trap和Inform

Ruijie(config)#snmp-server host informs version 2c test web-auth //设置发送Web认证消息的目的主机（认证服务器ip）、类型、版本、Community等参数

Ruijie(config)#web-auth offline-detect-mode flow //设置基于流量检测用户是否下线

Ruijie(config)#http redirect direct-site arp // 设置网关为免认证的网络资源

Ruijie(config)#http redirect direct-site arp // 设置重要服务器为免认证的网络资源

Ruijie(config)#web-auth direct-host arp //设置交换机下无需认证用户（最大允许配置50个）Ruijie(config)#interface range fastEthernet 0/1-24 //进入接入PC用户端口

Ruijie(config-if-range)#web-auth port-control //在端口上启动Web认证功能

安全通道配置（备注：和GSN功能冲突，不能同时存在）

Ruijie(config)#ip access-list extended saftunnel //配置访问控制列表名

Ruijie(config-ext-nacl)#permit udp any eq bootpc any eq bootps //配置允许dhcp请求报文通过Ruijie(config-ext-nacl)#permit ip//配置未认证时允许访问的网段请求报文通过

Ruijie(config-ext-nacl)#exit

Ruijie(config)#security global access-group saftunnel //全局模式下启用安全通道

Ruijie(config)#interface fastEthernet 0/24 //进入接入PC用户端口

Ruijie(config-if)#security uplink enable //把此接口配置为安全通道例外口

认证逃生功能配置版本)

Ruijie(config-if)#radius-server timeout 3 //指定设备重传请求以前等待的时间

Ruijie(config-if)#radius-server retransmit 0 // 指定设备在确认 RADIUS 无效以前发送请求的次数

Ruijie(config-if)#aaa authentication dot1x default group radius none //配置在无法联系认证服务器时，认证方法列表使用none method方法

7、通用安全控制列表

Ruijie(config)#ip access-list extended anti_virus

Ruijie(config-ext-nacl)#deny tcp any any eq 135

Ruijie(config-ext-nacl)#deny tcp any any eq 136

Ruijie(config-ext-nacl)#deny tcp any any eq 137

Ruijie(config-ext-nacl)#deny tcp any any eq 138

Ruijie(config-ext-nacl)#deny tcp any any eq 139

Ruijie(config-ext-nacl)#deny tcp any any eq 445

Ruijie(config-ext-nacl)#deny tcp any any eq 593

Ruijie(config-ext-nacl)#deny tcp any any eq 554

Ruijie(config-ext-nacl)#deny tcp any any eq 707

Ruijie(config-ext-nacl)#deny tcp any any eq 1068

Ruijie(config-ext-nacl)#deny tcp any any eq 1080

Ruijie(config-ext-nacl)#deny tcp any any eq 2222

Ruijie(config-ext-nacl)#deny tcp any any eq 3332

Ruijie(config-ext-nacl)#deny tcp any any eq 4444

Ruijie(config-ext-nacl)#deny tcp any any eq 5554

Ruijie(config-ext-nacl)#deny tcp any any eq 6669

Ruijie(config-ext-nacl)#deny tcp any any eq 6711

Ruijie(config-ext-nacl)#deny tcp any any eq 6712

Ruijie(config-ext-nacl)#deny tcp any any eq 6776

Ruijie(config-ext-nacl)#deny tcp any any eq 7000

Ruijie(config-ext-nacl)#deny tcp any any eq 9996

Ruijie(config-ext-nacl)#deny tcp any any eq 9995

Ruijie(config-ext-nacl)#deny tcp any any eq 27665

Ruijie(config-ext-nacl)#deny tcp any any eq 16660

Ruijie(config-ext-nacl)#deny tcp any any eq 65000

Ruijie(config-ext-nacl)#deny tcp any any eq 33270

Ruijie(config-ext-nacl)#deny tcp any any eq 39168

Ruijie(config-ext-nacl)#deny udp any any eq 135

Ruijie(config-ext-nacl)#deny udp any any eq 136

Ruijie(config-ext-nacl)#deny udp any any eq 137

Ruijie(config-ext-nacl)#deny udp any any eq 138

Ruijie(config-ext-nacl)#deny udp any any eq 139

Ruijie(config-ext-nacl)#deny udp any any eq 445

Ruijie(config-ext-nacl)#deny udp any any eq 1163

Ruijie(config-ext-nacl)#deny udp any any eq 1434

Ruijie(config-ext-nacl)#deny udp any any eq 5554

Ruijie(config-ext-nacl)#deny udp any any eq 1068

Ruijie(config-ext-nacl)#deny udp any any eq 31335

Ruijie(config-ext-nacl)#deny udp any any eq 27444

Ruijie(config-ext-nacl)#permit ip any

8、端口安全和风暴控制

适用场景：交换机下联用户有大量风暴报文涌入情况

Ruijie(config)#interface range fastEthernet 0/1-24 //进入接入PC用户端口

Ruijie(config-if-range)#storm-control multicast pps 10000 //设置未知名组播报文每秒10000个上限，超过丢弃

Ruijie(config-if-range)#storm-control broadcast pps 10000 //设置未知名广播报文每秒10000个上限，超过丢弃

Ruijie(config-if-range)#storm-control unicast pps 10000 //设置未知名单播报文每秒10000个上限，超过丢弃

Ruijie(config-if-range)#switchport protected //设置为保护口，阻断保护口之间的二层交换但允许保护口之间路由