接入交换机常见安全配置_第1页
接入交换机常见安全配置_第2页
接入交换机常见安全配置_第3页
接入交换机常见安全配置_第4页
接入交换机常见安全配置_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、适用场景:1-24口下联PC用户,25口下联二层网管交换机,26口上联汇聚交换机堆叠环境中,若未指定优先级,则是根据它们的MAC地址(mac小的为主机)来确定谁是主机。优先级为越大越好,范围1-10。出场默认为1。1、系统时间同步:如果客户有使用 ntp/sntp进行全网统一的时间配置的需求,可在设备上做Ruijie(config)#hostname TSG#5750 /给交换机命名Ruijie(config)#sntp enable /首先开启 sntp 服务 Ruijie(config)#sntp server 4 /配置服务器IP地址,此为国家授时中心服务器IP地

2、址 Ruijie(config)#sntp interval 36000 / 配置sntp交互的时间间隔若客户无需配置SNTP功能,则配置单台设备系统时间命令如下Ruijie#clock set 20:30:50 3 20 2011 /配置系统时间配置方法:2、系统远程管理规范配置远程登录方式一:采用两级密码方式Ruijie(config)#enable password test4321 /特权密码配置Ruijie(config)#line vty 0 35 Ruijie(config-line)#password test /telnet远程登录密码配置Ruijie(config-line

3、)#exitRuijie(config)#service password-encryption /对所配置的密码进行加密方式二:采用用户名密码方式Ruijie(config)#username admin privilege 15 password test4321 /用户名和密码配置Ruijie(config)#line console 0 /进入console口配置模式Ruijie(config-line)#password ruijie /配置console口登录密码Ruijie(config-line)#login /配置console口登录模式Ruijie(config-line)

4、#exitRuijie(config)#line vty 0 35 /进入远程登录接口配置模式Ruijie(config)#login local /启用本地认证模式Ruijie(config)#exitRuijie(config)#service password-encryption /对所配置的密码进行加密SNMP远程管理Ruijie(config)#snmp-server community ycrmyy rw 额外安全措施措施一:限制远程管理源地址Ruijie(config)#access-list 99 permit host 00 /配置控制列表,严格限定允

5、许ipRuijie(config)#line vty 0 35Ruijie(config-line)#access-class 99 in措施二:限制SNMP管理源地址Ruijie(config)#access-list 99 permit host 00 /配置控制列表,严格限定允许ipRuijie(config)#snmp-server community ruijie rw 99措施三:使用加密管理协议,使用SSH管理,禁用Telnet协议Ruijie(config)#no enable service telnet-server /禁用telnet管理Ruijie

6、(config)#enable service ssh-server /启用SSH管理Ruijie(config)#crypto key generate dsa /设置ssh加密模式Ruijie(config)#line vty 0 35Ruijie(config-line)#transport input ssh /远程登录接口启用SSH管理措施四:使用加密管理协议,使用SNMPv3Ruijie(config)#access-list 99 permit host 00 /配置控制列表,严格限定允许ipRuijie(config)#snmp-server user r

7、uijie Group1 v3 auth md5 Ruijie123 access 99 /启用snmpv3措施五:配置登录警告信息Ruijie(config)#banner login cWarning :Unauthorized access are forbidden!Your behavior will be recorded!c3、设置设备日志记录Ruijie(config)#logging on /启用日志记录功能Ruijie(config)#logging count /打开日志信息统计功能Ruijie(config)#service sysname /在日志报文中添加系统名称R

8、uijie(config)#log trap debugging /所有级别的日志信息将发给syslog server Ruijie(config)#service sequence-numbers /在日志报文中添加序列号Ruijie(config)#service timestamps debug datetime / 启用debug 信息时间戳,日期格式Ruijie(config)#service timestamps message-type datetime /启用日志信息中的时间戳Ruijie(config)#logging server 0 /将日志信息发

9、送给网络上的Syslog Sever Ruijie(config)#logging file flash:log.txt /将日志信息根据指定的文件名创建文件,记录到扩展FLASH上,文件大小会随日志增加而增加,但其上限以配置的max-file-sizeRuijie(config)#logging buffered 40960 /将日志记录到内存缓冲区 Ruijie#terminal monitor /允许日志信息显示在VTY 窗口上 4、配置下联PC端口环路检测Ruijie(config)#rldp enable /启用rldp功能Ruijie(config)#errdisable reco

10、very interval 120 / 设定故障关闭端口恢复时间为120sRuijie(config)#interface range fastethernet 0/1-24 /进入下联接口Ruijie(config-if-range)#rldp port loop-detect shutdown-port /环路检测触发处理方法为关闭端口,防止产生数据包泛洪影响整个网络5、防arp欺骗场景一:静态ip分配方式下防arpRuijie(config)#interface FastEthernet 0/1 /进入下联接口Ruijie(config-if)#switchport port-secur

11、ity /打开端口安全功能Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 3 /配置最大MAC地址数Ruijie(config-FastEthernet 0/1)#switchport port-security mac-address 001a.a900.0001 /交换机一个端口只能是合法的mac接入Ruijie(config-FastEthernet 0/1)#switchport port-security binding /交换机一个端口只能是合法的IP接入Ruijie(con

12、fig-FastEthernet 0/1)#switchport port-security bind 001a.a900.0001 vlan 10 /交换机 端口只能是合法的IP且合法的MAC接入Ruijie(config-if-range)#arp-check /打开ARP检查功能,配合端口安全功能防止ARP欺骗备注:此场景中,交换机一个端口最大只能接入3台主机,但其中有一台主机是合法保障的。静态ip地址场景要达到完全防止arp主机欺骗和网关欺骗,只能把所有的ip都进行绑定。因为在实际环境中严格的绑定不太适用,所以常用arp防网关欺骗的命令来达到防止arp网关欺骗

13、目的Ruijie(config-if)#anti-arp-spoofing ip 54 /打开ARP网关检查功能防止ARP网关欺骗场景二:动态ip获取方式下防arpRuijie(config)#ip dhcp snooping /开启dhcp snooping功能Ruijie(config)#ip dhcp snooping verify mac-address /打开源MAC检查功能Ruijie(config)#ip arp inspection vlan 1-10 / Ruijie(config)#interface range GigabitEthernet 0/

14、25-26 /进入上联接口Ruijie(config-if-range)#ip dhcp snooping trust /指定DAI监测的相关VLANRuijie(config-if-range)#ip arp inspection trust /设置DAI信任接口场景三:用supervlan方式防arp欺骗适用场景:二层交换机下联用户都进行二层隔离,每个隔离端口配置一个vlanID,需要三层交换机支持supervlan功能汇聚交换机配置Ruijie(config)#vlan 3Ruijie(config-vlan)#vlan 4Ruijie(config-vlan)#vlan 5Ruijie

15、(config-vlan)#vlan 2Ruijie(config-vlan)#supervlan /配置VLAN2为SuperVLAN模式Ruijie(config-vlan)#subvlan 3,4-5 /配设置VLAN3-5为SuperVLAN2的Sub-VLANRuijie(config-vlan)#vlan 4Ruijie(config-vlan)#subvlan-address-range0 9 /配置VLAN4的地址范围为049Ruijie(config)#interface range GigabitEthern

16、et 0/25-26 /进入下联接口Ruijie(config-if-range)#switchport mode trunk /配置为trunk口模式接入交换机配置Ruijie(config)#vlan 3Ruijie(config-vlan)#vlan 4Ruijie(config-vlan)#vlan 5Ruijie(config)#interface range fastEthernet 0/1-2 /进入下联PC接口Ruijie(config-if-range)#switchport access vlan 3 /配置为vlan3口模式Ruijie(config)#interface

17、 range fastEthernet 0/3-10 /进入下联PC接口Ruijie(config-if-range)#switchport access vlan 4 /配置为vlan3口模式Ruijie(config)#interface range GigabitEthernet 0/25-26 /进入上联接口Ruijie(config-if-range)#switchport mode trunk /配置为trunk口模式6、认证相关配置方式一:802.1x认证(10.x系列)Ruijie(config)#aaa new-model /开启aaa认证开关 Ruijie(config)#

18、radius-server host 00 /定义radius认证服务器IP Ruijie(config)#radius-server key /配置Radius keyRuijie(config)#aaa authentication dot1x default group radius local none /配置dot1x 认证方法列表Ruijie(config)#dot1x authentication default /开启dot1x 认证功能列表 Ruijie(config)#dot1x private-supplicant-only /打开过滤非我司suppl

19、icant功能的开关,备注:若使用非锐捷客户端,此功能要关闭Ruijie(config)#dot1x client-probe enable /打开客户端在线探测功能,备注:若使用非锐捷客户端,此功能要关闭Ruijie(config)#aaa accounting network default start-stop group radius /配置记账方法列表Ruijie(config)#dot1x accounting default / 为802.1X应用记账方法列表Ruijie(config)#aaa accounting update /配置记账更新功能Ruijie(config)#

20、aaa accounting update periodic 60 /定义记账更新间隔60分钟 Ruijie(config)#dot1x timeout server-timeout 5 /配置RADIUS 服务器的最大响应时间为5sRuijie(config)#aaa authentication login default group radius local /定义设备telnet登录使用本地认证Ruijie(config)#aaa group server radius default /进入记账服务器default组,用于配置多认证服务器Ruijie(config-gs-radius

21、)#server 00 /定义主记账服务器IPRuijie(config-gs-radius)#server 01 /定义备份记账服务器IPRuijie(config-gs-radius)#exit /退出服务器组配置模式Ruijie(config)#mac-address-table static 00a0.d276.0bfe vlan 106 interface fastEthernet 0/19 /接口下不认证的设置Ruijie(config)#interface range fastEthernet 0/1-24 /进入接入PC用户端口Ruiji

22、e(config-if-range)#dot1x port-control auto /端口开启dot1x认证 客户端自动分发功能配置(SAM服务器设置好客户端链接位置)Ruijie(config)#dot1x redirect /打开全局客户端下载功能 Ruijie(config)#http redirect 00 /设置认证服务器的IP 地址Ruijie(config)#http redirect homepage /su/index.jsp /设置客户端下载的主页链接地址Ruijie(config)#http redir

23、ect direct-site 54 arp /将网关IP设为免认证资源范围,并开启arp选项,保证在认证前PC 能完成DNS及ARP请求GSN相关配置Ruijie(config)#security gsn enable /全局开启GSN认证功能 Ruijie(config)#security community aaa /配置和SMP服务器的认证 keyRuijie(config)#smp-server host 00 /配置和SMP服务器的ip地址Ruijie(config)#interface fastEthernet 0/24 /进入接入P

24、C用户端口 Ruijie(config-if-range)#security address-bind enable /端口开启gsn安全认证 方式一:802.1x认证(21系列)Ruijie(config)#aaa authentication dot1x /打开802.1x Ruijie(config)#radius-server host 00 /配置认证服务器IP地址 Ruijie(config)#aaa accounting server 00 /配置计费服务器IP地址 Ruijie(config)#aaa accounting /打开计费 R

25、uijie(config)#aaa accounting update /开启记费更新 Ruijie(config)#dot1x client-probe enable /配置hello 功能与生存时间 Ruijie(config)#dot1x probe-timer alive 130 /配置设备的Alive IntervalRuijie(config)#radius-server key aaa /配置认证服务器的key 为 test字符串 Ruijie(config)#snmp-server community ruijie rw /配置交换机SNMP共同体 Ruijie(config)

26、#interface range FastEthernet 0/1-24 Ruijie(config-if-range)#dot1x port-control auto /配置交换机上的18端口为认证口 方式二:web认证1、端口上打开了Web认证后,即使未认证的用户发出的DHCP和DNS报文是可以通过的,不会影响用户获取IP,及域名解析2、由于Web认证必须依靠客户PC能发起HTTP连接,而在进行连接之前,须要能让客户PC获取到DNS解析的IP地址,以及网关的ARP报文Ruijie(config)#http redirect 50 /配置认证服务器的ip地址Ruiji

27、e(config)#web-auth portal key ycrmyy /设置设备与认证服务器进行通信的密钥Ruijie(config)#http redirect homepage 50:80/ess/webauthservlet /设置认证页面的主页地址Ruijie(config)#snmp-server community test rw/ 设置SNMP CommunityRuijie(config)#snmp-server enable traps web-auth /设置设备允许向外发送Web认证的消息,类型包括Trap和Inform Ruiji

28、e(config)#snmp-server host 50 informs version 2c test web-auth /设置发送Web认证消息的目的主机(认证服务器ip)、类型、版本、Community等参数Ruijie(config)#web-auth offline-detect-mode flow /设置基于流量检测用户是否下线Ruijie(config)#http redirect direct-site 54 arp / 设置网关为免认证的网络资源Ruijie(config)#http redirect direct-site

29、 50 arp / 设置重要服务器为免认证的网络资源Ruijie(config)#web-auth direct-host arp /设置交换机下无需认证用户(最大允许配置50个)Ruijie(config)#interface range fastEthernet 0/1-24 /进入接入PC用户端口 Ruijie(config-if-range)#web-auth port-control /在端口上启动Web认证功能安全通道配置(备注:和GSN功能冲突,不能同时存在)Ruijie(config)#ip access-list extend

30、ed saftunnel /配置访问控制列表名Ruijie(config-ext-nacl)#permit udp any eq bootpc any eq bootps /配置允许dhcp请求报文通过Ruijie(config-ext-nacl)#permit ip 55 55 /配置未认证时允许访问的网段请求报文通过Ruijie(config-ext-nacl)#exitRuijie(config)#security global access-group saftunnel /全局模式下启用安全通道Rui

31、jie(config)#interface fastEthernet 0/24 /进入接入PC用户端口 Ruijie(config-if)#security uplink enable /把此接口配置为安全通道例外口认证逃生功能配置(10.x版本)Ruijie(config-if)#radius-server timeout 3 /指定设备重传请求以前等待的时间Ruijie(config-if)#radius-server retransmit 0 / 指定设备在确认 RADIUS 无效以前发送请求的次数Ruijie(config-if)#aaa authentication dot1x de

32、fault group radius none /配置在无法联系认证服务器时,认证方法列表使用none method方法7、通用安全控制列表Ruijie(config)#ip access-list extended anti_virusRuijie(config-ext-nacl)#deny tcp any any eq 135Ruijie(config-ext-nacl)#deny tcp any any eq 136Ruijie(config-ext-nacl)#deny tcp any any eq 137 Ruijie(config-ext-nacl)#deny tcp any an

33、y eq 138 Ruijie(config-ext-nacl)#deny tcp any any eq 139 Ruijie(config-ext-nacl)#deny tcp any any eq 445 Ruijie(config-ext-nacl)#deny tcp any any eq 593Ruijie(config-ext-nacl)#deny tcp any any eq 554Ruijie(config-ext-nacl)#deny tcp any any eq 707Ruijie(config-ext-nacl)#deny tcp any any eq 1068Ruijie

34、(config-ext-nacl)#deny tcp any any eq 1080Ruijie(config-ext-nacl)#deny tcp any any eq 2222Ruijie(config-ext-nacl)#deny tcp any any eq 3332Ruijie(config-ext-nacl)#deny tcp any any eq 4444Ruijie(config-ext-nacl)#deny tcp any any eq 5554Ruijie(config-ext-nacl)#deny tcp any any eq 6669Ruijie(config-ext-

35、nacl)#deny tcp any any eq 6711Ruijie(config-ext-nacl)#deny tcp any any eq 6712Ruijie(config-ext-nacl)#deny tcp any any eq 6776Ruijie(config-ext-nacl)#deny tcp any any eq 7000Ruijie(config-ext-nacl)#deny tcp any any eq 9996Ruijie(config-ext-nacl)#deny tcp any any eq 9995Ruijie(config-ext-nacl)#deny tcp any any eq 27665Ruijie(config-ext-nacl)#deny tcp any any eq 16660Ruijie(config-ext-nacl)#de

人人文库> 全部分类> 教育资料 > 辅导培训

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论