接入交換機(jī)常見(jiàn)安全配置

1、適用場(chǎng)景：1-24 口下聯(lián)PC用戶，2 5 口下聯(lián)二層網(wǎng)管交換機(jī)，2 6 口上聯(lián)匯聚交換機(jī)堆疊環(huán)境中，若未指定優(yōu)先級(jí)，則是根據(jù)它們的MA地址(ma(小、的為主機(jī))來(lái)確定誰(shuí)是主機(jī)。優(yōu)先級(jí)為越大越好，范圍1-10 。出場(chǎng)默認(rèn)為 1。1 、系統(tǒng)時(shí)間同步：如果客戶有使用 ntp/sntp 進(jìn)行全網(wǎng)統(tǒng)一的時(shí)間配置的需求，可在設(shè)備上做Ruijie(config)#hostname TSG#5750 / 給交換機(jī)命名Ruijie(config)#sntp enable / 首先開(kāi)啟 sntp 服務(wù)Ruijie(config)#sntp server /配置服務(wù)器 IP 地址，此為國(guó)家授時(shí)中心服務(wù)器 IP 地

2、址Ruijie(config)#sntp interval 36000 / 配置 sntp 交互的時(shí)間間隔若客戶無(wú)需配置SNTP功能，則配置單臺(tái)設(shè)備系統(tǒng)時(shí)間命令如下Ruijie#clock set 20:30:50 3 20 2011 /配置系統(tǒng)時(shí)間配置方法：2、系統(tǒng)遠(yuǎn)程管理規(guī)范配置遠(yuǎn)程登錄 方式一：采用兩級(jí)密碼方式 Ruijie(config)#enable password test4321 / 特權(quán)密碼配置 Ruijie(config)#line vty 0 35Ruijie(config-line)#password test /telnet 遠(yuǎn)程登錄密碼配置 Ruijie(confi

3、g-line)#exitRuijie(config)#service password-encryption /對(duì)所配置的密碼進(jìn)行加密方式二：采用用戶名密碼方式Ruijie(config)#username Ruijie(config)#line console 0 Ruijie(config-line)#password Ruijie(config-line)#login Ruijie(config-line)#exit Ruijie(config)#line vty 0 35 Ruijie(config)#login local Ruijie(config)#exitadmin privi

4、lege 15 password/ruijie/用戶名和密碼配置 口配置模式 口登錄密碼/test4321 / 進(jìn)入 console 配置 console 配置 console 口登錄模式進(jìn)入遠(yuǎn)程登錄接口配置模式啟用本地認(rèn)證模式Ruijie(config)#service password-encryption / SNM遠(yuǎn)程管理Ruijie(config)#snmp-server community ycrmyy rw 額外安全措施措施一：限制遠(yuǎn)程管理源地址 Ruijie(config)#access-list 99 permit host / Ruijie(config)#line vty

5、 0 35 Ruijie(config-line)#access-class 措施二：限制SNM管理源地址 配置控制列表，嚴(yán)格限定允許 ip Ruijie(config)#snmp-server community ruijie rw 措施三：使用加密管理協(xié)議，使用SSK理，Ruijie(config)#no enable service telnet-server / Ruijie(config)#enable service ssh-server Ruijie(config)#crypto key generate dsa Ruijie(config)#line vty 0 35 Ruij

6、ie(config-line)#transport input ssh / 措施四：使用加密管理協(xié)議，使用 SNMPv3 Ruijie(config)#access-list 99 permit host / Ruijie(config)#snmp-server user 措施五：配置登錄警告信息對(duì)所配置的密碼進(jìn)行加密配置控制列表，嚴(yán)格限定允許 ip99 in禁用/99Telnet 協(xié)議 禁用 telnet 管理啟用SSHt理 設(shè)置ssh加密模式遠(yuǎn)程登錄接口啟用 SSH管理配置控制列表，嚴(yán)格限定允許 ipruijie Group1 v3 auth md5 Ruijie123 access 99

7、 / 啟用 snmpv3Ruijie(config)#banner login c Warning :Unauthorized access are forbidden! Your behavior will be recorded! c3、設(shè)置設(shè)備日志記錄Ruijie(config)#logging on / Ruijie(config)#logging count / Ruijie(config)#service sysname / Ruijie(config)#log trap debugging / Ruijie(config)#service sequence-numbers啟用日志

8、記錄功能打開(kāi)日志信息統(tǒng)計(jì)功能在日志報(bào)文中添加系統(tǒng)名稱所有級(jí)別的日志信息將發(fā)給 syslog server在日志報(bào)文中添加序列號(hào)啟用 debug 信息時(shí)間戳，日期格式啟用日志信息中的時(shí)間戳Syslog Sever/max-file-size40960 / 將日志記錄到內(nèi)存緩沖區(qū)允許日志信息顯示在 VTY 窗口上Ruijie(config)#service timestamps debug datetime / Ruijie(config)#service timestamps message-type datetime / Ruijie(config)#logging server /將日志信息

9、發(fā)送給網(wǎng)絡(luò)上的Ruijie(config)#logging file flash:1000000 / 將日志信息根據(jù)指定的文件名創(chuàng)建文件 , 記錄到擴(kuò)展FLASH上，文件大小會(huì)隨日志增加而增加，但其上限以配置的 Ruijie(config)#logging buffered Ruijie#terminal monitor /啟用 rldp 功能Ruijie(config)#errdisable recovery interval120 / 設(shè)定故障關(guān)閉端口恢復(fù)時(shí)間為 120sRuijie(config)#interface range fastethernet0/1-24/ 進(jìn)入下聯(lián)接口Rui

10、jie(config-if-range)#rldp port loop-detect shutdown-port / 端口，防止產(chǎn)生數(shù)據(jù)包泛洪影響整個(gè)網(wǎng)絡(luò)5 、防 arp 欺騙 場(chǎng)景一：靜態(tài) ip 分配方式下防 arp Ruijie(config)#interface FastEthernet0/1 / 進(jìn)入下聯(lián)接口Ruijie(config-if)#switchport port-security /打開(kāi)端口安全功能Ruijie(config-FastEthernet 0/1)#switchport port-security maximum Ruijie(config-FastEthern

11、et 0/1)#switchport port-security mac-address 合法的mac接入 Ruijie(config-FastEthernet 0/1)#switchport port-security binding的IP接入Ruijie(config-FastEthernet 0/1)#switchport port-security bind vlan的IP且合法的MA(接入環(huán)路檢測(cè)觸發(fā)處理方法為關(guān)閉/配置最大MAC地址數(shù)/ 交換機(jī)一個(gè)端口只能是交換機(jī)一個(gè)端口只能是合法/ 交換機(jī)端口只能是合法ARP欺 騙靜態(tài) ip 地址Ruijie(c on fig-if-ra nge

12、)#arp-check /打開(kāi)AR臉查功能，配合端口安全功能防止備注：此場(chǎng)景中，交換機(jī)一個(gè)端口最大只能接入3臺(tái)主機(jī)，但其中有一臺(tái)主機(jī)是合法保障的。場(chǎng)景要達(dá)到完全防止 arp 主機(jī)欺騙和網(wǎng)關(guān)欺騙，只能把所有的 ip 都進(jìn)行綁定。 因?yàn)樵趯?shí)際環(huán)境中嚴(yán)格的綁定不太適用，所以常用arp防網(wǎng)關(guān)欺騙的命令來(lái)達(dá)到 防止arp網(wǎng)關(guān)欺騙目的Ruijie(co nfig-if)#a nti-arp-spoofi ng ip /打開(kāi) ARP網(wǎng) 關(guān)檢查功能防止 ARP網(wǎng) 關(guān)欺騙場(chǎng)景二：動(dòng)態(tài) ip 獲取方式下防 arpRuijie(config)#ip dhcp snooping / Ruijie(config)#ip

13、 dhcp snooping verify mac-address / Ruijie(config)#ip arp inspection vlan1-10 /Ruijie(config)#interface range GigabitEthernet Ruijie(config-if-range)#ip dhcp snooping trust / Ruijie(config-if-range)#ip arp inspection trust / 場(chǎng)景三：用 supervlan 方式防 arp 欺騙 適用場(chǎng)景 ：二層交換機(jī)下聯(lián)用戶都進(jìn)行二層隔離，每個(gè)隔離端口配置一個(gè) supervlan 功能 匯

14、聚交換機(jī)配置開(kāi)啟 dhcp snooping 功能打開(kāi)源MAC僉查功能0/25-26 / 進(jìn)入上聯(lián)接口指定DAI監(jiān)測(cè)的相關(guān)VLAN設(shè)置DAI信任接口vlanID ，需要三層交換機(jī)支持Ruijie(config)#vlan 3Ruijie(config-vlan)#vlan 4Ruijie(config-vlan)#vlan 5Ruijie(config-vlan)#vlan 2Ruijie(config-vlan)#supervlan/Ruijie(config-vlan)#subvlan 3,4-5/Ruijie(config-vlan)#vlan 4/配置VLAN啲地址范圍為配置VLAN2

15、為SuperVLAN模式配設(shè)置 VLAN3-5為 SuperVLAN2的 Sub-VLAN4、配置下聯(lián)PC端口環(huán)路檢測(cè) Ruijie(config)#rldp enable /Ruijie(config)#interface range GigabitEthernet Ruijie(config-if-range)#switchport mode trunk / 接入交換機(jī)配置0/25-26 / 進(jìn)入下聯(lián)接口配置為 trunk 口模式Ruijie(config)#vlan 3Ruijie(config-vlan)#vlan 5Ruijie(config)#interface range fas

16、tEthernetRuijie(config-if-range)#switchport access vlan 3Ruijie(config)#interface range fastEthernetRuijie(config-if-range)#switchport access vlan 4 Ruijie(config)#interface range GigabitEthernet Ruijie(config-if-range)#switchport mode trunk6、認(rèn)證相關(guān)配置0/1-2 /進(jìn)入下聯(lián)PC接口/配置為 vlan3 口模式0/3-10 /進(jìn)入下聯(lián)PC接口/配置為 v

17、lan3 口模式0/25-26 / 進(jìn)入上聯(lián)接口/配置為 trunk 口模式方式一：認(rèn)證(系列)Ruijie(config)#aaa new-model Ruijie(config)#radius-server host Ruijie(config)#radius-server key/開(kāi)啟aaa認(rèn)證開(kāi)關(guān)定義 radius 認(rèn)證服務(wù)器 IP01214242/ 配置 Radius keyRuijie(config)#aaa authentication dot1x 方法列表Ruijie(config)#dot1x authenticationRuijie(config)#dot1x privat

18、e-supplicant-only 若使用非銳捷客戶端，此功能要關(guān)閉 Ruijie(config)#dot1x client-probe enabledefault group radius local none /default/ 開(kāi)啟 dot1x 認(rèn)證功能列表/打開(kāi)過(guò)濾非我司 supplicant/打開(kāi)客戶端在線探測(cè)功能，配置 dot1x 認(rèn)證功能的開(kāi)關(guān) , 備注：備注：若使用非銳捷客戶端，此功能要關(guān)閉Ruijie(config)#aaa accounting network default start-stop group radius /配置記賬方法列表Ruijie(config)#d

19、ot1x accounting default / Ruijie(config)#aaa accounting update / Ruijie(config)#aaa accounting update periodicRuijie(config)#dot1x timeout server-timeout 5 /為應(yīng)用記賬方法列表 配置記賬更新功能60 / 定義記賬更新間隔 60分鐘配置 RADIUS 服務(wù)器的最大響應(yīng)時(shí)間為 5sRuijie(config)#aaa authentication login default group radius local /定義設(shè)備 telnet 登錄使

20、用本地認(rèn)證Ruijie(config)#aaa group server radiusdefault / 進(jìn)入記賬服務(wù)器 default 組，用于配置多認(rèn)證服務(wù)器Ruijie(config-gs-radius)#server /Ruijie(config-gs-radius)#server /Ruijie(config-gs-radius)#exit接口下不認(rèn)證的設(shè)置定義主記賬服務(wù)器定義備份記賬服務(wù)器/IPIP退出服務(wù)器組配置模式Ruijie(config)#interface range fastEthernet 0/1-24/Ruijie(config-if-range)#dot1x po

21、rt-control auto /進(jìn)入接入PC用戶端口端口開(kāi)啟 dot1x 認(rèn)證客戶端自動(dòng)分發(fā)功能配置（ SAM服務(wù)器設(shè)置好客戶端鏈接位置）Ruijie(config)#dot1x redirect /Ruijie(config)#http redirect /Ruijie(config)#http redirect homepage / 將網(wǎng)關(guān) IP 設(shè)為免認(rèn)證資源范圍，并開(kāi)啟 GSNf關(guān)配置Ruijie(config)#security gsn enable /Ruijie(config)#security community Ruijie(config)#smp-server host

22、/ Ruijie(config)#interface fastEthernet 0/24 Ruijie(config-if-range)#security address-bi 方式一：認(rèn)證( 21 系列)打開(kāi)全局客戶端下載功能設(shè)置認(rèn)證服務(wù)器的 IP 地址設(shè)置客戶端下載的主頁(yè)鏈接地址arp選項(xiàng)，保證在認(rèn)證前 PC能完成DNS及ARP青求全局開(kāi)啟GSNA證功能aaa /配置和SM服務(wù)器的認(rèn)證key配置和SMP艮務(wù)器的ip地址/進(jìn)入接入PC用戶端口id enable /端口開(kāi)啟gsn安全認(rèn)證Ruijie(config)#aaa authentication dot1x /打開(kāi)配置認(rèn)證服務(wù)器IP地址

23、配置計(jì)費(fèi)服務(wù)器IP地址Ruijie(config-vlan)#vlan 4Ruijie(config)#aaa accounting / Ruijie(config)#aaa accounting update / Ruijie(config)#dot1x client-probe enable / Ruijie(config)#dot1x probe-timer alive 130 / Ruijie(config)#radius-server key aaa/Ruijie(config)#snmp-server community ruijie rw / Ruijie(config)#int

24、erface range FastEthernet 0/1-24 Ruijie(config-if-range)#dot1x port-control auto/打開(kāi)計(jì)費(fèi)開(kāi)啟記費(fèi)更新配置 hello 功能與生存時(shí)間配置設(shè)備的 Alive Interval配置認(rèn)證服務(wù)器的 key 為 test 字符串配置交換機(jī)SNM共同體配置交換機(jī)上的 1 8端口為認(rèn)證口方式二：web認(rèn)證DHC和DNS艮文是可以通過(guò)的，不會(huì)影響用戶獲取1、端口上打開(kāi)了 Wei認(rèn)證后，即使未認(rèn)證的用戶發(fā)岀的IP ，及域名解析2、由于We認(rèn)證必須依靠客戶 PC能發(fā)起HTTP連接，而在進(jìn)行連接之前，須要能讓客戶PC獲取到DNS解析的

25、IP地址，以及網(wǎng)關(guān)的ARP報(bào)文Ruijie(c on fig)#http redirect/Ruijie(config)#web-auth portal keyycrmyy的密鑰配置認(rèn)證服務(wù)器的 ip 地址/設(shè)置設(shè)備與認(rèn)證服務(wù)器進(jìn)行通信Ruijie(config)#http redirect homepage/ 設(shè)置認(rèn)證頁(yè)面的主頁(yè)地址Ruijie(config)#snmp-server communitytest rw/Ruijie(config)#snmp-server enable traps web-auth / 息，類型包括 Trap 和 InformRuijie(config)#sn

26、mp-server host informs version 2c設(shè)置 SNMP Community設(shè)置設(shè)備允許向外發(fā)送 Wet認(rèn)證的消test web-auth /設(shè)置發(fā)送We認(rèn)證消息的目的主機(jī)（認(rèn)證服務(wù)器 ip ）、類型、版本、Community 等參數(shù)Ruijie(config)#web-auth offline-detect-mode flow /設(shè)置基于流量檢測(cè)用戶是否下線Ruijie(config)#http redirect direct-site arp / Ruijie(config)#http redirect direct-site arp / Ruijie(config

27、)#web-auth direct-host arp / Ruijie(config)#interface range fastEthernet 0/1-24設(shè)置網(wǎng)關(guān)為免認(rèn)證的網(wǎng)絡(luò)資源設(shè)置重要服務(wù)器為免認(rèn)證的網(wǎng)絡(luò)資源設(shè)置交換機(jī)下無(wú)需認(rèn)證用戶（最大允許配置50個(gè)）/進(jìn)入接入PC用戶端口Ruijie（config-if-range）#web-auth port-control /安全通道配置（備注：和gsf功能沖突，不能同時(shí)存在）在端口上啟動(dòng)Web認(rèn)證功能Ruijie(config)#ip access-list extended 列表名Ruijie(config-ext-nacl)#permit

28、 udp any eqRuijie(config-ext-nacl)#permit ip/saftunnel/配置訪問(wèn)控制bootpc any eq bootps / 配置允許dhcp請(qǐng)求報(bào)文通過(guò) 配置未認(rèn)證時(shí)允許訪問(wèn)的網(wǎng)段請(qǐng)求報(bào)文通過(guò)Ruijie(config-ext-nacl)#exitRuijie(config)#security global access-group saftunnel Ruijie(config)#interface fastEthernet 0/24/Ruijie(config-if)#security uplink enable / 認(rèn)證逃生功能配置版本 )Ru

29、ijie(config-if)#radius-server timeout Ruijie(config-if)# radius-server retransmit 數(shù)/全局模式下啟用安全通道進(jìn)入接入PC用戶端口把此接口配置為安全通道例外口/ 指定設(shè)備重傳請(qǐng)求以前等待的時(shí)間0 / 指定設(shè)備在確認(rèn) RADIUS 無(wú)效以前發(fā)送請(qǐng)求的次配置在無(wú)法聯(lián)系認(rèn)證服Ruijie(config-if)#aaa authentication dot1x default group radius none / 務(wù)器時(shí)，認(rèn)證方法列表使用 none method 方法7、通用安全控制列表Ruijie(config)#ip

30、 access-list extended anti_virusRuijie(config-ext-nacl)#deny tcp any any eq 135Ruijie(config-ext-nacl)#deny tcp any any eq 136Ruijie(config-ext-nacl)#deny tcp any any eq 137Ruijie(config-ext-nacl)#deny tcp any any eq 138Ruijie(config-ext-nacl)#deny tcp any any eq 139Ruijie(config-ext-nacl)#deny tcp

31、any any eq 445Ruijie(config-ext-nacl)#deny tcp any any eq 593Ruijie(config-ext-nacl)#deny tcp any any eq 554Ruijie(config-ext-nacl)#deny tcp any any eq 707Ruijie(config-ext-nacl)#deny tcp any any eq 1068Ruijie(config-ext-nacl)#deny tcp any any eq 1080Ruijie(config-ext-nacl)#deny tcp any any eq 2222R

32、uijie(config-ext-nacl)#deny tcp any any eq 3332Ruijie(config-ext-nacl)#deny tcp any any eq 4444Ruijie(config-ext-nacl)#deny tcp any any eq 5554Ruijie(config-ext-nacl)#deny tcp any any eq 6669Ruijie(config-ext-nacl)#deny tcp any any eq 6711Ruijie(config-ext-nacl)#deny tcp any any eq 6712Ruijie(config

33、-ext-nacl)#deny tcp any any eq 6776Ruijie(config-ext-nacl)#deny tcp any any eq 7000Ruijie(config-ext-nacl)#deny tcp any any eq 9996Ruijie(config-ext-nacl)#deny tcp any any eq 9995Ruijie(config-ext-nacl)#deny tcp any any eq 27665Ruijie(config-ext-nacl)#deny tcp any any eq 16660Ruijie(config-ext-nacl)#deny tcp any any eq 65000Ruijie(config-ext-nacl)#deny tcp