接入交换机常见安全配置

1、方式二：采用用户名密码方式 Ruijie(config)#username Ruijie(config)#line console 0 Ruijie(config-line)#password Ruijie(config-line)#login Ruijie(config-line)#exit Ruijie(config)#line vty 0 35 Ruijie(config)#login local Ruijie(config)#exitadmin privilege 15 password/ruijie/用户名和密码配置 口配置模式 口登录密码test4321 / 进入 console

2、配置 console 配置 console 口登录模式/进入远程登录接口配置模式启用本地认证模式Ruijie(config)#service password-encryption / SNM远程管理Ruijie(c on fig)#s nmp-server commu nity ycrmyy rw 额外安全措施措施一：限制远程管理源地址 Ruijie(config)#access-list 99 permit host / Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 措施二：限制SNM管理源地址配置控制列表，严格

3、限定允许 ip Ruijie(config)#snmp-server community ruijie rw 措施三：使用加密管理协议，使用SSHt理，Ruijie(config)#no enable service telnet-server / Ruijie(config)#enable service ssh-server Ruijie(config)#crypto key generate dsa Ruijie(config)#line vty 0 35 Ruijie(config-line)#transport input ssh / 措施四：使用加密管理协议，使用 SNMPv3 R

4、uijie(config)#access-list 99 permit host /Ruijie(config)#snmp-server user 措施五：配置登录警告信息对所配置的密码进行加密配置控制列表，严格限定允许 ip99 in禁用/99Telnet 协议 禁用 telnet 管理启用SSK理 设置 ssh 加密模式远程登录接口启用 SSH管理配置控制列表，严格限定允许 ipruijie Group1 v3 auth md5 Ruijie123 access 99 / 启用 snmpv3适用场景：1-24 口下联PC用户，2 5 口下联二层网管交换机，2 6 口上联汇聚交换机堆叠环境中

5、，若未指定优先级，则是根据它们的MA地址(ma(小、的为主机)来确定谁是主机。优先级为越大越好,范围1-10 。出场默认为 1。1、 系统时间同步： 如果客户有使用 ntp/sntp 进行全网统一的时间配置的需求，可在设备上做 Ruijie(config)#hostname TSG#5750 / 给交换机命名Ruijie(config)#sntp enable / 首先开启 sntp 服务Ruijie(config)#sntp server /配置服务器 IP 地址，此为国家授时中心服务器 IP 地址Ruijie(config)#sntp interval 36000 / 配置 sntp 交互

6、的时间间隔若客户无需配置SNTP功能，则配置单台设备系统时间命令如下Ruijie#clock set 20:30:50 3 20 2011 /配置系统时间配置方法：2、 系统远程管理规范配置远程登录 方式一：采用两级密码方式 Ruijie(config)#enable password test4321 / 特权密码配置 Ruijie(config)#line vty 0 35Ruijie(config-line)#password test /telnet 远程登录密码配置 Ruijie(config-line)#exitRuijie(config)#service password-enc

7、ryption /对所配置的密码进行加密Ruijie(config)#banner logincWarning :Unauthorized access are forbidden!Your behavior will be recorded!c3、设置设备日志记录Ruijie(config)#logging on/Ruijie(config)#logging count/Ruijie(config)#service sysname / Ruijie(config)#log trap debugging / Ruijie(config)#service sequence-numbers /启用

8、日志记录功能打开日志信息统计功能在日志报文中添加系统名称 所有级别的日志信息将发给 syslog server 在日志报文中添加序列号Ruijie(config)#service timestamps debug datetime / 启用 debug 信息时间戳，日期格式Ruijie(config)#service timestamps message-type datetime / 启用日志信息中的时间戳Ruijie(config)#logging server / 将日志信息发送给网络上的 Syslog SeverRuijie(config)#logging file flash: 10

9、00000 / 将日志信息根据指定的文件名创建文件 , 记录到扩展FLASHt，文件大小会随日志增加而增加，但其上限以配置的max-file-sizeRuijie(config)#logging buffered Ruijie#terminal monitor /4、配置下联PC端口环路检测Ruijie(config)#rldp enable /40960 / 将日志记录到内存缓冲区 允许日志信息显示在 VTY 窗口上启用 rldp 功能Ruijie(config)#errdisable recovery interval120/ 设定故障关闭端口恢复时间为 120sRuijie(config

10、)#interface range fastethernet0/1-24/ 进入下联接口Ruijie(config-if-range)#rldpport loop-detect shutdown-port / 环路检测触发处理方法为关闭端口，防止产生数据包泛洪影响整个网络5、防 arp 欺骗场景一：静态 ip 分配方式下防 arpRuijie(config)#interface FastEthernet0/1 / 进入下联接口Ruijie(config-if)#switchport port-security /打开端口安全功能Ruijie(config-FastEthernet 0/1)#s

11、witchport port-security maximum Ruijie(config-FastEthernet 0/1)#switchport port-security mac-address 合法的mac接入3 /配置最大MAC地址数/ 交换机一个端口只能是Ruijie(config-FastEthernet 0/1)#switchport port-security binding的 IP 接入/ 交换机一个端口只能是合法Ruijie(config-FastEthernet 0/1)#switchport port-security bind vlan 的IP且合法的MA(接入/

12、交换机 端口只能是合法Ruijie(co nfig-if-ra nge)#arp-check /打开ARF检查功能，配合端口安全功能防止ARP欺骗备注：此场景中，交换机一个端口最大只能接入3台主机，但其中有一台主机是合法保障的。静态ip 地址场景要达到完全防止arp主机欺骗和网关欺骗，只能把所有的ip都进行绑定。因为在实际环境中严格的绑定不太适用，所以常用 arp 防网关欺骗的命令来达到 防止 arp 网关欺骗 目的Ruijie(co nfig-if)#a nti-arp-spoofi ng ip/打开 ARP网 关检查功能防止 ARP网 关欺骗Ruijie(config)#ip dhcp s

13、nooping verify mac-address /Ruijie(config)#ip arp inspection vlan1-10 /打开源MAC佥查功能Ruijie(config)#interface range GigabitEthernetRuijie(config-if-range)#ip dhcp snooping trust /Ruijie(config-if-range)#ip arp inspection trust /0/25-26 / 进入上联接口指定DAI监测的相关VLAN设置DAI信任接口场景二：动态 ip 获取方式下防 arpRuijie(config)#ip

14、 dhcp snooping /开启 dhcp snooping 功能场景三：用 supervlan 方式防 arp 欺骗适用场景 ：二层交换机下联用户都进行二层隔离，每个隔离端口配置一个vlanID ，需要三层交换机支持supervlan 功能汇聚交换机配置Ruijie(config)#vlan 3Ruijie(config-vlan)#vlan 4Ruijie(config-vlan)#vlan 5Ruijie(config-vlan)#vlan 2Ruijie(config-vlan)#supervlan/Ruijie(config-vlan)#subvlan 3,4-5/配置VLAN2

15、为SuperVLAN莫式配设置 VLAN3-5为 SuperVLAN2的 Sub-VLAN0/25-26 / 进入下联接口配置为 trunk 口模式/开启aaa认证开关定义 radius 认证服务器 IP01214242/ 配置 Radius key配置 dot1x 认功能的开关 , 备备注：若使用非配置记账方法列表定义设备 telnet 登Ruijie(config)#aaa group server radius 服务器Ruijie(config-vlan)#vlan 4/配置VLAN4的地址范围为Ruijie(config)#interface range GigabitEthernet

16、 Ruijie(config-if-range)#switchport mode trunk/接入交换机配置Ruijie(config)#vlan 3Ruijie(config-vlan)#vlan 4Ruijie(config-vlan)#vlan 5Ruijie(config)#interface range fastEthernetRuijie(config-if-range)#switchport access vlan 3Ruijie(config)#interface range fastEthernetRuijie(config-if-range)#switchport acce

17、ss vlan 4 Ruijie(config)#interface range GigabitEthernet Ruijie(config-if-range)#switchport mode trunk0/1-2 /进入下联PC接口/配置为 vlan3 口模式0/3-10 /进入下联PC接口/配置为 vlan3 口模式0/25-26 / 进入上联接口/配置为 trunk 口模式6、认证相关配置 方式一：认证(系列) Ruijie(config)#aaa new-model Ruijie(config)#radius-server host Ruijie(config)#radius-serv

18、er keyRuijie(config)#aaa authentication dot1x 证方法列表Ruijie(config)#dot1x authenticationRuijie(config)#dot1x private-supplicant-only 注：若使用非锐捷客户端，此功能要关闭Ruijie(config)#dot1x client-probe enabledefaultgroup radius local none /default/ 开启 dot1x 认证功能列表/打开过滤非我司 supplicant/打开客户端在线探测功能，锐捷客户端，此功能要关闭Ruijie(conf

19、ig)#aaa accounting network default start-stop group radius /Ruijie(config)#dot1x accounting default / Ruijie(config)#aaa accounting update / Ruijie(config)#aaa accounting update periodic Ruijie(config)#dot1x timeout server-timeout 5 / 5s为应用记账方法列表 配置记账更新功能60 / 定义记账更新间隔 60分钟 配置 RADIUS 服务器的最大响应时间为Ruiji

20、e(config)#aaa authentication login default group radius local / 录使用本地认证default / 进入记账服务器 default 组，用于配置多认证Ruijie(config-gs-radius)#server /Ruijie(config-gs-radius)#server / Ruijie(config-gs-radius)#exit 接口下不认证的设置定义主记账服务器 IP定义备份记账服务器 IP/退出服务器组配置模式Ruijie(config)#interface range fastEthernet 0/1-24/Rui

21、jie(config-if-range)#dot1x port-control auto /客户端自动分发功能配置(SAM艮务器设置好客户端链接位置)进入接入PC用户端口端口开启 dot1x 认证Ruijie(config)#dot1x redirect /Ruijie(config)#http redirect /Ruijie(config)#http redirect homepage / 将网关 IP 设为免认证资源范围，并开启 GSNf关配置Ruijie(config)#security gsn enable /Ruijie(config)#security communityRuij

22、ie(config)#smp-server host /打开全局客户端下载功能设置认证服务器的 IP 地址设置客户端下载的主页链接地址arp选项，保证在认证前 PC能完成DNS及ARP青求全局开启GSNA证功能aaa /配置和SMP艮务器的认证key配置和SMP艮务器的ip地址Ruijie(config)#interface fastEthernet 0/24/Ruijie(config-if-range)#security address-bind enable /进入接入PC用户端口端口开启 gsn 安全认证方式一：认证( 21系列) Ruijie(config)#aaa authenti

23、cation dot1x 配置认证服务器 IP 地址 配置计费服务器 IP 地址 Ruijie(config)#aaa accounting / Ruijie(config)#aaa accounting update Ruijie(config)#dot1x client-probe enable/Ruijie(config)#dot1x probe-timer alive 130 / Ruijie(config)#radius-server key aaa / Ruijie(config)#snmp-server community ruijie rw Ruijie(config)#int

24、erface range FastEthernet 0/1-24 Ruijie(config-if-range)#dot1x port-control auto 方式二：web认证1、端口上打开了 We认证后，IP ,及域名解析2、由于Wei认证必须依靠客户IP地址，以及网关的ARF报文 Ruijie(config)#http redirect Ruijie(config)#web-auth portal key 信的密钥 Ruijie(config)#http redirect homepage Ruijie(config)#snmp-server community Ruijie(conf

25、ig)#snmp-server enable 息，类型包括 Trap 和 Inform/打开打开计费开启记费更新配置 hello 功能与生存时间 配置设备的 Alive Interval 配置认证服务器的 key 为 test 字符串 配置交换机SNM共同体即使未认证的用户发出的PC能发起HTTP连接,/ycrmyy配置交换机上的DHC和DN报文是可以通过的,而在进行连接之前, 须要能让客户/test rw/traps web-auth18端口为认证口不会影响用户获取PC获取到DNS军析的配置认证服务器的 ip 地址/设置设备与认证服务器进行通设置认证页面的主页地址设置 SNMP Commun

26、ity/设置设备允许向外发送 We认证的消Ruijie(config)#snmp-server host informs version 2c 的主机(认证服务器ip )、类型、版本、Community等参数Ruijie(config)#web-auth offline-detect-mode flow / Ruijie(config)#http redirect direct-site arp / Ruijie(config)#http redirect direct-site arp / Ruijie(config)#web-auth direct-host arp / Ruijie(co

27、nfig)#interface range fastEthernet 0/1-24 Ruijie(config-if-range)#web-auth port-controltest web-auth /设置发送 We认证消息的目/设置基于流量检测用户是否下线 设置网关为免认证的网络资源 设置重要服务器为免认证的网络资源 设置交换机下无需认证用户（最大允许配置 进入接入PC用户端口 在端口上启动 We认证功能50个）安全通道配置(备注：和GSf功能冲突，不能同时存在)Ruijie(config)#ip access-list extended saftunnel 列表名 Ruijie(conf

28、ig-ext-nacl)#permit udp any eq Ruijie(config-ext-nacl)#permit ip/ Ruijie(config-ext-nacl)#exit/配置访问控制bootpc any eq bootps /配置允许dhcp请求报文通过配置未认证时允许访问的网段请求报文通过Ruijie(config)#security global access-group saftunnel Ruijie(config)#interface fastEthernet 0/24/Ruijie(config-if)#security uplink enable / 认证逃生

29、功能配置版本 ) Ruijie(config-if)#radius-server timeout Ruijie(config-if)# radius-server retransmit 次数/全局模式下启用安全通道进入接入PC用户端口把此接口配置为安全通道例外口/ 指定设备重传请求以前等待的时间0 / 指定设备在确认 RADIUS 无效以前发送请求的Ruijie(config-if)#aaa authentication dot1x default group radius none / 服务器时，认证方法列表使用 none method 方法 7、通用安全控制列表配置在无法联系认证Ruiji

30、e(config)#ip access-list extended anti_virusRuijie(config-ext-nacl)#deny tcp any any eq 135Ruijie(config-ext-nacl)#deny tcp any any eq 136Ruijie(config-ext-nacl)#deny tcp any any eq 137Ruijie(config-ext-nacl)#deny tcp any any eq 138进入接入PC用户端口设置未知名组播报文每秒 10000设置未知名广播报文每秒10000个上设置未知名单播报文每秒10000 个/ 设置为

31、保护口，阻断保护口之间的二层交换但Ruijie(config-ext-nacl)#deny tcp any any eq 139Ruijie(config-ext-nacl)#deny tcp any any eq 445Ruijie(config-ext-nacl)#deny tcp any any eq 593Ruijie(config-ext-nacl)#deny tcp any any eq 554Ruijie(config-ext-nacl)#deny tcp any any eq 707Ruijie(config-ext-nacl)#deny tcp any any eq 1068

32、Ruijie(config-ext-nacl)#deny tcp any any eq 1080Ruijie(config-ext-nacl)#deny tcp any any eq 2222Ruijie(config-ext-nacl)#deny tcp any any eq 3332Ruijie(config-ext-nacl)#deny tcp any any eq 4444Ruijie(config-ext-nacl)#deny tcp any any eq 5554Ruijie(config-ext-nacl)#deny tcp any any eq 6669Ruijie(confi

33、g-ext-nacl)#deny tcp any any eq 6711Ruijie(config-ext-nacl)#deny tcp any any eq 6712Ruijie(config-ext-nacl)#deny tcp any any eq 6776Ruijie(config-ext-nacl)#deny tcp any any eq 7000Ruijie(config-ext-nacl)#deny tcp any any eq 9996Ruijie(config-ext-nacl)#deny tcp any any eq 9995Ruijie(config-ext-nacl)#deny tcp any any eq 27665Ruijie(config-ext-nacl)#deny tcp any any e