H3C交换机配置指导201805025【最新V5版本】 1、用户账号与密码
强化管理员帐户密码,密码长度大于等于8位并包含数字、大小写字母及特殊字符,密码使用密文形式存储,绑定console口登录和SSH服务。
Zdhb*2660
[D-SD-ZZ-BeiXinB.S1]local-user admin
[D-SD-ZZ-BeiXinB.S1-luser-admin]password cipher Zdhb*2660 [D-SD-ZZ-BeiXinB.S1-luser-admin]authorization-attribute level 3 [D-SD-ZZ-BeiXinB.S1-luser-admin]service-type ssh terminal telnet [D-SD-ZZ-BeiXinB.S1-luser-admin]quit
####################################
2、设备本地管理
(1)设备本地通过console口登录需输入用户名和口令;
[D-SD-ZZ-BeiXinB.S1-ui-aux0-8]dis cu //查看全部配置信息,敲空格到最后,查看后几行信息
如果看到有user-interface aux 0 8信息 //显示aux口,则进入aux口进行配置 [D-SD-ZZ-BeiXinB.S1] user-interface aux 0 8
[D-SD-ZZ-BeiXinB.S1-ui-aux0-8]authentication-mode scheme [D-SD-ZZ-BeiXinB.S1-ui-aux0-8]undo set authentication password [D-SD-ZZ-BeiXinB.S1-ui-aux0-8]quit
####################################
(2)登录后超过5分钟无动作自动退出;
[D-SD-ZZ-BeiXinB.S1]user-interface aux 0 8 [D-SD-ZZ-BeiXinB.S1-ui-aux0-8]idle-timeout 5 [D-SD-ZZ-BeiXinB.S1-ui-aux0-8]quit
####################################
(3)连续登录失败5次后,账户锁定10分钟。(部分交换机不支持该功能)
[D-SD-ZZ-BeiXinB.S1]password-control enable Info: Password control is enabled.
[D-SD-ZZ-BeiXinB.S1]password-control login-attempt 5 exceed lock-time 10
####################################
3、远程登陆配置要求
(1)人员远程登录应使用 SSH 协议
[D-SD-ZZ-BeiXinB.S1]public-key local create rsa [D-SD-ZZ-BeiXinB.S1]public-key local create dsa [D-SD-ZZ-BeiXinB.S1]ssh server enable [D-SD-ZZ-BeiXinB.S1]user-interface vty 0 4
[D-SD-ZZ-BeiXinB.S1-ui-vty0-4]authentication-mode scheme [D-SD-ZZ-BeiXinB.S1-ui-vty0-4]protocol inbound all
测试ssh能否正常使用(通过核心1或者核心2路由器进行测试)
Connected to 37.2.44.73 ... Enter password:
如有提示信息,输入Y即可。
****************************************************************************** * Copyright (c) 2004-2011 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, * * no decompiling or reverse-engineering shall be allowed. *
****************************************************************************** 能够正常进入设备的操作界面,即成功进入设备,ssh设置成功。
[D-SD-ZZ-BeiXinB.S1]user-interface vty 0 4
[D-SD-ZZ-BeiXinB.S1-ui-vty0-4]protocol inbound ssh
[D-SD-ZZ-BeiXinB.S1-ui-vty0-4]undo set authentication password [D-SD-ZZ-BeiXinB.S1-ui-vty0-4]quit
[D-SD-ZZ-BeiXinB.S1]local-user admin
[D-SD-ZZ-BeiXinB.S1-luser-admin]service-type ssh terminal [D-SD-ZZ-BeiXinB.S1-luser-admin]quit
(2)远程登录后超过 5 分钟无动作自动退出。
[D-SD-ZZ-BeiXinB.S1]user-interface vty 0 4 [D-SD-ZZ-BeiXinB.S1-ui-vty0-4]idle-timeout 5
(3)连续登录失败5次后,账户锁定10分钟。((部分交换机不支持该功能))
[D-SD-ZZ-BeiXinB.S1]password-control enable Info: Password control is enabled.
[D-SD-ZZ-BeiXinB.S1]password-control login-attempt 5 exceed lock-time 10
(4)远程管理源IP地址限制
配置访问控制列表,只允许网管系统、审计系统、主站核心设备地址能访问网络设备及管理服务。
[D-SD-ZZ-BeiXinB.S1]acl number 2000
[D-SD-ZZ-BeiXinB.S1-acl-basic-2000]rule permit source 37.254.14.240 0.0.0.15 [D-SD-ZZ-BeiXinB.S1-acl-basic-2000]rule permit source 37.124.0.0 0.0.255.255 [D-SD-ZZ-BeiXinB.S1-acl-basic-2000]rule deny source any [D-SD-ZZ-BeiXinB.S1-acl-basic-2000]quit
[D-SD-ZZ-BeiXinB.S1]acl number 2001
[D-SD-ZZ-BeiXinB.S1-acl-basic-2001]rule permit source 37.254.14.250 0 [D-SD-ZZ-BeiXinB.S1-acl-basic-2000]quit
[D-SD-ZZ-BeiXinB.S1]snmp-agent community read zzpowerro acl 2001
[D-SD-ZZ-BeiXinB.S1]snmp-agent community read zzpowerro acl 2001
4、日志与审计
(1)SNMP协议安全
修改SNMP的Community默认通行字命令,通行字长度大于等于8位并包含数字、大小写字母及特殊字符,SNMP版本使用V2C及以上版本。
[D-SD-ZZ-BeiXinB.S1] snmp-agent community read zzpowerro //前期已经设置过,无需重
复设置
[D-SD-ZZ-BeiXinB.S1] snmp-agent community write zzpowerrw //前期已经设置过,无需重复设置
[D-SD-ZZ-BeiXinB.S1]snmp-agent sys-info version v2c v3 [D-SD-ZZ-BeiXinB.S1]undo snmp-agent sys-info version v1
(2)应启用设备日志审计功能,并配置远程日志服务器IP(限路由器)
[D-SD-ZZ-BeiXinB.S1] info-center enable
[D-SD-ZZ-BeiXinB.S1] info-center loghost 192.128.1.127
5、禁用不必要服务,包括HTTP、FTP、TELNET等
[D-SD-ZZ-BeiXinB.S1]undo ip http enable [D-SD-ZZ-BeiXinB.S1]undo ftp server
[D-SD-ZZ-BeiXinB.S1]undo telnet server enable
6、安全防护
(1)根据具体业务设置ACL访问控制列表
通过在调度数据网三层接入交换机出接口、路由器入接口设置ACL屏蔽非法访问信息,包括135、137、138、139、445等常见高危端口。
交换机设置:
[D-SD-ZZ-BeiXinB.S1]acl number 3000
[D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 0 deny tcp destination-port eq 135 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 1 deny tcp destination-port eq 137 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 2 deny tcp destination-port eq 138 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 3 deny tcp destination-port eq 139 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 4 deny tcp destination-port eq 445 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 5 deny udp destination-port eq 135 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 6 deny udp destination-port eq 137 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 7 deny udp destination-port eq 138 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 8 deny udp destination-port eq 139 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 9 deny udp destination-port eq 445 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000]quit
(2)应关闭交换机、路由器上不使用的端口,对于部分网络设备接口上有出厂缺省配置的必须清除。
[D-SD-ZZ-BeiXinB.S1]dis brief int #查看设备接口使用情况,显示如下信息
#将连接状态显示为DOWN的接口关闭,如上图“标红”位置
关闭GE接口(根据实际接口进行配置) [D-SD-ZZ-BeiXinB.S1]int GE 1/0/1 [D-SD-ZZ-BeiXinB.S1-GE1/0/1]shut
相关推荐: