H3C交换机配置指导201805025【最新V5版本】

H3C交换机配置指导201805025【最新V5版本】 1、用户账号与密码

强化管理员帐户密码，密码长度大于等于8位并包含数字、大小写字母及特殊字符，密码使用密文形式存储，绑定console口登录和SSH服务。

Zdhb*2660

su Password:Zdhb*2660 sys

[D-SD-ZZ-BeiXinB.S1]local-user admin

[D-SD-ZZ-BeiXinB.S1-luser-admin]password cipher Zdhb*2660 [D-SD-ZZ-BeiXinB.S1-luser-admin]authorization-attribute level 3 [D-SD-ZZ-BeiXinB.S1-luser-admin]service-type ssh terminal telnet [D-SD-ZZ-BeiXinB.S1-luser-admin]quit

####################################

2、设备本地管理

（1）设备本地通过console口登录需输入用户名和口令；

[D-SD-ZZ-BeiXinB.S1-ui-aux0-8]dis cu //查看全部配置信息，敲空格到最后，查看后几行信息

如果看到有user-interface aux 0 8信息 //显示aux口，则进入aux口进行配置 [D-SD-ZZ-BeiXinB.S1] user-interface aux 0 8

[D-SD-ZZ-BeiXinB.S1-ui-aux0-8]authentication-mode scheme [D-SD-ZZ-BeiXinB.S1-ui-aux0-8]undo set authentication password [D-SD-ZZ-BeiXinB.S1-ui-aux0-8]quit

####################################

（2）登录后超过5分钟无动作自动退出；

[D-SD-ZZ-BeiXinB.S1]user-interface aux 0 8 [D-SD-ZZ-BeiXinB.S1-ui-aux0-8]idle-timeout 5 [D-SD-ZZ-BeiXinB.S1-ui-aux0-8]quit

####################################

（3）连续登录失败5次后，账户锁定10分钟。（部分交换机不支持该功能）

[D-SD-ZZ-BeiXinB.S1]password-control enable Info: Password control is enabled.

[D-SD-ZZ-BeiXinB.S1]password-control login-attempt 5 exceed lock-time 10

####################################

3、远程登陆配置要求

（1）人员远程登录应使用 SSH 协议

[D-SD-ZZ-BeiXinB.S1]public-key local create rsa [D-SD-ZZ-BeiXinB.S1]public-key local create dsa [D-SD-ZZ-BeiXinB.S1]ssh server enable [D-SD-ZZ-BeiXinB.S1]user-interface vty 0 4

[D-SD-ZZ-BeiXinB.S1-ui-vty0-4]authentication-mode scheme [D-SD-ZZ-BeiXinB.S1-ui-vty0-4]protocol inbound all

测试ssh能否正常使用（通过核心1或者核心2路由器进行测试）

ssh2 37.2.44.73 //（该地址为需要远程测试的路由器的地址） Username: admin Trying 37.2.44.73 ... Press CTRL+K to abort

Connected to 37.2.44.73 ... Enter password:

如有提示信息，输入Y即可。

****************************************************************************** * Copyright (c) 2004-2011 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *

* Without the owner's prior written consent, * * no decompiling or reverse-engineering shall be allowed. *

****************************************************************************** 能够正常进入设备的操作界面，即成功进入设备，ssh设置成功。

sys

[D-SD-ZZ-BeiXinB.S1]user-interface vty 0 4

[D-SD-ZZ-BeiXinB.S1-ui-vty0-4]protocol inbound ssh

[D-SD-ZZ-BeiXinB.S1-ui-vty0-4]undo set authentication password [D-SD-ZZ-BeiXinB.S1-ui-vty0-4]quit

[D-SD-ZZ-BeiXinB.S1]local-user admin

[D-SD-ZZ-BeiXinB.S1-luser-admin]service-type ssh terminal [D-SD-ZZ-BeiXinB.S1-luser-admin]quit

（2）远程登录后超过 5 分钟无动作自动退出。

[D-SD-ZZ-BeiXinB.S1]user-interface vty 0 4 [D-SD-ZZ-BeiXinB.S1-ui-vty0-4]idle-timeout 5

（3）连续登录失败5次后，账户锁定10分钟。（（部分交换机不支持该功能））

[D-SD-ZZ-BeiXinB.S1]password-control enable Info: Password control is enabled.

[D-SD-ZZ-BeiXinB.S1]password-control login-attempt 5 exceed lock-time 10

（4）远程管理源IP地址限制

配置访问控制列表，只允许网管系统、审计系统、主站核心设备地址能访问网络设备及管理服务。

[D-SD-ZZ-BeiXinB.S1]acl number 2000

[D-SD-ZZ-BeiXinB.S1-acl-basic-2000]rule permit source 37.254.14.240 0.0.0.15 [D-SD-ZZ-BeiXinB.S1-acl-basic-2000]rule permit source 37.124.0.0 0.0.255.255 [D-SD-ZZ-BeiXinB.S1-acl-basic-2000]rule deny source any [D-SD-ZZ-BeiXinB.S1-acl-basic-2000]quit

[D-SD-ZZ-BeiXinB.S1]acl number 2001

[D-SD-ZZ-BeiXinB.S1-acl-basic-2001]rule permit source 37.254.14.250 0 [D-SD-ZZ-BeiXinB.S1-acl-basic-2000]quit

[D-SD-ZZ-BeiXinB.S1]snmp-agent community read zzpowerro acl 2001

[D-SD-ZZ-BeiXinB.S1]snmp-agent community read zzpowerro acl 2001

4、日志与审计

（1）SNMP协议安全

修改SNMP的Community默认通行字命令，通行字长度大于等于8位并包含数字、大小写字母及特殊字符，SNMP版本使用V2C及以上版本。

[D-SD-ZZ-BeiXinB.S1] snmp-agent community read zzpowerro //前期已经设置过，无需重

复设置

[D-SD-ZZ-BeiXinB.S1] snmp-agent community write zzpowerrw //前期已经设置过，无需重复设置

[D-SD-ZZ-BeiXinB.S1]snmp-agent sys-info version v2c v3 [D-SD-ZZ-BeiXinB.S1]undo snmp-agent sys-info version v1

（2）应启用设备日志审计功能，并配置远程日志服务器IP（限路由器）

[D-SD-ZZ-BeiXinB.S1] info-center enable

[D-SD-ZZ-BeiXinB.S1] info-center loghost 192.128.1.127

5、禁用不必要服务，包括HTTP、FTP、TELNET等

[D-SD-ZZ-BeiXinB.S1]undo ip http enable [D-SD-ZZ-BeiXinB.S1]undo ftp server

[D-SD-ZZ-BeiXinB.S1]undo telnet server enable

6、安全防护

（1）根据具体业务设置ACL访问控制列表

通过在调度数据网三层接入交换机出接口、路由器入接口设置ACL屏蔽非法访问信息，包括135、137、138、139、445等常见高危端口。

交换机设置:

[D-SD-ZZ-BeiXinB.S1]acl number 3000

[D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 0 deny tcp destination-port eq 135 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 1 deny tcp destination-port eq 137 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 2 deny tcp destination-port eq 138 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 3 deny tcp destination-port eq 139 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 4 deny tcp destination-port eq 445 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 5 deny udp destination-port eq 135 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 6 deny udp destination-port eq 137 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 7 deny udp destination-port eq 138 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 8 deny udp destination-port eq 139 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 9 deny udp destination-port eq 445 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000]quit

（2）应关闭交换机、路由器上不使用的端口，对于部分网络设备接口上有出厂缺省配置的必须清除。

[D-SD-ZZ-BeiXinB.S1]dis brief int #查看设备接口使用情况，显示如下信息

#将连接状态显示为DOWN的接口关闭，如上图“标红”位置

关闭GE接口（根据实际接口进行配置） [D-SD-ZZ-BeiXinB.S1]int GE 1/0/1 [D-SD-ZZ-BeiXinB.S1-GE1/0/1]shut