第一范文网 - 专业文章范例文档资料分享平台

H3C交换机配置指导201805025【最新V5版本】

来源:用户分享 时间:2025/6/10 5:31:57 本文由loading 分享 下载这篇文档手机版
说明:文章内容仅供预览,部分内容可能不全,需要完整文档或者需要复制内容,请下载word后使用。下载word有问题请添加微信号:xxxxxxx或QQ:xxxxxx 处理(尽可能给您提供完整文档),感谢您的支持与谅解。

H3C交换机配置指导201805025【最新V5版本】 1、用户账号与密码

强化管理员帐户密码,密码长度大于等于8位并包含数字、大小写字母及特殊字符,密码使用密文形式存储,绑定console口登录和SSH服务。

Zdhb*2660

su Password:Zdhb*2660 sys

[D-SD-ZZ-BeiXinB.S1]local-user admin

[D-SD-ZZ-BeiXinB.S1-luser-admin]password cipher Zdhb*2660 [D-SD-ZZ-BeiXinB.S1-luser-admin]authorization-attribute level 3 [D-SD-ZZ-BeiXinB.S1-luser-admin]service-type ssh terminal telnet [D-SD-ZZ-BeiXinB.S1-luser-admin]quit

####################################

2、设备本地管理

(1)设备本地通过console口登录需输入用户名和口令;

[D-SD-ZZ-BeiXinB.S1-ui-aux0-8]dis cu //查看全部配置信息,敲空格到最后,查看后几行信息

如果看到有user-interface aux 0 8信息 //显示aux口,则进入aux口进行配置 [D-SD-ZZ-BeiXinB.S1] user-interface aux 0 8

[D-SD-ZZ-BeiXinB.S1-ui-aux0-8]authentication-mode scheme [D-SD-ZZ-BeiXinB.S1-ui-aux0-8]undo set authentication password [D-SD-ZZ-BeiXinB.S1-ui-aux0-8]quit

####################################

(2)登录后超过5分钟无动作自动退出;

[D-SD-ZZ-BeiXinB.S1]user-interface aux 0 8 [D-SD-ZZ-BeiXinB.S1-ui-aux0-8]idle-timeout 5 [D-SD-ZZ-BeiXinB.S1-ui-aux0-8]quit

####################################

(3)连续登录失败5次后,账户锁定10分钟。(部分交换机不支持该功能)

[D-SD-ZZ-BeiXinB.S1]password-control enable Info: Password control is enabled.

[D-SD-ZZ-BeiXinB.S1]password-control login-attempt 5 exceed lock-time 10

####################################

3、远程登陆配置要求

(1)人员远程登录应使用 SSH 协议

[D-SD-ZZ-BeiXinB.S1]public-key local create rsa [D-SD-ZZ-BeiXinB.S1]public-key local create dsa [D-SD-ZZ-BeiXinB.S1]ssh server enable [D-SD-ZZ-BeiXinB.S1]user-interface vty 0 4

[D-SD-ZZ-BeiXinB.S1-ui-vty0-4]authentication-mode scheme [D-SD-ZZ-BeiXinB.S1-ui-vty0-4]protocol inbound all

测试ssh能否正常使用(通过核心1或者核心2路由器进行测试)

ssh2 37.2.44.73 //(该地址为需要远程测试的路由器的地址) Username: admin Trying 37.2.44.73 ... Press CTRL+K to abort

Connected to 37.2.44.73 ... Enter password:

如有提示信息,输入Y即可。

****************************************************************************** * Copyright (c) 2004-2011 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *

* Without the owner's prior written consent, * * no decompiling or reverse-engineering shall be allowed. *

****************************************************************************** 能够正常进入设备的操作界面,即成功进入设备,ssh设置成功。

sys

[D-SD-ZZ-BeiXinB.S1]user-interface vty 0 4

[D-SD-ZZ-BeiXinB.S1-ui-vty0-4]protocol inbound ssh

[D-SD-ZZ-BeiXinB.S1-ui-vty0-4]undo set authentication password [D-SD-ZZ-BeiXinB.S1-ui-vty0-4]quit

[D-SD-ZZ-BeiXinB.S1]local-user admin

[D-SD-ZZ-BeiXinB.S1-luser-admin]service-type ssh terminal [D-SD-ZZ-BeiXinB.S1-luser-admin]quit

(2)远程登录后超过 5 分钟无动作自动退出。

[D-SD-ZZ-BeiXinB.S1]user-interface vty 0 4 [D-SD-ZZ-BeiXinB.S1-ui-vty0-4]idle-timeout 5

(3)连续登录失败5次后,账户锁定10分钟。((部分交换机不支持该功能))

[D-SD-ZZ-BeiXinB.S1]password-control enable Info: Password control is enabled.

[D-SD-ZZ-BeiXinB.S1]password-control login-attempt 5 exceed lock-time 10

(4)远程管理源IP地址限制

配置访问控制列表,只允许网管系统、审计系统、主站核心设备地址能访问网络设备及管理服务。

[D-SD-ZZ-BeiXinB.S1]acl number 2000

[D-SD-ZZ-BeiXinB.S1-acl-basic-2000]rule permit source 37.254.14.240 0.0.0.15 [D-SD-ZZ-BeiXinB.S1-acl-basic-2000]rule permit source 37.124.0.0 0.0.255.255 [D-SD-ZZ-BeiXinB.S1-acl-basic-2000]rule deny source any [D-SD-ZZ-BeiXinB.S1-acl-basic-2000]quit

[D-SD-ZZ-BeiXinB.S1]acl number 2001

[D-SD-ZZ-BeiXinB.S1-acl-basic-2001]rule permit source 37.254.14.250 0 [D-SD-ZZ-BeiXinB.S1-acl-basic-2000]quit

[D-SD-ZZ-BeiXinB.S1]snmp-agent community read zzpowerro acl 2001

[D-SD-ZZ-BeiXinB.S1]snmp-agent community read zzpowerro acl 2001

4、日志与审计

(1)SNMP协议安全

修改SNMP的Community默认通行字命令,通行字长度大于等于8位并包含数字、大小写字母及特殊字符,SNMP版本使用V2C及以上版本。

[D-SD-ZZ-BeiXinB.S1] snmp-agent community read zzpowerro //前期已经设置过,无需重

复设置

[D-SD-ZZ-BeiXinB.S1] snmp-agent community write zzpowerrw //前期已经设置过,无需重复设置

[D-SD-ZZ-BeiXinB.S1]snmp-agent sys-info version v2c v3 [D-SD-ZZ-BeiXinB.S1]undo snmp-agent sys-info version v1

(2)应启用设备日志审计功能,并配置远程日志服务器IP(限路由器)

[D-SD-ZZ-BeiXinB.S1] info-center enable

[D-SD-ZZ-BeiXinB.S1] info-center loghost 192.128.1.127

5、禁用不必要服务,包括HTTP、FTP、TELNET等

[D-SD-ZZ-BeiXinB.S1]undo ip http enable [D-SD-ZZ-BeiXinB.S1]undo ftp server

[D-SD-ZZ-BeiXinB.S1]undo telnet server enable

6、安全防护

(1)根据具体业务设置ACL访问控制列表

通过在调度数据网三层接入交换机出接口、路由器入接口设置ACL屏蔽非法访问信息,包括135、137、138、139、445等常见高危端口。

交换机设置:

[D-SD-ZZ-BeiXinB.S1]acl number 3000

[D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 0 deny tcp destination-port eq 135 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 1 deny tcp destination-port eq 137 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 2 deny tcp destination-port eq 138 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 3 deny tcp destination-port eq 139 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 4 deny tcp destination-port eq 445 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 5 deny udp destination-port eq 135 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 6 deny udp destination-port eq 137 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 7 deny udp destination-port eq 138 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 8 deny udp destination-port eq 139 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 9 deny udp destination-port eq 445 [D-SD-ZZ-BeiXinB.S1-acl-adv-3000]quit

(2)应关闭交换机、路由器上不使用的端口,对于部分网络设备接口上有出厂缺省配置的必须清除。

[D-SD-ZZ-BeiXinB.S1]dis brief int #查看设备接口使用情况,显示如下信息

#将连接状态显示为DOWN的接口关闭,如上图“标红”位置

关闭GE接口(根据实际接口进行配置) [D-SD-ZZ-BeiXinB.S1]int GE 1/0/1 [D-SD-ZZ-BeiXinB.S1-GE1/0/1]shut

H3C交换机配置指导201805025【最新V5版本】.doc 将本文的Word文档下载到电脑,方便复制、编辑、收藏和打印
本文链接:https://www.diyifanwen.net/c3dz4h3fnd44m0xd0pw4b4c2db011p100m92_1.html(转载请注明文章来源)
热门推荐
Copyright © 2012-2023 第一范文网 版权所有 免责声明 | 联系我们
声明 :本网站尊重并保护知识产权,根据《信息网络传播权保护条例》,如果我们转载的作品侵犯了您的权利,请在一个月内通知我们,我们会及时删除。
客服QQ:xxxxxx 邮箱:xxxxxx@qq.com
渝ICP备2023013149号
Top