XX银行H3C交换机安全基线配置

XX 银行H3C 交换机系列安全配置基线(V1.0)1 适用声明 (2)2 访问控制 (3)2.1 远程连接源地址限制 (21)3 安全审计 (3)3.1 开启设备的日志功能 (6)4 入侵防范 (7)4.1 配置防ARP欺骗攻击 (7)4.2 配置常见的漏洞攻击和病毒过滤功能 (4)4.3 配置ACL规则 (3)5 网络设备防护 (8)5.1 限制管理员远程直接登录 (8)5.2 连接空闲时间设定 (9)5.3 远程登陆加密传输 (10)5.4 配置CONSOLE 口密码保护功能和连接超时 (11)5.5 按照用户分配账号 (12)5.6 删除设备中无用的闲置账号 (13)5.7 修改设备上存在的弱口令 (13)5.8 配置和认证系统联动功能 (14)配置和认证系统联动功能 (14)5.9 配置NTP服务 (15)5.10 修改SNMP的COMMUNITY 默认通行字 (16)5.11 使用SNMPV2或以上版本 (17)5.12 设置SNMP的访问安全限制 (18)5.13 系统应关闭未使用的SNMP协议及未使用RW权限 (19)5.14 关闭不必要的服务 (19)5.15 配置防源地址欺骗攻击 (20)5.16 禁止设备未使用或者空闲的端口 (21)1适用声明2访问控制2.1 配置ACL规则[H3C-behavior-tb1] de ny6. 定义流策略，将流分类与流行为关联。

[H3C] traffic policy tp1[H3C-trafficpolicy-tp1] classifier tc1 behavior tb17. 应用流策略到接口。

[H3C] in terface gigabitethernet 0/0/1[H3C-GigabitEthernet0/0/1] traffic-policy tp1 in bou nd 备注2.2 配置常见的漏洞攻击和病毒过滤功能3安全审计3.1 开启设备的日志功能备注4入侵防范5网络设备防护1. 进入用户视图配置/检查项远程登陆加密传输适用等保级别等保一至四级<H3C>2. 用户视图切换到系统视图<H3C> system-view检查步骤En ter system view, return user view with Ctrl+Z.[H3C]3. 查看相关SSH配置[H3C]dis cur | in ssh如果通过远程对交换机进行管理维护，特别是通过互联网以及不安全的公共网络，设备应配置使用SSH加密协议。

H C交换机安全配置基
线
文件管理序列号：[K8UY-K9IO69-O6M243-OL889-F88688]
H3C交换机安全配置基线
备注：
1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本
控制表格。

目录
第1章概述
1.1目的
本文档旨在指导系统管理人员进行H3C交换机的安全配置。

1.2适用范围
本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本
H3C交换机。

1.4实施
1.5例外条款
第2章帐号管理、认证授权安全要求
2.1帐号
2.1.1配置默认级别*
2.2口令
2.2.1密码认证登录
2.2.2设置访问级密码
2.2.3加密口令
第3章日志安全要求
3.1日志安全
3.1.1配置远程日志服务器
第4章IP协议安全要求4.1IP协议
4.1.1使用SSH加密管理
4.1.2系统远程管理服务只允许特定地址访问
第5章SNMP安全要求
5.1SNMP安全
5.1.1修改SNMP默认通行字
5.1.2使用SNMPV2或以上版本
5.1.3SNMP访问控制
第6章其他安全要求6.1其他安全配置
6.1.1关闭未使用的端口
6.1.2帐号登录超时
6.1.3关闭不需要的服务*
第7章评审与修订。

X X银行H3C交换机系列安全配置基线(V1.0)目录1适用声明 (2)2访问控制 (3)2.1远程连接源地址限制 (21)3安全审计 (3)3.1开启设备的日志功能 (6)4入侵防范 (7)4.1配置防ARP欺骗攻击 (7)4.2配置常见的漏洞攻击和病毒过滤功能 (4)4.3配置ACL规则 (3)5网络设备防护 (8)5.1限制管理员远程直接登录 (8)5.2连接空闲时间设定 (9)5.3远程登陆加密传输 (10)5.4配置CONSOLE口密码保护功能和连接超时 (11)5.5按照用户分配账号 (12)5.6删除设备中无用的闲置账号 (13)5.7修改设备上存在的弱口令 (13)5.8配置和认证系统联动功能 (14)配置和认证系统联动功能 (14)5.9配置NTP服务 (15)5.10修改SNMP的COMMUNITY默认通行字 (16)5.11使用SNMPV2或以上版本 (17)5.12设置SNMP的访问安全限制 (18)5.13系统应关闭未使用的SNMP协议及未使用RW权限 (19)5.14关闭不必要的服务 (19)5.15配置防源地址欺骗攻击 (20)5.16禁止设备未使用或者空闲的端口 (21)1 适用声明2 访问控制2.1配置ACL规则3 安全审计3.1开启设备的日志功能4 入侵防范5 网络设备防护5.2连接空闲时间设定5.3远程登陆加密传输5.4配置console口密码保护功能和连接超时5.6删除设备中无用的闲置账号5.7修改设备上存在的弱口令5.8配置和认证系统联动功能5.9配置NTP服务5.10修改SNMP的community默认通行字5.11使用SNMPV2或以上版本5.12设置SNMP的访问安全限制5.13系统应关闭未使用的SNMP协议及未使用RW权限5.14关闭不必要的服务5.17远程连接源地址限制。

H3C交换机端口安全模式配置H3C交换机端口安全模式配置用户网络访问控制是我们在进行网络管理和网络设备配置时经常要用到一项网络技术应用。

其实在用户的网络访问控制方面，最直接、最简单的方法就是配置基于端口的安全模式，不仅Cisco交换机如此，H3C交换机也有类似的功能，而且看起来功能更加强大。

下面跟yjbys 店铺一起来学习一下H3C以太网交换机端口安全模式配置方法！在H3C以太网交换机上可配置的端口安全模式总体来说是可分为两大类：控制MAC地址学习类和认证类。

控制MAC地址学习类无需对接入用户进行认证，但是可以允许或者禁止自动学习指定用户MAC 地址，也就是允许或者禁止把对应MAC地址添加到本地交换机的MAC地址表中，通过这种方法就可以实现用户网络访问的控制。

认证类则是利用MAC地址认证或IEEE 802.1X认证机制，或者同时结合这两种认证来实现对接入用户的网络访问控制。

配置了安全模式的H3C以太网交换机端口，在收到用户发送数据报文后，首先在本地MAC地址表中查找对应用户的MAC地址。

如果该报文的源MAC地址已经在本地交换机中的MAC地址表中则直接转发该报文，否则根据端口所在安全模式进行相应的处理，并在发现非法报文后触发端口执行相应的安全防护特性。

在H3C以太网交换机中可配置的端口安全模式及各自的工作原理如下。

1. autoLearn模式与secure模式在autoLearn(自动学习)端口安全模式下，可通过手工配置，或动态学习MAC地址，此时得到的MAC地址称为Secure MAC(安全MAC地址)。

在这种模式下，只有源MAC为Secure MAC的报文才能通过该端口;但在端口下的Secure MAC地址表项数超过端口允许学习的最大安全MAC地址数后，该端口也不会再添加新的Secure MAC，并且端口会自动转变为Secure模式。

如果直接将端口安全模式设置为Secure模式，则将立即禁止端口学习新的MAC地址，只有源MAC地址是原来已在交换机上静态配置，或者已动态学习到的MAC地址的报文才能通过该端口转发。

H3C交换机安全配置基线（Version 1.0）2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (4)7.3 认证管理 (5)7.3.1 RADIUS认证（可选） (5)7.4 日志审计 (6)7.4.1 RADIUS记账（可选） (6)7.4.2 启用信息中心 (6)7.4.3 远程日志功能 (7)7.4.4 日志记录时间准确性 (7)7.5 协议安全 (7)7.5.1 BPDU防护 (8)7.5.2 根防护 (8)7.5.3 VRRP认证 (8)7.6 网络管理 (9)7.6.1 SNMP协议版本 (9)7.6.2 修改SNMP默认密码 (9)7.6.3 SNMP通信安全（可选） (10)7.7 设备管理 (10)7.7.1 交换机带内管理方式 (10)7.7.2 交换机带内管理通信 (11)7.7.3 交换机带内管理超时 (11)7.7.4 交换机带内管理验证 (12)7.7.5 交换机带内管理用户级别 (12)7.7.6 交换机带外管理超时 (13)7.7.7 交换机带外管理验证 (13)7.8 端口安全 (13)7.8.1 使能端口安全 (13)7.8.2 端口MAC地址数 (14)7.8.3 交换机VLAN划分 (14)7.9 其它 (15)7.9.1 交换机登录BANNER管理 (15)7.9.2 交换机空闲端口管理 (15)7.9.3 禁用版权信息显示 (16)附录A 安全基线配置项应用统计表 (17)附录B 安全基线配置项应用问题记录表 (19)附录C 中国石油NTP服务器列表 (20)1 引言本文档规定了中国石油使用的H3C系列交换机应当遵循的交换机安全性设置标准，是中国石油安全基线文档之一。

h3c交换机配置步骤教程其实不同厂家型号的交换机设置都是差不多的，只是不同厂家的交换机设置的命令是不同的!但只要我们知道一种交换机的设置并找一下相关的资料，就很容易设置好不同的交换机!今天小编就来给你介绍一下h3c交换机配置步骤教程，希望你能够使用上!h3c交换机配置步骤教程比方说，你们公司新增加了办公室，网络端口不够用了，你们IT主管让你加一个交换机到机房并设置好。

首先的条件是你公司的网络有vlan的划分(在核心交换机上)，比如说vlan 2 ,vlan 3,vlan4等!那么我们怎么来设置好一个交换机呢?大家可能会想到很多，觉得交换机很难设置，其实只要我们在设置之前想好要做哪些事情，它还是很容易的!我们一般要设置的有: 交换机的名称、管理ip地址(这个也可以不设置的)、登陆的用户和密码以及划分合适的vlan 等。

至于其它的很多功能设置我们一般是不需要改，如果要真的改，那就拿出说明书吧!好了，先给大家看看H3C交换机的登陆界面。

大家看到的上面这个界面就是登陆后出现的，看没看到这个提示，表于你已经进入了交换机的用户操作界面，交换机的名称是H3C ,这是它给我们的信息。

下面我们看一下在这个用户操作介面下都可以执行哪些命令,输入一个问号得到帮助(很多东西我们都不需要记住的，只要输入”?”问号帮助命令，它就会提示你怎么操做了!),如下图所示。

在用户操作模式下显示的这些命令都是很简单的，也没有什么特别的说明，因为如果要改变交换机的设置,需要进入交换机的系统模式，输入system-view 就可以进入系统修改模式了，如下图所示!看一下系统模式下的命令都有哪些:还真是很多呀!看到这么多命令各位的脑袋是不是又大起来了，没关系的，别紧张，想一想我们们应该完成的任务吧，其实用不到那么多命令的!用sysname 命令设置交换机的名称，如下图：接下来设置管理vlan和管理ip , 管理vlan和管理ip大家可能不明白是什么意思! 每个交换机默认都是有一个vlan 1存在的，在H3C交换机里，这个vlan 1默认就是管理vlan, 管理ip就是用来远程管理这个交换机的ip地址,管理ip要设置在管理vlan上，如果我们公司核心交换机上没有设置vlan 1 ，也就是说vlan 1是没有ip地址定义的，那么我们就要设置其它的vlan为管理vlan，这样才能设置ip 地址，才能远程管理交换机!一个交换机里只能有一个管理vlan存在，所以我们要先删除原来的管理vlan , 设置新的管理vlan , 命令如下:删除原来的管理vlan , 用undo 命令(undo 是取消设置的命令)。

H3C设备安全配置基线目录第1章概述 (5)1.1目的 (5)1.2适用范围 (5)1.3适用版本 (5)第2章帐号管理、认证授权安全要求 (6)2.1帐号管理 (6)2.1.1用户帐号分配* (6)2.1.2删除无关的帐号* (7)2.2口令 (8)2.2.1静态口令以密文形式存放 (8)2.2.2帐号、口令和授权 (10)2.2.3密码复杂度 (11)2.3授权 (11)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (11)第3章日志安全要求 (13)3.1日志安全 (13)3.1.1启用信息中心 (13)3.1.2开启NTP服务保证记录的时间的准确性 (14)3.1.3远程日志功能* (15)第4章IP协议安全要求 (17)4.1IP协议 (17)4.1.1VRRP认证 (17)4.1.2系统远程服务只允许特定地址访问 (17)4.2功能配置 (18)4.2.1SNMP的Community默认通行字口令强度 (18)4.2.2只与特定主机进行SNMP协议交互 (20)4.2.3配置SNMPV2或以上版本 (21)4.2.4关闭未使用的SNMP协议及未使用write权限 (21)第5章IP协议安全要求 (23)5.1其他安全配置 (23)5.1.1关闭未使用的接口 (23)5.1.2修改设备缺省BANNER语 (24)5.1.3配置定时账户自动登出 (24)5.1.4配置console口密码保护功能 (25)5.1.5端口与实际应用相符 (26)第1章概述1.1目的规范配置H3C路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本comwareV7版本交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-H3C-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

H3C设备安全配置基线目录第1章概述41.1追求41.2适用范围41.3适用版本4第2章帐号管理、认证授权安全要求62.1帐号管理62.1.1用户帐号分配*62.1.2删除无关的帐号*72.2口令82.2.1静态口令以密文形式存放82.2.2帐号、口令和授权92.2.3密码复杂度102.3授权112.3.1用IP协议进行远程维护的设备使用SSH等加密协议11第3章日志安全要求123.1日志安全123.1.1启用信息中心123.1.2开启NTP服务保证记录的进度的准确性133.1.3远程日志功能*14第4章IP协议安全要求154.1IP协议154.1.1VRRP认证154.1.2系统远程服务只允许特定地址访问154.2功能配置164.2.1SNMP的Community默认通行字口令强度164.2.2只与特定主机进行SNMP协议交互174.2.3配置SNMPV2或以上版本184.2.4关闭未使用的SNMP协议及未使用write权限19第5章IP协议安全要求205.1其他安全配置205.1.1关闭未使用的接口205.1.2修改设备缺省BANNER语21 5.1.3配置定时账户自动登出215.1.4配置console口密码保护功能22 5.1.5端口与实际应用相符23第1章概述1.1追求规范配置H3C路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本comwareV7版本交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-H3C-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

4、参考配置制作：[H3C]local-user admin[H3C-luser-manage-admin]password hash admin@mmu2[H3C-luser-manage-admin] authorization-attribute user-role level-15[H3C]local-user user[H3C-luser-network-user] password hash user@nhesa[H3C-luser-network-user] authorization-attribute user-role network-operator5、安全判定条件：（1）配置文件中，存在不同的账号分配（2）网络管理员确认用户与账号分配关系明确6、检测制作：使用命令dis cur命令查看：…#local-user admin class managepassword hash $h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsxuoWQ==service-type sshauthorization-attribute user-role level-15#local-user user class networkpassword hash $h$6$mmu2MlqLkGMnNyservice-type sshauthorization-attribute user-role network-operator#对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。

H3C交换机安全配置基线 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KIIH3C交换机安全配置基线1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 ..................................................................................................... 错误!未定义书签。

目的 .......................................................................................................... 错误!未定义书签。

适用范围 .................................................................................................. 错误!未定义书签。

适用版本 .................................................................................................. 错误!未定义书签。

实施 .......................................................................................................... 错误!未定义书签。

例外条款 .................................................................................................. 错误!未定义书签。

第2章帐号管理、认证授权安全要求 ........................................................... 错误!未定义书签。

H3C防火墙安全配置基线1.假如此文档需要日后更新，请创建人填写版本控制表格，否如此删除版本控制表格。

目录第1章概述1目的1适用X围1适用版本1实施1例外条款1第2章某某管理、认证授权安全要求2某某管理2用户某某分配*2删除无关的某某*3某某登录超时*3某某密码错误自动锁定*4口令5口令复杂度要求5授权6远程维护的设备使用加密协议6第3章日志与配置安全要求7日志安全7记录用户对设备的操作7开启记录NAT日志*7开启记录VPN日志*8配置记录拒绝和丢弃报文规如此的日志8告警配置要求9配置对防火墙本身的攻击或内部错误告警9配置TCP/IP协议网络层异常报文攻击告警9配置DOS和DDOS攻击告警10配置关键字内容过滤功能告警*12安全策略配置要求13访问规如此列表最后一条必须是拒绝一切流量13配置访问规如此应尽可能缩小X围13用户按照访问权限进展分组*14配置NAT地址转换*15隐藏防火墙字符管理界面的bannner信息16防止从内网主机直接访问外网的规如此*16关闭非必要服务17攻击防护配置要求17拒绝常见漏洞所对应端口或者服务的访问17防火墙各逻辑接口配置开启防源地址欺骗功能19第4章IP协议安全要求19功能配置19使用SNMP V2c或者V3以上的版本对防火墙远程管理19第5章其他安全要求20其他安全配置20外网口地址关闭对ping包的回应*20对防火墙的管理地址做源地址限制21第6章评审与修订22第1章概述1.1 目的本文档旨在指导系统管理人员进展H3C防火墙的安全配置。

1.2 适用X围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3 适用版本H3C防火墙。

1.4 实施1.5 例外条款第2章某某管理、认证授权安全要求2.1 某某管理2.1.1用户某某分配*2.1.2删除无关的某某*2.1.3某某登录超时*2.1.4某某密码错误自动锁定*2.2 口令2.2.1口令复杂度要求2.3 授权2.3.1远程维护的设备使用加密协议安全基线项远程维护使用加密协议安全基线要求项目名称安全基线编SBL-H3C-02-03-01号安全基线项对于防火墙远程管理的配置，必须是基于加密的协议。

H3C交换机安全配置基线备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号 (2)2.1.1配置默认级别* (2)2.2口令 (3)2.2.1密码认证登录 (3)2.2.2设置访问级密码 (4)2.2.3加密口令 (4)第3章日志安全要求 (6)3.1日志安全 (6)3.1.1配置远程日志服务器 (6)第4章IP协议安全要求 (7)4.1IP协议 (7)4.1.1使用SSH加密管理 (7)4.1.2系统远程管理服务只允许特定地址访问 (7)第5章SNMP安全要求 (9)5.1SNMP安全 (9)5.1.1修改SNMP默认通行字 (9)5.1.2使用SNMPV2或以上版本 (9)5.1.3SNMP访问控制 (10)第6章其他安全要求 (12)6.1其他安全配置 (12)6.1.1关闭未使用的端口 (12)6.1.2帐号登录超时 (12)6.1.3关闭不需要的服务* (13)第7章评审与修订 (15)第1章概述1.1 目的本文档旨在指导系统管理人员进行H3C交换机的安全配置。

1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3 适用版本H3C交换机。

1.4 实施1.5 例外条款第2章帐号管理、认证授权安全要求2.1 帐号2.1.1配置默认级别*2.2 口令2.2.1密码认证登录2.2.2设置访问级密码2.2.3加密口令第3章日志安全要求3.1 日志安全3.1.1配置远程日志服务器第4章IP协议安全要求4.1 IP协议4.1.1使用SSH加密管理4.1.2系统远程管理服务只允许特定地址访问第5章SNMP安全要求5.1 SNMP安全5.1.1修改SNMP默认通行字5.1.2使用SNMPV2或以上版本5.1.3SNMP访问控制第6章其他安全要求6.1 其他安全配置6.1.1关闭未使用的端口6.1.2帐号登录超时6.1.3关闭不需要的服务*第7章评审与修订。

H3C三层交换机安全配置规范4.1管理平面安全配置4.1.1管理口防护4.1.1.1关闭未使用的管理口项目编号NOMD-2013-SC-H3C(L3SW)-01-01-01-v1配置说明设备应关闭未使用的管理口（AUX、或者没开启业务的端口）。

重要等级高配置指南1、参考配置操作#interface Ten-GigabitEthernet0/1 //进入端口视图shutdown //执行shutdown命令，关闭端口#检测方法及判定依据1、符合性判定依据端口关闭，不能使用。

2、参考检测方法通过网线或光纤（视具体接口不同），将此端口与PC或其他设备未关闭的端口互连，该端口指示灯灭，且PC或其他设备没有网卡UP的提示信息。

备注4.1.1.2配置console口密码保护项目编号NOMD-2013-SC-H3C(L3SW)-01-01-02-v1配置说明设备应配置console口密码保护重要等级高配置指南1、参考配置操作[H3C]user-interface console 0[ H3C-ui-console0] authentication-mode password[ H3C-ui-console0] set authentication password cipher xxxxxxxx检测方法及判定依据1、符合性判定依据通过console口，只有输入正确密码才能进入配置试图2、参考检测方法PC用Console线连接设备Console口，通过超级终端等配置软件，在进入设备配置视图时，提示要求输入密码。

备注4.1.2账号与口令4.1.2.1避免共享账号项目编号NOMD-2013-SC-H3C(L3SW)-01-02-01-v1配置说明应对不同的用户分配不同的账号，避免不同用户间账号共享。

重要等级中配置指南1、参考配置操作local-user user1service-type telnetuser privilede level 2#local-user user2service-type ftpuser privilede level 3#2、补充操作说明1、user1和user2是两个不同的账号名称，可根据不同用户，取不同的名称，建议使用：姓名的简写＋手机号码；2、避免使用h3c、admin等简单易猜的账号名称；检测方法及判定依据1、符合性判定依据各账号都可以正常使用，不同用户有不同的账号。

H3C三层交换机安全配置规范4.1管理平面安全配置4.1.1管理口防护4.1.1.1关闭未使用的管理口项目编号NOMD-2013-SC-H3C(L3SW)-01-01-01-v1配置说明设备应关闭未使用的管理口（AUX、或者没开启业务的端口）。

重要等级高配置指南1、参考配置操作#interface Ten-GigabitEthernet0/1 //进入端口视图shutdown //执行shutdown命令，关闭端口#检测方法及判定依据1、符合性判定依据端口关闭，不能使用。

2、参考检测方法通过网线或光纤（视具体接口不同），将此端口与PC或其他设备未关闭的端口互连，该端口指示灯灭，且PC或其他设备没有网卡UP的提示信息。

备注4.1.1.2配置console口密码保护项目编号NOMD-2013-SC-H3C(L3SW)-01-01-02-v1配置说明设备应配置console口密码保护重要等级高配置指南1、参考配置操作[H3C]user-interface console 0[ H3C-ui-console0] authentication-mode password[ H3C-ui-console0] set authentication password cipher xxxxxxxx检测方法及判定依据1、符合性判定依据通过console口，只有输入正确密码才能进入配置试图2、参考检测方法PC用Console线连接设备Console口，通过超级终端等配置软件，在进入设备配置视图时，提示要求输入密码。

备注4.1.2账号与口令4.1.2.1避免共享账号项目编号NOMD-2013-SC-H3C(L3SW)-01-02-01-v1配置说明应对不同的用户分配不同的账号，避免不同用户间账号共享。

重要等级中配置指南1、参考配置操作local-user user1service-type telnetuser privilede level 2#local-user user2service-type ftpuser privilede level 3#2、补充操作说明1、user1和user2是两个不同的账号名称，可根据不同用户，取不同的名称，建议使用：姓名的简写＋手机号码；2、避免使用h3c、admin等简单易猜的账号名称；检测方法及判定依据1、符合性判定依据各账号都可以正常使用，不同用户有不同的账号。

H3C交换机基础配置命令详解交换机的配置华为与H3C比较类似，这里面我们今天就来了解下，基础的配置命令，大家可以重点看下vlan的划分，这个在项目应用中较多。

一、基本配置<H3C> //用户直行模式提示符,用户视图<H3C>system-view //进入配置视图[H3C] sysname xxx //设置主机名成为xxx这里使用修改特权用户密码一、用户配置<H3C>system-view[H3C]super passwordH3C //设置用户分级密码[H3C]undo superpassword //删除用户分级密码[H3C]localuser bigheap 1234561 //Web网管用户设置,1（缺省）为管理级用户,缺省admin,admin[H3C]undo localuserbigheap //删除Web网管用户[H3C]user-interface aux0 //只支持0[H3C-Aux]idle-timeout 250 //设置超时为2分50秒,若为0则表示不超时,默认为5分钟[H3C-Aux]undoidle-timeout //恢复默认值[H3C]user-interface vty0 //只支持0和1[H3C-vty]idle-timeout 250 //设置超时为2分50秒,若为0则表示不超时,默认为5分钟[H3C-vty]undoidle-timeout //恢复默认值[H3C-vty]set authentication password123456 //设置telnet密码,必须设置[H3C-vty]undo set authenticationpassword //取消密码[H3C]displayusers //显示用户[H3C]displayuser-interface //用户界面状态三、VLAN配置[H3C]vlan 2 //创建VLAN2[H3C]undo vlanall //删除除缺省VLAN外的所有VLAN,缺省VLAN不能被删除[H3C-vlan2]port Ethernet 0/4 to Ethernet0/7 //将4到7号端口加入到VLAN2中,此命令只能用来加access端口,不能用来增加trunk或者hybrid端口[H3C-vlan2]port-isolateenable //打开VLAN内端口隔离特性,不能二层转发,默认不启用该功能[H3C-Ethernet0/4]port-isolate uplink-portvlan 2 //设置4为VLAN2的隔离上行端口,用于转发二层数据,只能配置一个上行端口,若为trunk,则建议允许所有VLAN通过,隔离不能与汇聚同时配置[H3C]display vlanall //显示所有VLAN的详细信息S1550E支持基于端口的VLAN,通过创建不同的user-group来实现,一个端口可以属于多个user-group,不属于同一个user-group的端口不能互相通信[H3C]user-group20 //创建user-group 20,默认只存在user-group 1[H3C-UserGroup20]port Ethernet 0/4 toEthernet 0/7 //将4到7号端口加入到VLAN20中,初始时都属于user-group 1中[H3C]display user-group20 //显示user-group 20的相关信息四、交换机IP配置[H3C]vlan 20 //创建vlan[H3C]management-vlan 20 //管理vlan[H3C]interface vlan-interface20 //进入并管理vlan20[H3C]undo interface vlan-interface20 //删除管理VLAN接口[H3C-Vlan-interface20]ip address192.168.1.2 255.255.255.0 //配置管理VLAN接口静态IP地址(缺省为192.168.0.234) [H3C-Vlan-interface20]undo ipaddress //删除IP地址[H3C-Vlan-interface20]ip gateway192.168.1.1 //指定缺省网关(默认无网关地址)[H3C-Vlan-interface20]undo ip gateway[H3C-Vlan-interface20]shutdown //关闭接口[H3C-Vlan-interface20]undoshutdown //开启[H3C]display ip //显示管理VLAN接口IP的相关信息[H3C]display interface vlan-interface20 //查看管理VLAN的接口信息<H3C>debuggingip //开启IP调试功能<H3C>undo debugging ip五、DHCP客户端配置[H3C-Vlan-interface20]ip addressdhcp-alloc // 管理VLAN接口通过DHCP方式获取IP地址[H3C-Vlan-interface20]undo ip addressdhcp-alloc // 取消[H3C]display dhcp //显示DHCP客户信息<H3C>debuggingdhcp-alloc //开启DHCP调试功能<H3C>undo debugging dhcp-alloc六、端口配置[H3C]interface Ethernet0/3 //进入端口[H3C-Ethernet0/3]shutdown //关闭端口[H3C-Ethernet0/3]speed100 //速率可为10,100,1000和auto(缺省)[H3C-Ethernet0/3]duplexfull //双工,可为half,full和auto(缺省) 光口和汇聚后不能配置[H3C-Ethernet0/3]flow-control //开启流控,默认为关闭[H3C-Ethernet0/3]broadcast-suppression20 //设置抑制广播百分比为20%,可取5,10,20,100,缺省为100,同时组播和未知单播也受此影响[H3C-Ethernet0/3]loopbackinternal //内环测试[H3C-Ethernet0/3]loopbackexternal //外环测试,需插接自环头,必须为全双工或者自协商模式[H3C-Ethernet0/3]port link-typetrunk //设置链路的类型为trunk,可为access(缺省),trunk[H3C-Ethernet0/3]port trunk pvid vlan20 //设置20为该trunk 的缺省VLAN,默认为1(trunk线路两端的PVID必须一致) [H3C-Ethernet0/3]port access vlan20 //将当前access端口加入指定的VLAN[H3C-Ethernet0/3]port trunk permit vlanall //允许所有的VLAN通过当前的trunk端口,可多次使用该命令[H3C-Ethernet0/3]mdiauto //设置以太端口为自动监测,normal(缺省)为直通线,across为交叉线[H3C]link-aggregation Ethernet 0/1 toEthernet 0/4 //将1-4口加入汇聚组,1为主端口,两端需要同时配置,设置了端口镜像以及端口隔离的端口无法汇聚[H3C]undo link-aggregation Ethernet0/1 //删除该汇聚组[H3C]link-aggregation modeegress //配置端口汇聚模式为根据目的MAC地址进行负荷分担,可选为ingress,egress和both,缺省为both[H3C]monitor-port Ethernet0/2 //将该端口设置为镜像端口,必须先设置镜像端口,删除时必须先删除被镜像端口,而且它们不能同在一个端口,该端口不能在汇聚组中,设置新镜像端口时,新取代旧,被镜像不变[H3C]mirroring-port Ethernet 0/3 toEthernet 0/4 both //将端口3和4设置为被镜像端口,both为同时监控接收和发送的报文,inbound表示仅监控接收的报文,outbound表示仅监控发送的报文[H3C]display mirror[H3C]display interface Ethernet 0/3<H3C>resetcounters //清除所有端口的统计信息[H3C]display link-aggregation Ethernet0/3 //显示端口汇聚信息[H3C-Ethernet0/3]virtual-cable-test //诊断该端口的电路状况七、集群配置S2100只能作为成员交换机加入集群中,加入后系统名改为'集群名_成员编号.原系统名'的格式.即插即用功能通过两个功能实现: 集群管理协议MAC组播地址协商和管理VLAN协商[H3C]cluster enable //启用群集功能,缺省为启用[H3C]cluster //进入群集视图[H3C-cluster]administrator-address H-H-Hname switch H-H-H为命令交换机的MAC，加入switch集群[switch_1.H3C-cluster]undoadministrator-address //退出集群[H3C]displaycluster //显示集群信息[H3C]management-vlan2 //集群报文只能在管理VLAN中转发,同一集群需在同一个管理VLAN中,需在建立集群之前指定管理VLAN八、QOS优先级配置QoS配置步骤：设置端口的优先级,设置交换机信任报文的优先级方式,队列调度,端口限速[H3C-Ethernet0/3]priority7 //设置端口优先级为7,默认为0[H3C]priority-trustcos //设置交换机信任报文的优先级方式为cos(802.1p优先级,缺省值),还可以设为dscp方式(dscp优先级方式) [H3C]queue-scheduler hq-wrr 2 4 68 //设置队列调度算法为HQ-WRR(默认为WRR),权重为2,4,6,8[H3C-Ethernet0/3]line-rate inbound29 //将端口进口速率限制为2Mbps,取1-28时,速率为rate*8*1024/125,即64,128,192...1.792M;29-127时,速率为(rate-27)*1024,即2M,3M,4M...100M,千兆时可继续往下取,128-240时,速率为(rate-115)*8*1024,即104M,112M,120M...1000M[H3C]displayqueue-scheduler //显示队列调度模式及参数[H3C]displaypriority-trust //显示优先级信任模式九、系统管理[H3C]mac-address blackhole H-H-H vlan1 //在VLAN1中添加黑洞MAC[H3C]mac-address static H-H-H interfaceEthernet 0/1 vlan 1 //在VLAN1中添加端口一的一个mac[H3C]mac-address timer aging500 //设置MAC地址表的老化时间为500s[H3C]display mac-address[H3C]display arp[H3C]mac-address port-binding H-H-Hinterface Ethernet 0/1 vlan 1 配置端口邦定[H3C]display mac-address port-binding[H3C]display saved-configuration[H3C]display current-configuration<H3C>save[H3C]restoredefault //恢复交换机出厂默认配置,恢复后需重启才能生效[H3C]display version<H3C>reboot[H3C]display device[H3C]sysname bigheap[H3C]info-centerenable //启用系统日志功能,缺省情况下启用[H3C]info-center loghost ip192.168.0.3 //向指定日志主机(只能为UNIX或LINUX,不能为Windows)输出信息,需先开启日志功能,缺省关闭[H3C]info-center loghost level8 //设置系统日志级别为8,默认为5.级别说明:1.emergencies 2.alerts 3.critical4.errors 5.warnings 6.notifications rmational 8.debugging<H3C>terminaldebugging //启用控制台对调试信息的显示,缺省控制台为禁用<H3C>terminallogging //启用控制台对日志信息的显示,缺省控制台为启用<H3C>terminaltrapping //启用控制台对告警信息的显示,缺省控制台为启用[H3C]displayinfo-center //显示系统日志的配置和缓冲区记录的信息[H3C]displaylogbuffer //显示日志缓冲区最近记录的指定数目的日志信息[H3C]displaytrapbuffer //显示告警缓冲区最近记录的指定数目的日志信息<H3C>resetlogbuffer //清除日志缓冲区的信息<H3C>resettrapbuffer //清除告警缓冲区的信息十、网络协议配置NDP即是邻居发现协议,S1550E只能开启或关闭NDP,无法配置,默认有效保留时间为180s,NDP报文发送的间隔60s[H3C]ndp enable //缺省情况下是开启的[H3C-Ethernet0/3]ndpenable //缺省情况下开启[H3C]display ndp //显示NDP配置信息[H3C]display ndp interface Ethernet0/1 //显示指定端口NDP 发现的邻居信息<H3C>debugging ndp interface Ethernet0/1// HABP协议即HuaweiAuthentication Bypass Protocol,华为鉴权旁路协议,是用来解决当交换机上同时配置了802.1x和HGMPv1/v2时,未经授权和认证的端口上将过滤HGMP报文,从而使管理设备无法管理下挂的交换机的问题。

h3c交换机配置教程H3C交换机是中国华三公司生产的一种网络设备，广泛应用于企业网络中。

以下是H3C交换机的基本配置教程。

首先，要进入交换机的配置模式，可以通过串口或者网络连接进入交换机的CLI界面。

登录后输入用户名和密码进行身份验证。

接下来，需要配置交换机的基本网络设置。

例如配置管理IP 地址，用于管理交换机。

可以通过以下命令进行配置：```sysip address ip-address mask```其中，ip-address是设定的IP地址，mask是设定的子网掩码。

然后，需要配置交换机的VLAN。

VLAN是虚拟局域网，可以将交换机中的端口划分到不同的VLAN中，实现不同VLAN之间的隔离。

通过以下命令进行配置：```vlan [vlan-id]name vlan-namequit```其中，vlan-id是VLAN的ID号，vlan-name是VLAN的名称。

接下来，需要配置交换机的端口。

可以将端口划分到不同的VLAN中，或者配置端口的速率、双工模式等。

例如，配置端口1划分到VLAN2中，并设置为全双工模式：```interface GigabitEthernet 1/0/1port link-type accessport default vlan 2port duplex fullquit```然后，需要配置交换机的链路聚合。

链路聚合可以将多个物理链路捆绑成一个逻辑链路，提高带宽和冗余性。

通过以下命令进行配置：```interface Eth-Trunk [trunk-id]trunkport [port-list] mode [mode]quit```其中，trunk-id是链路聚合组的ID号，port-list是捆绑的物理端口列表，mode是链路聚合的模式。

最后，还可以配置交换机的安全性和监控功能。

例如，配置交换机的密码安全性，可以通过以下命令进行配置：```password-recovery enableaaalocal-user admin password irreversible-cipher [password]local-user admin service-type terminallocal-user admin privilege level 15```其中，password是设定的密码。

H3C设备安全配置基线目录第1章概述................................................................................................................................1.1目的....................................................................................................................................1.2适用范围............................................................................................................................1.3适用版本............................................................................................................................第2章帐号管理、认证授权安全要求 ....................................................................................2.1帐号管理............................................................................................................................2.1.1用户帐号分配* ..........................................................................................................2.1.2删除无关的帐号* ......................................................................................................2.2口令....................................................................................................................................2.2.1静态口令以密文形式存放 ........................................................................................2.2.2帐号、口令和授权 ....................................................................................................2.2.3密码复杂度 ................................................................................................................2.3授权....................................................................................................................................2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 ...........................................第3章日志安全要求 ................................................................................................................3.1日志安全............................................................................................................................3.1.1启用信息中心 ............................................................................................................3.1.2开启NTP服务保证记录的时间的准确性................................................................3.1.3远程日志功能* ..........................................................................................................第4章IP协议安全要求............................................................................................................4.1IP协议 ...............................................................................................................................4.1.1VRRP认证 ..................................................................................................................4.1.2系统远程服务只允许特定地址访问 ........................................................................4.2功能配置............................................................................................................................4.2.1SNMP的Community默认通行字口令强度 ............................................................4.2.2只与特定主机进行SNMP协议交互 ........................................................................4.2.3配置SNMPV2或以上版本 ........................................................................................4.2.4关闭未使用的SNMP协议及未使用write权限...................................................... 第5章IP协议安全要求............................................................................................................5.1其他安全配置....................................................................................................................5.1.1关闭未使用的接口 ....................................................................................................5.1.2修改设备缺省BANNER语 ........................................................................................5.1.3配置定时账户自动登出 ............................................................................................5.1.4配置console口密码保护功能..................................................................................5.1.5端口与实际应用相符 ................................................................................................概述目的规范配置H3C路由器、交换机设备，保证设备基本安全。

H3C交换机安全配置基线H3C交换机安全配置基线（Version 1.0）2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (4)7.3 认证管理 (5)7.3.1 RADIUS认证（可选） (5)7.4 日志审计 (6)7.4.1 RADIUS记账（可选） (6)7.4.2 启用信息中心 (6)7.4.3 远程日志功能 (7)7.4.4 日志记录时间准确性 (7)7.5 协议安全 (7)7.5.1 BPDU防护 (8)7.5.2 根防护 (8)7.5.3 VRRP认证 (8)7.6 网络管理 (9)7.6.1 SNMP协议版本 (9)7.6.2 修改SNMP默认密码 (9)7.6.3 SNMP通信安全（可选） (10)7.7 设备管理 (10)7.7.1 交换机带内管理方式 (10)7.7.2 交换机带内管理通信 (11)7.7.3 交换机带内管理超时 (11)7.7.4 交换机带内管理验证 (12)7.7.5 交换机带内管理用户级别 (12)7.7.6 交换机带外管理超时 (13)7.7.7 交换机带外管理验证 (13)7.8 端口安全 (13)7.8.1 使能端口安全 (13)7.8.2 端口MAC地址数 (14)7.8.3 交换机VLAN划分 (14)7.9 其它 (15)7.9.1 交换机登录BANNER管理 (15)7.9.2 交换机空闲端口管理 (15)7.9.3 禁用版权信息显示 (16)附录A 安全基线配置项应用统计表 (17)附录B 安全基线配置项应用问题记录表 (19)附录C 中国石油NTP服务器列表 (20)1 引言本文档规定了中国石油使用的H3C系列交换机应当遵循的交换机安全性设置标准，是中国石油安全基线文档之一。