接入交换机常见安全配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
适用场景:1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机
堆叠环境中,若未指定优先级,则是根据它们的MAC地址(mac小的为主机)来确定谁是主机。优先级为越大越好,范围1-10。出场默认为1。
1、系统时间同步:如果客户有使用 ntp/sntp进行全网统一的时间配置的需求,可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名
Ruijie(config)#sntp enable //首先开启 sntp 服务
Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址,此为国家授时中心服务器IP 地址
Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔
措施一:限制远程管理源地址
Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#line vty 0 35
Ruijie(config-line)#access-class 99 in
措施二:限制SNMP管理源地址
Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99
措施三:使用加密管理协议,使用SSH管理,禁用Telnet协议
Ruijie(config)#no enable service telnet-server //禁用telnet管理
Ruijie(config)#enable service ssh-server //启用SSH管理
Ruijie(config)#crypto key generate dsa //设置ssh加密模式
Ruijie(config)#line vty 0 35
Ruijie(config-line)#transport input ssh //远程登录接口启用SSH管理
措施四:使用加密管理协议,使用SNMPv3
Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#snmp-server user ruijie Group1 v3 auth md5Ruijie123 access 99 //启用snmpv3
措施五:配置登录警告信息
Ruijie(config)#banner login c
Warning :Unauthorized access are forbidden!
Your behavior will be recorded!c
,
//交换机一个端口只能是合法的mac接入
Ruijie(config-FastEthernet 0/1)#switchport port-security binding 192.168.10.1 //交换机一个端口只能是合法的IP接入
Ruijie(config-FastEthernet 0/1)#switchport port-security bind 001a.a900.0001 vlan 10 192.168.10.1 //交换机端口只能是合法的IP且合法的MAC接入
Ruijie(config-if-range)#arp-check //打开ARP检查功能,配合端口安全功能防止ARP欺骗
备注:此场景中,交换机一个端口最大只能接入3台主机,但其中有一台主机是合法保障的。静态ip 地址场景要达到完全防止arp主机欺骗和网关欺骗,只能把所有的ip都进行绑定。
因为在实际环境中严格的绑定不太适用,所以常用arp防网关欺骗的命令来达到防止arp网关欺骗目
的
Ruijie(config-if)#anti-arp-spoofing ip 192.168.10.254 //打开ARP网关检查功能防止ARP
网关欺骗
场景二:动态ip获取方式下防arp
Ruijie(config)#ip dhcp snooping //开启dhcp snooping功能
Ruijie(config)#ip dhcp snooping verify mac-address //打开源MAC检查功能
Ruijie(config)#ip arp inspection vlan 1-10 //
Ruijie(config)#interface range GigabitEthernet 0/25-26 //进入上联接口
Ruijie(config-if-range)#ip dhcp snooping trust //指定DAI监测的相关VLAN
Ruijie(config-if-range)#ip arp inspection trust //设置DAI信任接口
场景三:用supervlan方式防arp欺骗
适用场景:二层交换机下联用户都进行二层隔离,每个隔离端口配置一个vlanID,需要三层交换机支持supervlan功能
汇聚交换机配置
Ruijie(config)#vlan 3
Ruijie(config-vlan)#vlan 4
Ruijie(config-vlan)#vlan 5
Ruijie(config-vlan)#vlan 2
Ruijie(config-vlan)#supervlan //配置VLAN2为SuperVLAN模式
Ruijie(config-vlan)#subvlan 3,4-5 //配设置VLAN3-5为SuperVLAN2的Sub-VLAN Ruijie(config-vlan)#vlan 4
Ruijie(config-vlan)#subvlan-address-range192.168.1.40 192.168.1.49 //配置VLAN4的地址
范围为192.168.1.40~49
Ruijie(config)#interface range GigabitEthernet 0/25-26 //进入下联接口
Ruijie(config-if-range)#switchport mode trunk //配置为trunk口模式
接入交换机配置
Ruijie(config)#vlan 3
Ruijie(config-vlan)#vlan 4
Ruijie(config-vlan)#vlan 5
Ruijie(config)#interface range fastEthernet 0/1-2 //进入下联PC接口
Ruijie(config-if-range)#switchport access vlan 3 //配置为vlan3口模式
Ruijie(config)#interface range fastEthernet 0/3-10 //进入下联PC接口
Ruijie(config-if-range)#switchport access vlan 4 //配置为vlan3口模式
Ruijie(config)#interface range GigabitEthernet 0/25-26 //进入上联接口
Ruijie(config-if-range)#switchport mode trunk //配置为trunk口模式
6、认证相关配置
方式一:802.1x认证(10.x系列)
Ruijie(config)#aaa new-model //开启aaa认证开关
Ruijie(config)#radius-server host 172.16.8.200 //定义radius认证服务器IP Ruijie(config)#radius-server key 01214242 //配置Radius key
Ruijie(config)#aaa authentication dot1x default group radius local none //配置dot1x