交换机设备安全基线
H3C设备安全配置基线
目录
第1章概述 ................................................................................................................................
1.1目的....................................................................................................................................
1.2适用范围............................................................................................................................
1.3适用版本............................................................................................................................ 第2章帐号管理、认证授权安全要求 ....................................................................................
2.1帐号管理............................................................................................................................
2.1.1用户帐号分配* ..........................................................................................................
2.1.2删除无关的帐号* ......................................................................................................
2.2口令....................................................................................................................................
2.2.1静态口令以密文形式存放 ........................................................................................
2.2.2帐号、口令和授权 ....................................................................................................
2.2.3密码复杂度 ................................................................................................................
2.3授权....................................................................................................................................
2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 ........................................... 第3章日志安全要求 ................................................................................................................
3.1日志安全............................................................................................................................
3.1.1启用信息中心 ............................................................................................................
3.1.2开启NTP服务保证记录的时间的准确性................................................................
3.1.3远程日志功能* .......................................................................................................... 第4章IP协议安全要求 ............................................................................................................
4.1IP协议 ...............................................................................................................................
4.1.1VRRP认证...................................................................................................................
4.1.2系统远程服务只允许特定地址访问 ........................................................................
4.2功能配置............................................................................................................................
4.2.1SNMP的Community默认通行字口令强度.............................................................
4.2.2只与特定主机进行SNMP协议交互 ........................................................................
4.2.3配置SNMPV2或以上版本 ........................................................................................
4.2.4关闭未使用的SNMP协议及未使用write权限 ...................................................... 第5章IP协议安全要求 ............................................................................................................
5.1其他安全配置....................................................................................................................
5.1.1关闭未使用的接口 ....................................................................................................
5.1.2修改设备缺省BANNER语.........................................................................................
5.1.3配置定时账户自动登出 ............................................................................................
5.1.4配置console口密码保护功能..................................................................................
5.1.5端口与实际应用相符 ................................................................................................
概述
目的
规范配置H3C路由器、交换机设备,保证设备基本安全。
适用范围
本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。适用版本
comwareV7版本交换机、路由器。
帐号管理、认证授权安全要求
帐号管理
1.1.1用户帐号分配*
1、安全基线名称:用户帐号分配安全
2、安全基线编号:SBL-H3C-02-01-01
3、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。
4、参考配置操作:
[H3C] local-user admin
[H3C-luser-manage-admin] password hash admin@mmu2
[H3C-luser-manage-admin] authorization-attribute user-role level-15
[H3C] local-user user
[H3C-luser-network-user] password hash user@nhesa
[H3C-luser-network-user] authorization-attribute user-role network-operator
5、安全判定条件:
(1)配置文件中,存在不同的账号分配
(2)网络管理员确认用户与账号分配关系明确
6、检测操作:
使用命令dis cur命令查看:
…
#
local-user admin class manage
password hash $h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsxuoWQ==
service-type ssh
authorization-attribute user-role level-15
#
local-user user class network
password hash $h$6$mmu2MlqLkGMnNy
service-type ssh
authorization-attribute user-role network-operator
#
对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。
1.1.2删除无关的帐号*
1、安全基线名称:删除无关的账号
2、安全基线编号:SBL-H3C-02-01-02
3、安全基线说明:应删除与设备运行、维护等工作无关的账号。
4、参考配置操作:
[H3C]undo local-user user class network
5、安全判定条件:
(1)配置文件存在多个账号
(2)网络管理员确认账号与设备运行、维护等工作无关
6、检测操作:
使用dis cur | include local-user命令查看:
[H3C]dis cur | include local-user
local-user admin class manage
local-user user1 class manage
若不存在无用账号则说明符合安全要求。
口令
1.1.3静态口令以密文形式存放
1、安全基线名称:静态口令以密文形式存放
2、安全基线编号:SBL-H3C-02-02-01
3、安全基线说明:配置本地用户和super口令使用密文密码。
4、参考配置操作:
[H3C]local-user admin
[H3C-luser-manage-admin]password hash <密文password> //配置本地用户密文密码[H3C]super password hash <密文password> //配置super密码使用密文加密
5、安全判定条件:
配置文件中没有明文密码字段。
6、检测操作:
使用dis cur显示本地用户账号和super密码为密文密码
#
local-user admin class manage
password hash
$h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDoZlLwO/4Jn/G1OXExEKsv+c2lNRICxCE UU13fGSGCqkVojcHvn8a6u8gcHLXVWaCgq4/VI0sxuoWQ==
service-type ssh telnet
authorization-attribute user-role level-15
#
local-user user1 class manage
password hash
$h$6$Vq2YRqXUGH5+Rb7H$gXyN9RI9CPidNbbabnP8Ul6RvR9p8+AchsO5MmNV+ ePgOJ6z8/mZTL1hlnQV14oDAbvP5uHhG7gP1/U0pwHGFQ==
authorization-attribute user-role network-operator
#
#
super password role network-admin hash
$h$6$5hCfLSGRV20XIu31$CMRoTM2axjYWGsOuwnhH7jdyczUUTGupjH0RinySG Yft6k9RDySQS29QyciznpJoVS/thfJHRWEmiPQG7c13WQ==
#
1.1.4帐号、口令和授权
1、安全基线名称:账号、口令和授权安全基线
2、安全基线编号:SBL-H3C-02-02-02
3、安全基线说明:通过认证系统,确认远程用户身份,判断是否为合法的网络用户。
4、参考配置操作:
[H3C]local-user admin
[H3C-luser-manage-admin]password hash pipaxing@xiangyun
[H3C-luser-manage-admin]authorization-attribute user-role level-15
[H3C]domain admin
[H3C-isp-admin]authentication default local
5、安全判定条件:
账号和口令的配置,指定了认证的系统。
6、检测操作:
[H3C]dis cur
…
#
domain admin
#
domain system
#
domain default enable system
#
1.1.5密码复杂度
1、安全基线名称:密码复杂度
2、安全基线编号:SBL-H3C-02-02-03
3、安全基线说明:对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。
4、参考配置操作:
[H3C]local-user admin
[H3C-luser-manage-admin]password pipaxing@xiangyun
5、安全判定条件:
密码强度符合要求,密码至少90天进行更换。
授权
1.1.6用IP协议进行远程维护的设备使用SSH等加密协议
1、安全基线名称:用IP协议进行远程维护设备
2、安全基线编号:SBL-H3C-02-03-01
3、安全基线说明:使用IP协议进行远程维护设备,应配置使用SSH等加密协议连接。
4、参考配置操作:
[H3C]ssh server enable
[H3C]local-user admin
[H3C-luser-manage-admin]service-type ssh
5、安全判定条件:
配置文件中只允许SSH等加密协议连接。
6、检测操作:
使用dis cur | include ssh命令:
[H3C]dis cur | include ssh
ssh server enable
service-type ssh
ssh 服务为enable状态表明符合安全要求。
日志安全要求
日志安全
1.1.7启用信息中心
1、安全基线名称:启用信息中心
2、安全基线编号:SBL-H3C-03-01-01
3、安全基线说明:启用信息中心,记录与设备相关的事件。
4、参考配置操作:
[H3C]info-center enable
5、安全判定条件:
(1)设备应配置日志功能,能对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录使用的IP地址。
(2)记录用户登录设备后所进行的所有操作。
6、检测操作:
使用dis info-center有显示Information Center: Enabled类似信息,如:
[H3C]dis info-center
Information Center: Enabled
Console: Enabled
Monitor: Enabled
Log host: Enabled
port number: 514, host facility: local7
port number: 514, host facility: local7
port number: 514, host facility: local7
Log buffer: Enabled
Max buffer size 1024, current buffer size 512
Current messages 512, dropped messages 0, overwritten messages 3736 Log file: Enabled
Security log file: Disabled
Information timestamp format:
Log host: Date
Other output destination: Date
1.1.8开启NTP服务保证记录的时间的准确性
1、安全基线名称:日志记录时间准确性
2、安全基线编号:SBL-H3C-03-01-02
3、安全基线说明:开启NTP服务,保证日志功能记录的时间的准确性。
4、参考配置操作:
配置ntp客户端,服务器地址为:
[H3C]ntp-service enable
[H3C]ntp-service unicast-server
5、安全判定条件:
日志记录时间准确。
6、检测操作:
[H3C]dis cur | include ntp
ntp-service enable
ntp-service unicast-server 1
1.1.9远程日志功能*
1、安全基线名称:远程日志功能
2、安全基线编号:SBL-H3C-03-01-03
3、安全基线说明:配置远程日志功能,使设备能通过远程日志功能传输到日志服务器。
4、参考配置操作:
[H3C]info-center loghost *.*.*.* //配置接收日志的服务器地址
[H3C]info-center source default loghost level emergency //配置发送的日志级别
5、安全判定条件:
日志服务器能够正确接收网络设备发送的日志。
6、检测操作:
使用命令dis cur | include info-center查看:
[H3C]dis cur | include info-center
undo copyright-info enable
info-center source default loghost level emergency
IP协议安全要求
IP协议
1.1.10VRRP认证
1、安全基线名称:VRRP认证
2、安全基线编号:SBL-H3C-04-01-01
3、安全基线说明:VRRP启用认证,防止非法设备加入到VRRP组中。
4、安全判定条件:
查看VRRP组,只存在正确的设备。
5、检测操作:
使用命令dis vrrp
1.1.11系统远程服务只允许特定地址访问
1、安全基线名称:系统远程服务只允许特定地址访问
2、安全基线编号:SBL-H3C-04-01-02
3、安全基线说明:设备以UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置设备,只允许特定主机访问。
4、参考配置操作:
通过配置访问控制列表ACL,只允许特定的地址访问设备的服务,如:
[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule 0 destination-port eq 443
[H3C-acl-ipv4-adv-3000]rule 65534 deny ip
5、安全判定条件:
在相关端口上绑定相应的ACL。
6、检测操作:
使用dis cur命令查看:
#
interface Vlan-interface10
packet-filter 3000 inbound
#
功能配置
1.1.12SNMP的Community默认通行字口令强度
1、安全基线名称:SNMP协议的community团体字
2、安全基线编号:SBL-H3C-04-02-01
3、安全基线说明:修改SNMP的community默认团体字,字符串应符合口令强度要求。
4、参考配置操作:
[H3C]snmp-agent community read
[H3C] snmp-agent community write < community团体字>
5、安全判定条件:
Community非默认,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
6、检测操作:
使用命令dis cur | include snmp查看:
[H3C]dis cur | include snmp
snmp-agent
snmp-agent community read xiangyun_read
snmp-agent community write xiangyun_write
snmp-agent sys-info version v3
snmp-agent trap enable radius
snmp-agent trap enable stp
7、补充:
若设备不需要使用SNMP协议应关闭SNMP功能,若需要用到应使用V2版本以上的SNMP协议。
1.1.13只与特定主机进行SNMP协议交互
1、安全基线名称:只与特定主机进行SNMP协议交互
2、安全基线编号:SBL-H3C-04-02-02
3、安全基线说明:设备只与特定主机进行SNMP协议交互
4、参考配置操作:
使用ACL限制只与特定主机进行SNMP交互
[H3C]acl advanced name acl_snmp
[H3C-acl-ipv4-adv-acl_snmp]rule deny ip source any
[H3C]snmp-agent community read xiangyun acl name acl_snmp
5、安全判定条件:
Snmp绑定了acl
6、检测操作:
使用dis cur | include snmp命令查看:
[H3C]dis cur | include snmp
snmp-agent
snmp-agent community read xiangyun
snmp-agent sys-info version 3
snmp-agent trap enable arp
snmp-agent trap enable stp
snmp-agent community read xiangyun acl name acl_snmp
1.1.14配置SNMPV2或以上版本
1、安全基线名称:配置SNMPv2或以上版本
2、安全基线编号:SBL-H3C-04-02-03
3、安全基线说明:系统应配置SNMPv2或以上版本
4、参考配置操作:
[H3C]snmp-agent sys-info version v3
5、安全判定条件:
系统可以成功使用snmpv2或v3版本协议。
6、检测操作:
使用dis cur | include snmp命令查看:
[H3C]dis cur | include snmp
…..
snmp-agent sys-info version 3
…..
1.1.15关闭未使用的SNMP协议及未使用write权限
1、安全基线名称:关闭未使用的SNMP协议及未使用write权限
2、安全基线编号:SBL-H3C-04-02-04
3、安全基线说明:系统应及时关闭未使用的SNMP协议及未使用write权限
4、参考配置操作:
[H3C]undo snmp-agent community pipaxing
5、安全判定条件:
Snmp权限为read。
6、检测操作:
使用dis cur | include snmp命令查看,权限只有read:[H3C]dis cur | include snmp
…..
snmp-agent community read xiangyun
…..
其他安全要求其他安全配置
1.1.16关闭未使用的接口
1、安全基线名称:关闭未使用的接口
2、安全基线编号:SBL-H3C-05-01-01
3、安全基线说明:关闭未使用的接口
4、参考配置操作:
[H3C]int g1/0/10
[H3C-GigabitEthernet1/0/10]shutdown
5、安全判定条件:
未使用接口应该管理员down。
6、检测操作:
[H3C]dis cur
….
#
interface GigabitEthernet1/0/10
port link-mode bridge
combo enable fiber
shutdown
#
….
1.1.17修改设备缺省BANNER语
1、安全基线名称:修改设备缺省BANNER语
2、安全基线编号:SBL-H3C-05-01-02
3、安全基线说明:要修改设备缺省BANNER语,BANNER最好不要有系统平台或地址等有碍安全的信息。
4、参考配置操作:
[H3C]header login
Please input banner content, and quit with the character '%'.
5、安全判定条件:
欢迎界面、提示符等不包含敏感信息。
6、检测操作:
通过远程登录或console口登录查看设备提示信息。
1.1.18配置定时账户自动登出
1、安全基线名称:配置账号定时自动退出
2、安全基线编号:SBL-H3C-05-01-03
3、安全基线说明:如Telnet、ssh、console登录连接超时退出
4、参考配置操作:
配置vty登录3分钟无操作自动退出:
[H3C]user-interface vty 0 4
[H3C-line-vty0-4]idle-timeout 3
5、安全判定条件:
每种登录方式均设备了超时退出时间。
6、检测操作:
使用dis cur查看:
[H3C]dis cur
…
#
line vty 0 4
authentication-mode scheme
user-role level-4
idle-timeout 3 0
#
…
1.1.19配置console口密码保护功能
1、安全基线名称:配置console口密码保护
2、安全基线编号:SBL-H3C-05-01-04
3、安全基线说明:配置console口密码保护
4、参考配置操作:
[H3C]user-interface aux 0
[H3C-line-aux0]authentication-mode password
[H3C-line-aux0]set authentication password simple admin123 5、安全判定条件:
通过console口登录,确认需要密码。
6、检测操作:
使用命令dis cur查看:
[H3C]dis cur
…
#
line aux 0
authentication-mode password
华为交换机型号参数详解
华为交换机型号参数详解 华为中低端交换机一般为1U至2U的盒式并无需插端口板卡的设备。由于属于中低端交换机,所以交换机支持的硬件版本和端口类型有很大的差异。在组网中交换机设备选型的时候需要充分考虑到这点。华为中低端交换机的命名都很有规律,交换机设备名称中的参数将可以提供给我们需要的东西。91华为网收集整理了部分类型参数说明,希望对大家有所帮助。 1、表示硬件版本参数 LI(Lite software Image)表示设备为弱特性版本。 SI (Standard software Image)表示设备为标准版本,包含基础特性。 EI(Enhanced software Image)表示设备为增强版本,包含某些高级特性。 HI(Hyper software Image)表示设备为高级版本,包含某些更高级特性。 对于三层交换机且是SI版本的可能不支持动态路由协议,例如:华为Quidway S3300-SI 系列交换机包括S3328-SI、S3352-SI并不支持动态路由协议OSPF,只支持静态路由和RIP,如果组网中需要用到OSPF,那么必须选用S3328-EI或是S3352-EI版本的。 2、表示上行端口参数 Z,表示没有上行接口;(新产品不允许此位) G,表示上行光口,且是GBIC接口; P,表示上行光口,且是SFP接口; T,表示上行电口,为RJ45接口; TP,表示上行为光电Combo,上行接口为多种接口类型复合 V,表示上行VDSL接口; W,表示上行可配置WAN接口; C,表示上行接口可选配; M,表示上行接口为多模光口; S,表示上行接口为单模光口; 3、表示端口数量和其它属性参数 F,表示下行接口为模板板,可插光接口板或电接口板。主要为兼容3526F,3526EF,3552F 等老产品的命名; PWR,表示端口支持POE属性 SXXYY,其中XX表示型号,YY表示端口数量;例如:S3328、S3352分别是24个下行口+4个上行口以及48个下行口+4个上行口。(责任编辑:admin) 华为S系列交换机类型全集 华为Quidway S系列交换机产品众多,在市场上已经广泛的使用,各种型号与型号参数详解如下:: 1、S9300系列 S9300系列有三种型号,S9303、S9306、S9312;S9300系列型号的交换机是以业务槽位来区分的,S9303具有4个插槽:1个主控板槽位、3个业务板槽位;S9306具有8个插槽:
思科交换机安全 做 802.1X、port-security案例
端口和MAC绑定:port-security 基于DHCP的端口和IP,MAC绑定:ip source guard 基于DHCP的防止ARP攻击:DAI 防止DHCP攻击:DHCP Snooping cisco所有局域网缓解技术都在这里了! 常用的方式: 1、802.1X,端口认证,dot1x,也称为IBNS(注:IBNS包括port-security):基于身份的网络安全;很多名字,有些烦 当流量来到某个端口,需要和ACS交互,认证之后得到授权,才可以访问网络,前提是CLIENT必须支持802.1X方式,如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息 示例配置: Router#config ure terminal Router(config)#aaa new-model Router(config)#aaa authentication dot1x default group radius Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0 Router(config-if)#dot1x port-control auto AUTO是常用的方式,正常的通过认证和授权过程 强制授权方式:不通过认证,总是可用状态 强制不授权方式:实质上类似关闭了该接口,总是不可用
华为交换机命名规则
在华为S系列园区交换机中,每个系列中都有许多种不同机型,特别是像S1700、S2700、S3700、S5700这样应用范围比较广、机型比较多的中低端产品系列,每个系列中的每款机型的硬件配置或多或少有所不同,所以在正式介绍这些交换机系列前先介绍它们的命名规则,以便能快速地进行华为S系列交换机选型。但因为不同系列的主要应用环境和所包括的机各不相同,所以它们在命名规则上也存在许多不同。下面分别予以介绍。 1.S1700系列机型的命名规则 S1700系列比较特殊,它是专门为个人和小型企业用户量身打造的SOHO级交换机。由于应用、功能比较简单,一般不需要配置或者通过简单的Web配置即可使用。目前S1700系列中,网管型和非网管型交换机各有5款机型,具体将在本章后面介绍。下面以S1700-8-AC、S1700-28GFR-4P-AC和S1700-52FR-2T2P-AC 3款机型为例介绍S1700系列交换机的命名规则,如图1-2所示。各部分含义说明如表1-1所示。 表1-1 S1700系列命名规则中各部分的含义 2.S2700系列机型的命名规则
为了满足不同用户的需求,S2700系列提供了多款机型。下面以S2700-26TP-PWR-EI、S2710-52P-SI-AC、S2700-52P-EI-AC和S2700-9TP-SI为例介绍S2700系列交换机的命名规则,如图1-3所示。各部分的具体含义如表1-2所示。 表1-2 S2700系列交换机命名规则中各部分的含义 3.S3700系列交换机的命名规则 同样,为了满足不同用户的需求,S3700系列提供了多款机型,用户可以根据不同的网络需求进行灵活的选择。下面以S3700-28TP-PWR-EI、S3700-52P-EI-24S-DC、S3700-28TP-EI-MC-AC和S3700-28TP-SI-AC为例介绍S3700系列交换机的命名规则,如图1-4所示。各部分的具体含义如表1-3所示。 表1-3 S3700系列交换机命名规则中各部分的含义
XX银行H3C交换机安全基线配置
X X银行H3C交换机系列安全配置基线
目录 1适用声明 (2) 2访问控制 (3) 2.1配置ACL规则 (3) 2.2配置常见的漏洞攻击和病毒过滤功能 (4) 3安全审计 (6) 3.1开启设备的日志功能 (6) 4入侵防范 (7) 4.1配置防ARP欺骗攻击 (7) 5网络设备防护 (8) 5.1限制管理员远程直接登录 (8) 5.2连接空闲时间设定 (9) 5.3远程登陆加密传输 (10) 5.4配置CONSOLE口密码保护功能和连接超时 (11) 5.5按照用户分配账号 (12) 5.6删除设备中无用的闲置账号 (13) 5.7修改设备上存在的弱口令 (13) 5.8配置和认证系统联动功能 (14) 配置和认证系统联动功能 (14) 5.9配置NTP服务 (15) 5.10修改SNMP的COMMUNITY默认通行字 (16) 5.11使用SNMPV2或以上版本 (17) 5.12设置SNMP的访问安全限制 (18) 5.13系统应关闭未使用的SNMP协议及未使用RW权限 (19) 5.14关闭不必要的服务 (19) 5.15配置防源地址欺骗攻击 (20) 5.16禁止设备未使用或者空闲的端口 (21) 5.17远程连接源地址限制 (21)
1 适用声明 适用人员IT部的网络维护人员、安全评估人员、安全审计人员 适用版本H3C同系列的网络交换机 适用等保一级项 适用等保二级项 适用等保三级项 适用等保四级项 参考依据《H3C交换机配置手册》 《GB/T 20270-2006 信息安全技术网络基础安全技术要求》 《GB/T 20011-2005 信息安全技术路由器安全评估准则》 《JR/T 0068-2012 网上银行系统信息安全通用规范》 《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》 《GB/T 25070-2010 信息安全技术信息系统等级保护安全设计技术要 求》 《JR/T 0071-2012金融行业信息系统信息安全等级保护实施指引》
思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)
网络拓扑图如下: 根据图示连接设备。 在本次试验中,具体端口情况如上图数字标出。核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。 IP 地址分配: Router:e0::f0/1: 接口:Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址:区域网段地址: PC1:PC2:路由器清空配置命令: en erase startup-config Reload 交换机清空配置命令: en erase startup-config
delete Reload 加速命令: en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击; 1、基本配置 SW1的配置: SW1(config)#vtp domain cisco 然后在pc上进入接口,设置为DHCP获取地址,命令如下: int f0/1 ip add dhcp 查看结果:
5、Student区域ARP防护: SW2配置如下: ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量,此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址,就可以发现端口down状态,修改mac地址命令如下: pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证: 服务器地址为:vlan 30 //创建vlan 30的原因:在sw1、sw2中配置svi口,服务器的地址为,使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机,所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct
华为交换机安全防范技术
在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。 广播风暴控制技术 网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。 1.广播风暴抑制比 可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。当百分比为100时,表示不对该端口进行广播风暴抑制。缺省情况下,允许通过的广播流量为100%,即不对广播流量进行抑制。在以太网端口视图下进行下列配置: broadcast-suppression ratio 2.为VLAN指定广播风暴抑制比 同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。缺省情况下,系统所有VLAN不做广播风暴抑制,即max-ratio值为100%。 MAC地址控制技术 以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。对于发往这些MAC地址的报文,以太网交换机可以直接使用硬件转发。如果MAC地址表过于庞大,可能导致以太网交换机的转发性能的下降。MAC攻击利用工具产生欺骗的MAC地址,快速填满交换机的MAC表,MAC表被填满后,交换机会以广播方式处理通过交换机的报文,流量以洪泛方式发送到所有接口,这时攻击者可以利用各种嗅探工具获取网络信息。TRUNK接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包,甚至瘫痪。可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间,来抑制MAC攻击。 1.设置最多可学习到的MAC地址数
华为交换机及路由器各种配置实例大全
华为交换机各种配置实例 交换机配置(三)ACL基本配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 ) 参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到6Mbps [SwitchA- Ethernet0/1]line-rate outbound 2 3. 对端口E0/1的入方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate inbound 1 【补充说明】 对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,1.25M,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示3.12M,6.25M,9.38M,12.5M,20M,40M,60M,80M。此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。 『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate 3 3. 配置acl,定义符合速率限制的数据流
cisco交换机的端口安全配置
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
H3C交换机设备安全基线
H3C设备安全配置基线 目录 第 1 章概述 (5) 1.1 目的 (5) 1.2 适用范围 (5) 1.3 适用版本 (5) 第 2 章帐号管理、认证授权安全要求 (6) 2.1 帐号管理 (6) 2.1.1 用户帐号分配* (6) 2.1.2 删除无关的帐号* (7) 2.2 口令 (8) 2.2.1 静态口令以密文形式存放 (8) 2.2.2 帐号、口令和授权 (9) 2.2.3 密码复杂度 (10) 2.3 授权 (11) 2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (11) 第 3 章日志安全要求 (13) 3.1 日志安全 (13) 3.1.1 启用信息中心 (13)
3.1.2 开启NTP服务保证记录的时间的准确性 (14) 3.1.3 远程日志功能* (15) 第4章IP协议安全要求 (17) 4.1 IP 协议 (17) 4.1.1 VRRP认证 (17) 4.1.2 系统远程服务只允许特定地址访问 (17) 4.2 功能配置 (18) 4.2.1 SNMP的Community默认通行字口令强度 (18) 4.2.2 只与特定主机进行SNMP协议交互 (19) 4.2.3 配置SNMPV2或以上版本 (20) 424 关闭未使用的SNMP协议及未使用write权限 (21) 第 5 章IP 协议安全要求 (23) 5.1 其他安全配置 (23) 5.1.1 关闭未使用的接口 (23) 5.1.2 修改设备缺省BANNER语 (24) 5.1.3 配置定时账户自动登出 (24) 5.1.4 配置console 口密码保护功能 (25) 5.1.5 端口与实际应用相符 (26)
华为交换机产品系列整理版
华为交换机产品系列 在交换机领域,华为历经多年的耕耘和发展,积累了大量业界领先的知识产权和专利,可提供从核心到接入十多个系列上百款交换机产品。 根据所需交换机的用途,可大致分为数据中心交换机,园区交换机,个人和中小企业交换机三大类。 数据中心交换机 CloudEngine 12800数据中心交换机 CloudEngine 12800(简称CE12800)系列交换机是华为公司面向数据中心和高端园区网络推出的新一代高性能核心交换机。在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,实现弹性、虚拟、敏捷和高品质的网络。 CE12800系列支持工业级可靠性,以及严格前后风道设计,并支持全面的虚拟化能力和丰富的数据中心特性。此外,CE12800系列采用了多种绿色节能创新技术,大幅降低设备能源消耗。 关键特性 弹性、虚拟、敏捷、高品质数据中心核心交换机 弹性:64Tbps交换容量,可平滑升级到320Tbps;单设备支持192 个100GE,384个40GE,或1536个10GE; 虚拟:1:16核心虚拟化,512节点TRILL组网,EVN支持跨数据中心资源共享;
敏捷:作为Overlay虚拟化网络(VXLAN/NVGRE)的高性能硬件网关,支撑高达16M多租户的数据中心运营,OPS和ENP实现双平面可编程,网络按需定制; 品质:专利的严格前后风道设计,线卡网板风道独立,提高散热效率;多种绿色节能创新技术,降低机房能耗。 技术规格
CloudEngine 7800数据中心交换机 CloudEngine 7800数据中心交换机关键特性 40GE汇聚交换机 全40GE交换机,1U高设备支持32个40GE接口,可灵活拆分为10GE 接口; 支持iStack堆叠技术,实现机架内、机架间以及跨区域超长距的高性能堆叠,构建可扩展、易管理的数据中心网络平台; 支持IETF标准协议TRILL,构建512节点的大二层网络,实现虚拟机大范围在线迁移。支持nCenter虚拟机感知,通过高速Radius接口快速下发网络策略,实现策略随行; 作为Overlay虚拟化网络(VXLAN/NVGRE)的高性能硬件网关,支撑
思科交换机安全(详细配置、讲解)(知识材料)
cisco所有局域网缓解技术 交换机安全802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN 端口和MAC绑定:port-security 基于DHCP的端口和IP,MAC绑定:ip source guard 基于DHCP的防止ARP攻击:DAI 防止DHCP攻击:DHCP Snooping 常用的方式: 1、802.1X,端口认证,dot1x,也称为IBNS(注:IBNS包括port-security):基于身份的网络安全;很多名字,有些烦当流量来到某个端口,需要和ACS交互,认证之后得到授权,才可以访问网络,前提是CLIENT 必须支持802.1X方式,如安装某个软件Extensible Authentication Protocol Over Lan(EAPOL)使用这个协议来传递认证授权信息 示例配置: Router#configure terminal Router(config)#aaa new-model Router(config)#aaa authentication dot1x default group radius Router(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0 Router(config-if)#dot1x port-control auto AUTO是常用的方式,正常的通过认证和授权过程 强制授权方式:不通过认证,总是可用状态 强制不授权方式:实质上类似关闭了该接口,总是不可用 可选配置: Switch(config)#interface fa0/3 Switch(config-if)#dot1x reauthentication Switch(config-if)#dot1x timeout reauth-period 7200//2小时后重新认证 Switch#dot1x re-authenticate interface fa0/3//现在重新认证,注意:如果会话已经建立,此方式不断开会话 Switch#dot1x initialize interface fa0/3 //初始化认证,此时断开会话 Switch(config)#interface fa0/3 Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证请求 Switch(config)#interface fa0/3 Switch(config-if)#dot1x timeout tx-period 90 //默认是30S Switch(config-if)#dot1x max-req count 4//客户端需要输入认证信息,通过该端口应答AAA服务器,如果交换机没有收到用户的这个信息,交换机发给客户端的重传信息,30S发一次,共4次Switch#configure terminal Switch(config)#interface fastethernet0/3 Switch(config-if)#dot1x port-control auto Switch(config-if)#dot1x host-mode multi-host//默认是一个主机,当使用多个主机模式,必须使用AUTO方式授权,当一个主机成功授权,其他主机都可以访问网络;当授权失败,例如重认证失败或LOG OFF,所有主机都不可以使用该端口 Switch#configure terminal
H3C交换机安全配置基线
H3C交换机安全配置基线(Version 1.0) 2012年12月
目录 1 引言 (1) 2 适用范围 (1) 3 缩略语 (1) 4 安全基线要求项命名规则 (2) 5 文档使用说明 (2) 6 注意事项 (3) 7 安全配置要求 (3) 7.1 账号管理 (3) 7.1.1 运维账号共享管理 (3) 7.1.2 删除与工作无关账号 (3) 7.2 口令管理 (4) 7.2.1 静态口令加密 (4) 7.2.2 静态口令运维管理 (4) 7.3 认证管理 (5) 7.3.1 RADIUS认证(可选) (5) 7.4 日志审计 (6) 7.4.1 RADIUS记账(可选) (6) 7.4.2 启用信息中心 (6) 7.4.3 远程日志功能 (7) 7.4.4 日志记录时间准确性 (7)
7.5 协议安全 (7) 7.5.1 BPDU防护 (8) 7.5.2 根防护 (8) 7.5.3 VRRP认证 (8) 7.6 网络管理 (9) 7.6.1 SNMP协议版本 (9) 7.6.2 修改SNMP默认密码 (9) 7.6.3 SNMP通信安全(可选) (10) 7.7 设备管理 (10) 7.7.1 交换机带内管理方式 (10) 7.7.2 交换机带内管理通信 (11) 7.7.3 交换机带内管理超时 (11) 7.7.4 交换机带内管理验证 (12) 7.7.5 交换机带内管理用户级别 (12) 7.7.6 交换机带外管理超时 (13) 7.7.7 交换机带外管理验证 (13) 7.8 端口安全 (13) 7.8.1 使能端口安全 (13) 7.8.2 端口MAC地址数 (14) 7.8.3 交换机VLAN划分 (14) 7.9 其它 (15) 7.9.1 交换机登录BANNER管理 (15)
华为S9306核心路由交换机参数
Quidway? S9300系列T比特核心路由交换机 产品概述: Quidway? S9300系列是华为公司面向以业务为核心的网络架构推出的新一代高端智能T比特核心路由交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,进一步提供业务流分析、完善的QOS策略、可控组播、一体化安全等智能业务优化手段,同时具备超强扩展性和可靠性。 Quidway? S9300系列广泛适用于广域网、城域网,园区网络和数据中心核心、汇聚节点,帮助企业构建面向应用的网络平台,提供交换路由一体化的端到端融合网络。 Quidway? S9300系列提供S9303、S9306、S9312三种产品形态,支持不断扩展的交换能力和端口密度。整个系列秉承模块通用化、部件归一化的设计理念,最小化备件成本,在保证设备扩展性的同时最大限度地保护用户投资。此外,S9300作为新一代智能交换机采用了多种绿色节能创新技术,在不断提升性能及稳定性的同时,大幅降低设备能源消耗,减小噪声污染,为网络绿色可持续发展提供领先的解决方案。 产品特点: 先进交换架构提升网络扩展性 S9300采用先进的分布式交换技术,提供业界最大整机交换容量和槽位带宽。 创新的交换速率自适应技术,支持单端口速率40G、100G平滑升级,同时完美兼容现网板卡,保护初始投资。
背板通流能力充分考虑未来带宽升级对整机电源功率和散热需求,数据总线预留升级高速交换网能力。 超高万兆端口密度,单台设备支持576个万兆端口,助力企业园区和数据中心迎来全万兆核心时代。 创新的三平面架构设计 S9300在传统交换机数据转发、管理控制双平面基础上创新地增加了独立的环境监控平面,实现对单板、风扇和电源配电模块的监控、管理和维护。 业界首创的环境监控板,采用华为自主知识产权的高集成度中控芯片,实现硬件级的按流量动态调整功率、风扇分区控制、风扇智能调速、端口休眠技术等多项节能技术,在提升系统性能的同时大大降低整机功耗。 支持独立环境监控与网管联动,实现全面可视化管理。 运营级高可靠性设计,保障企业应用永续运行 9300具备超越5个9的运营级高可靠性,主控、电源、风扇等关键部件采用冗余设计,所有模块均支持热插拔。基于分布式的硬件转发架构,路由平面和数据交换平面严格分离,保证业务流永续畅通。 独立的故障检测定位硬件,提供3.3ms高精度硬件级以太OAM功能,实现快速故障检测与定位,与其他倒换技术联动可有效保证毫秒级网络保护。 能够在冗余控制引擎间实现无缝切换,设备优雅重启无中断转发。支持ISSU业务无缝升级,减少关键业务和服务中断。 支持Enhanced-Trunk(E-Trunk)功能,实现跨设备链路聚合,二层组网环境中跨设备链路聚合无须运行破环协议,提高设备链路利用效率的同时避免单点故障。 支持IEEE 802.3ad链路汇聚、IEEE 802.1s/w和虚拟路由器冗余协议(VRRP),同时支持丰富的毫秒级倒换技术如RRPP、Smart Link、IP FRR、TE FRR、VPN FRR等,实现运营级级高可靠性。 多维集群CSS(集群交换系统)
思科交换机端口安全(Port-Security)
思科交换机端口安全(Port-Security) Cisco Catalyst交换机端口安全(Port-Security) 1、Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。 2、Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac 地址与端口绑定以及mac地址与ip地址绑定。 3、以cisco3550交换机为例 做mac地址与端口绑定的可以实现两种应用: a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获 得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。 b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。 4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
5、实现方法: 针对第3条的两种应用,分别不同的实现方法 a、接受第一次接入该端口计算机的mac地址: Switch#config terminal Switch(config)#inte**ce inte**ce-id 进入需要配置的端口 Switch(config-if)#switchport mode access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //针对非法接入计算机,端口处理模式{丢弃数据包,不发警告| 丢弃数据包, 在console发警告| 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。 b、接受某特定计算机mac地址: Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //以上步骤与a同 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security aging static //打开静态映射Switch(config-if)#switchport port-security mac-address sticky
Cisco路由器交换机安全配置
一、网络结构及安全脆弱性 为了使设备配置简单或易于用户使用,Router或Switch初始状态并没有配置安全措施,所以网络具有许多安全脆弱性,因此网络中常面临如下威胁: 1. DDOS攻击 2. 非法授权访问攻击。 口令过于简单,口令长期不变,口令明文创送,缺乏强认证机制。 3.IP地址欺骗攻击 …. 利用Cisco Router和Switch可以有效防止上述攻击。 二、保护路由器 2.1 防止来自其它各省、市用户Ddos攻击 最大的威胁:Ddos, hacker控制其他主机,共同向Router访问提供的某种服务,导致Router 利用率升高。 Ddos是最容易实施的攻击手段,不要求黑客有高深的网络知识就可以做到。 如SMURF DDOS 攻击就是用最简单的命令ping做到的。利用IP 地址欺骗,结合ping就可以实现DDOS攻击。 防X措施: 应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击
以上均已经配置。 防止ICMP-flooging攻击 以上均已经配置。 除非在特别要求情况下,应关闭源路由:
Router(config-t)#no ip source-route 以上均已经配置。 禁止用CDP发现邻近的cisco设备、型号和软件版本 如果使用works2000网管软件,则不需要此项操作 此项未配置。 使用CEF转发算法,防止小包利用fast cache转发算法带来的Router内存耗尽、CPU利用率升高。 Router(config-t)#ip cef 2.2 防止非法授权访问 通过单向算法对“enable secret”密码进行加密
各种华为交换机型号
华为S5700-24TP-SI(AC): 产品类型:千兆以太网交换机 应用层级:三层 传输速率:10/100/1000Mbps 端口数量:28个 背板带宽:256Gbps VLAN:支持4K个VLAN 支持 网络管理:支持堆叠支持MFF 包转发率:36Mpps MAC地址表:16K 网络标准:IEEE 802.3,IEEE 8 端口结构:非模块化 交换方式:存储-转发 华为S2700-26TP-SI(AC) ?产品类型:智能交换机 ?应用层级:二层 ?传输速率:10/100Mbps ?端口数量:26个 ?背板带宽:32Gbps ?VLAN:支持IEEE 802.1Q(V ?网络管理:支持堆叠支持自动 ?包转发率:6.6Mpps ?MAC地址表:8K ?网络标准:IEEE 802.3,IEEE 8 ?端口结构:非模块化 ?交换方式:存储-转发 华为Quidway S2326TP-EI(AC) ?产品类型:运营级接入交换机 ?应用层级:二层 ?传输速率:10/100Mbps ?端口数量:26个 ?背板带宽:32Gbps ?VLAN:支持基于MAC地址的V ?网络管理:支持堆叠支持自动 ?包转发率:6.6Mpps ?MAC地址表:8K
?网络标准:IEEE 802.3,IEEE 8 ?端口结构:非模块化 ?交换方式:存储-转发 华为S3700-28TP-SI(AC) ?产品类型:快速以太网交换机 ?应用层级:三层 ?传输速率:10/100Mbps ?端口数量:28 ?背板带宽:64Gbps ?VLAN:支持4K个VLAN 支持 ?网络管理:支持MFF 支持Telne ?包转发率:9.6Mpps ?MAC地址表:16K ?网络标准:IEEE 802.3,IEEE 8 ?端口结构:非模块化 ?交换方式:存储-转发 型号识别 LI(Lite software Image)表示设备为弱特性版本。 SI (Standard software Image)表示设备为标准版本,包含基础特性。 EI(Enhanced software Image)表示设备为增强版本,包含某些高级特性。 HI(Hyper software Image)表示设备为高级版本,包含某些更高级特性Z,表示没有上行接口;(新产品不允许此位) G,表示上行GBIC接口; P,表示上行SFP接口; T,表示上行RJ45接口; 华为交换机 V,表示上行VDSL接口; W,表示上行可配置WAN接口; C,表示上行接口可选配;
Cisco路由器交换机的常规安全配置模版
Cisco路由器和交换机的安全配置模板 一、设备命名规范 为统一网络设备命名,方便今后网络项目实施和运维管理,拟对网络设备进行统一命名,详细命名规则如下: 设备名称组成部分 网络系统中具体一台设备的命名由如下五个部分组成: Hostname: AABBCCDDEE AA:表示各分行的地区名称简写,如:上海:SH BB:表示功能区域名称 CC:表示设备所在的网络层次 DD:表示设备类型 EE:表示设备的序列号,01表示第一台,02为第二台。 设备名称中的英文字母全部采用大写,各部分之间使用下划线连接。 每个字母具体范围如下: 各分行地区名称如下表示(AA): 功能区域或地域名称规则表如下所示(BB):
网络设备所在层命名规则表如下所示(CC): 网络设备类型命名规则表如下所示(DD): 网络设备序列号编号规则表如下所示(EE):
二、路由器配置 一,路由器访问控制的安全配置 1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问。具体的措施有: A,如果可以开机箱的,则可以切断与CON口互联的物理线路。 B,可以改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的)。 C,配合使用访问控制列表控制对CON口的访问。 如:Router(Config)#Access-list 1 permit 192.168.0.1 Router(Config)#line con 0 Router(Config-line)#Transport input none Router(Config-line)#Login local Router(Config-line)#Exec-timeoute 5 0 Router(Config-line)#access-class 1 in Router(Config-line)#end D,给CON口设置高强度的密码。 4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如: Router(Config)#line aux 0 Router(Config-line)#transport input none Router(Config-line)#no exec 5,建议采用权限分级策略。如: Router(Config)#username lanstar privilege 10 lanstar Router(Config)#privilege EXEC level 10 telnet Router(Config)#privilege EXEC level 10 show ip access-list 6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。 7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。 8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如: Router(Config)#ip ftp username lanstar Router(Config)#ip ftp password lanstar Router#copy startup-config ftp: 9,及时的升级和修补IOS软件。 二,路由器网络服务安全配置 1,禁止CDP(Cisco Discovery Protocol)。如: Router(Config)#no cdp run Router(Config-if)# no cdp enable 2,禁止其他的TCP、UDP Small服务。 Router(Config)# no service tcp-small-servers