接入交换机常见安全配置

适用场景：1-24口下联PC用户,25口下联二层网管交换机,26口上联汇聚交换机

堆叠环境中，若未指定优先级，则是根据它们的MAC地址（mac小的为主机）来确定谁是主机。优先级为越大越好，范围1-10。出场默认为1。

1、系统时间同步：如果客户有使用 ntp/sntp进行全网统一的时间配置的需求，可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名

Ruijie(config)#sntp enable //首先开启 sntp 服务

Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址，此为国家授时中心服务器IP 地址

Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔

若客户无需配置SNTP功能，则配置单台设备系统时间命令如下

Ruijie#clock set 20:30:50 3 20 2011 //配置系统时间配置方法：

2、系统远程管理规范配置

远程登录

方式一：采用两级密码方式

Ruijie(config)#enable password test4321 //特权密码配置

Ruijie(config)#line vty 0 35

Ruijie(config-line)#password test //telnet远程登录密码配置

Ruijie(config-line)#exit

Ruijie(config)#service password-encryption //对所配置的密码进行加密

方式二：采用用户名密码方式

Ruijie(config)#username admin privilege 15 password test4321 //用户名和密码配置

Ruijie(config)#line console 0 //进入console口配置模式

Ruijie(config-line)#password ruijie //配置console口登录密码

Ruijie(config-line)#login //配置console口登录模式

Ruijie(config-line)#exit

Ruijie(config)#line vty 0 35 //进入远程登录接口配置模式

Ruijie(config)#login local //启用本地认证模式

Ruijie(config)#exit

Ruijie(config)#service password-encryption //对所配置的密码进行加密

SNMP远程管理

Ruijie(config)#snmp-server community ycrmyy rw

额外安全措施

措施一：限制远程管理源地址

Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表，严格限定允许ip Ruijie(config)#line vty 0 35

Ruijie(config-line)#access-class 99 in

措施二：限制SNMP管理源地址

Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表，严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99

措施三：使用加密管理协议，使用SSH管理，禁用Telnet协议

Ruijie(config)#no enable service telnet-server //禁用telnet管理

Ruijie(config)#enable service ssh-server //启用SSH管理

Ruijie(config)#crypto key generate dsa //设置ssh加密模式

Ruijie(config)#line vty 0 35

Ruijie(config-line)#transport input ssh //远程登录接口启用SSH管理

措施四：使用加密管理协议，使用SNMPv3

Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表，严格限定允许ip Ruijie(config)#snmp-server user ruijie Group1 v3 auth md5Ruijie123 access 99 //启用snmpv3

措施五：配置登录警告信息

Ruijie(config)#banner login c

Warning :Unauthorized access are forbidden!

Your behavior will be recorded!c

3、设置设备日志记录

Ruijie(config)#logging on //启用日志记录功能

Ruijie(config)#logging count //打开日志信息统计功能

Ruijie(config)#service sysname //在日志报文中添加系统名称

Ruijie(config)#log trap debugging //所有级别的日志信息将发给syslog server

Ruijie(config)#service sequence-numbers //在日志报文中添加序列号

Ruijie(config)#service timestamps debug datetime // 启用debug 信息时间戳，日期格式Ruijie(config)#service timestamps message-type datetime //启用日志信息中的时间戳

Ruijie(config)#logging server 172.16.250.10 //将日志信息发送给网络上的Syslog Sever Ruijie(config)#logging file flash:log.txt 1000000 //将日志信息根据指定的文件名创建文件,记录到扩展FLASH上，文件大小会随日志增加而增加，但其上限以配置的max-file-size

Ruijie(config)#logging buffered 40960 //将日志记录到内存缓冲区

Ruijie#terminal monitor //允许日志信息显示在VTY 窗口上

4、配置下联PC端口环路检测

Ruijie(config)#rldp enable //启用rldp功能

Ruijie(config)#errdisable recovery interval 120 // 设定故障关闭端口恢复时间为120s Ruijie(config)#interface range fastethernet 0/1-24 //进入下联接口

Ruijie(config-if-range)#rldp port loop-detect shutdown-port ////环路检测触发处理方法为关闭端口，防止产生数据包泛洪影响整个网络

5、防arp欺骗

场景一：静态ip分配方式下防arp

Ruijie(config)#interface FastEthernet 0/1 //进入下联接口

Ruijie(config-if)#switchport port-security //打开端口安全功能

Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 3 //配置最大MAC地址数Ruijie(config-FastEthernet 0/1)#switchport port-security mac-address 001a.a900.0001 //交换机一个端口只能是合法的mac接入

Ruijie(config-FastEthernet 0/1)#switchport port-security binding 192.168.10.1 //交换机一个端口只能是合法的IP接入

Ruijie(config-FastEthernet 0/1)#switchport port-security bind 001a.a900.0001 vlan 10 192.168.10.1 //交换机端口只能是合法的IP且合法的MAC接入

Ruijie(config-if-range)#arp-check //打开ARP检查功能，配合端口安全功能防止ARP欺骗

备注：此场景中，交换机一个端口最大只能接入3台主机，但其中有一台主机是合法保障的。静态ip 地址场景要达到完全防止arp主机欺骗和网关欺骗，只能把所有的ip都进行绑定。

因为在实际环境中严格的绑定不太适用，所以常用arp防网关欺骗的命令来达到防止arp网关欺骗目的