接入交換機(jī)常見(jiàn)安全配置

..適用場(chǎng)景：1-24口下聯(lián)PC用戶,25口下聯(lián)二層網(wǎng)管交換機(jī),26口上聯(lián)會(huì)聚交換機(jī)堆疊環(huán)境中，假設(shè)未指定優(yōu)先級(jí)，那么是根據(jù)它們的MAC地址〔mac小的為主機(jī)〕來(lái)確定誰(shuí)是主機(jī)。優(yōu)先級(jí)為越大越好，圍1-10。出場(chǎng)默認(rèn)為1。1、系統(tǒng)時(shí)間同步：如果客戶有使用ntp/sntp進(jìn)展全網(wǎng)統(tǒng)一的時(shí)間配置的需求，可在設(shè)備上做Ruijie(config)#hostnameTSG#5750//給交換機(jī)命名Ruijie(config)#sntpenable//首先開(kāi)啟sntp效勞Ruijie(config)#sntpserver210.72.145.44//配置效勞器IP地址，此為國(guó)家授時(shí)中心效勞器IP地址Ruijie(config)#sntpinterval36000//配置sntp交互的時(shí)間間隔假設(shè)客戶無(wú)需配置SNTP功能，那么配置單臺(tái)設(shè)備系統(tǒng)時(shí)間命令如下Ruijie#clockset20:30:503202011//配置系統(tǒng)時(shí)間配置方法：2、系統(tǒng)遠(yuǎn)程管理規(guī)配置遠(yuǎn)程登錄方式一：采用兩級(jí)密碼方式Ruijie(config)#enablepasswordtest4321//特權(quán)密碼配置Ruijie(config)#linevty035Ruijie(config-line)#passwordtest//telnet遠(yuǎn)程登錄密碼配置Ruijie(config-line)#exitRuijie(config)#servicepassword-encryption//對(duì)所配置的密碼進(jìn)展加密方式二：采用用戶名密碼方式Ruijie(config)#usernameadminprivilege15passwordtest4321//用戶名和密碼配置Ruijie(config)#lineconsole0//進(jìn)入console口配置模式Ruijie(config-line)#passwordruijie//配置console口登錄密碼Ruijie(config-line)#login//配置console口登錄模式Ruijie(config-line)#exitRuijie(config)#linevty035//進(jìn)入遠(yuǎn)程登錄接口配置模式Ruijie(config)#loginlocal//啟用本地認(rèn)證模式Ruijie(config)#exitRuijie(config)#servicepassword-encryption//對(duì)所配置的密碼進(jìn)展加密SNMP遠(yuǎn)程管理Ruijie(config)#snmp-servermunityycrmyyrw額外平安措施措施一：限制遠(yuǎn)程管理源地址Ruijie(config)#access-list99permithost192.168.1.100//配置控制列表，嚴(yán)格限定允許ipRuijie(config)#linevty035Ruijie(config-line)#access-class99in措施二：限制SNMP管理源地址Ruijie(config)#access-list99permithost192.168.1.100//配置控制列表，嚴(yán)格限定允許ipRuijie(config)#snmp-servermunityruijierw99措施三：使用加密管理協(xié)議，使用SSH管理，禁用Telnet協(xié)議Ruijie(config)#noenableservicetelnet-server//禁用telnet管理Ruijie(config)#enableservicessh-server//啟用SSH管理Ruijie(config)#cryptokeygeneratedsa//設(shè)置ssh加密模式Ruijie(config)#linevty035Ruijie(config-line)#transportinputssh//遠(yuǎn)程登錄接口啟用SSH管理措施四：使用加密管理協(xié)議，使用SNMPv3Ruijie(config)#access-list99permithost192.168.1.100//配置控制列表，嚴(yán)格限定允許ipRuijie(config)#snmp-serveruserruijieGroup1v3authmd5Ruijie123access99//啟用snmpv3措施五：配置登錄警告信息Ruijie(config)#bannerlogincWarning:Unauthorizedaccessareforbidden!Yourbehaviorwillberecorded!c3、設(shè)置設(shè)備日志記錄Ruijie(config)#loggingon//啟用日志記錄功能Ruijie(config)#loggingcount//翻開(kāi)日志信息統(tǒng)計(jì)功能Ruijie(config)#servicesysname//在日志報(bào)文中添加系統(tǒng)名稱Ruijie(config)#logtrapdebugging//所有級(jí)別的日志信息將發(fā)給syslogserverRuijie(config)#servicesequence-numbers//在日志報(bào)文中添加序列號(hào)Ruijie(config)#servicetimestampsdebugdatetime//啟用debug信息時(shí)間戳，日期格式Ruijie(config)#servicetimestampsmessage-typedatetime//啟用日志信息中的時(shí)間戳Ruijie(config)#loggingserver//將日志信息發(fā)送給網(wǎng)絡(luò)上的SyslogSeverRuijie(config)#loggingfileflash:log.txt1000000//將日志信息根據(jù)指定的文件名創(chuàng)立文件,記錄到擴(kuò)展FLASH上，文件大小會(huì)隨日志增加而增加，但其上限以配置的max-file-sizeRuijie(config)#loggingbuffered40960//將日志記錄到存緩沖區(qū)Ruijie#terminalmonitor//允許日志信息顯示在VTY窗口上4、配置下聯(lián)PC端口環(huán)路檢測(cè)Ruijie(config)#rldpenable//啟用rldp功能Ruijie(config)#errdisablerecoveryinterval120//設(shè)定故障關(guān)閉端口恢復(fù)時(shí)間為120sRuijie(config)#interfacerangefastethernet0/1-24//進(jìn)入下聯(lián)接口Ruijie(config-if-range)#rldpportloop-detectshutdown-port////環(huán)路檢測(cè)觸發(fā)處理方法為關(guān)閉端口，防止產(chǎn)生數(shù)據(jù)包泛洪影響整個(gè)網(wǎng)絡(luò)5、防arp欺騙場(chǎng)景一：靜態(tài)ip分配方式下防arpRuijie(config)#interfaceFastEthernet0/1//進(jìn)入下聯(lián)接口Ruijie(config-if)#switchportport-security//翻開(kāi)端口平安功能Ruijie(config-FastEthernet0/1)#switchportport-securitymaximum3//配置最大MAC地址數(shù)Ruijie(config-FastEthernet0/1)#switchportport-securitymac-address001a.a900.0001//交換機(jī)一個(gè)端口只能是合法的mac接入Ruijie(config-FastEthernet0/1)#switchportport-securitybinding192.168.10.1//交換機(jī)一個(gè)端口只能是合法的IP接入Ruijie(config-FastEthernet0/1)#switchportport-securitybindvlan10192.168.10.1//交換機(jī)端口只能是合法的IP且合法的MAC接入Ruijie(config-if-range)#arp-check//翻開(kāi)ARP檢查功能，配合端口平安功能防止ARP欺騙備注：此場(chǎng)景中，交換機(jī)一個(gè)端口最大只能接入3臺(tái)主機(jī)，但其中有一臺(tái)主機(jī)是合法保障的。靜態(tài)ip地址場(chǎng)景要到達(dá)完全防止arp主機(jī)欺騙和網(wǎng)關(guān)欺騙，只能把所有的ip都進(jìn)展綁定。因?yàn)樵趯?shí)際環(huán)境中嚴(yán)格的綁定不太適用，所以常用arp防網(wǎng)關(guān)欺騙的命令來(lái)到達(dá)防止arp網(wǎng)關(guān)欺騙目的Ruijie(config-if)#anti-arp-spoofingip//翻開(kāi)ARP網(wǎng)關(guān)檢查功能防止ARP網(wǎng)關(guān)欺騙場(chǎng)景二：動(dòng)態(tài)ip獲取方式下防arpRuijie(config)#ipdhcpsnooping//開(kāi)啟dhcpsnooping功能Ruijie(config)#ipdhcpsnoopingverifymac-address//翻開(kāi)源MAC檢查功能Ruijie(config)#iparpinspectionvlan1-10//Ruijie(config)#interfacerangeGigabitEthernet0/25-26//進(jìn)入上聯(lián)接口Ruijie(config-if-range)#ipdhcpsnoopingtrust//指定DAI監(jiān)測(cè)的相關(guān)VLANRuijie(config-if-range)#iparpinspectiontrust//設(shè)置DAI信任接口場(chǎng)景三：用supervlan方式防arp欺騙適用場(chǎng)景：二層交換機(jī)下聯(lián)用戶都進(jìn)展二層隔離，每個(gè)隔離端口配置一個(gè)vlanID，需要三層交換機(jī)支持supervlan功能會(huì)聚交換機(jī)配置Ruijie(config)#vlan3Ruijie(config-vlan)#vlan4Ruijie(config-vlan)#vlan5Ruijie(config-vlan)#vlan2Ruijie(config-vlan)#supervlan//配置VLAN2為SuperVLAN模式Ruijie(config-vlan)#subvlan3,4-5//配設(shè)置VLAN3-5為SuperVLAN2的Sub-VLANRuijie(config-vlan)#vlan4Ruijie(config-vlan)#subvlan-address-range192.168.1.40192.168.1.49//配置VLAN4的地址圍為192.168.1.40~49Ruijie(config)#interfacerangeGigabitEthernet0/25-26//進(jìn)入下聯(lián)接口Ruijie(config-if-range)#switchportmodetrunk//配置為trunk口模式接入交換機(jī)配置Ruijie(config)#vlan3Ruijie(config-vlan)#vlan4Ruijie(config-vlan)#vlan5Ruijie(config)#interfacerangefastEthernet0/1-2//進(jìn)入下聯(lián)PC接口Ruijie(config-if-range)#switchportaccessvlan3//配置為vlan3口模式Ruijie(config)#interfacerangefastEthernet0/3-10//進(jìn)入下聯(lián)PC接口Ruijie(config-if-range)#switchportaccessvlan4//配置為vlan3口模式Ruijie(config)#interfacerangeGigabitEthernet0/25-26//進(jìn)入上聯(lián)接口Ruijie(config-if-range)#switchportmodetrunk//配置為trunk口模式6、認(rèn)證相關(guān)配置方式一：802.1x認(rèn)證〔10.x系列〕Ruijie(config)#aaanew-model//開(kāi)啟aaa認(rèn)證開(kāi)關(guān)Ruijie(config)#radius-serverhost//定義radius認(rèn)證效勞器IPRuijie(config)#radius-serverkey01214242//配置RadiuskeyRuijie(config)#aaaauthenticationdot1xdefaultgroupradiuslocalnone//配置dot1x認(rèn)證方法列表Ruijie(config)#dot1xauthenticationdefault//開(kāi)啟dot1x認(rèn)證功能列表Ruijie(config)#dot1xprivate-supplicant-only//翻開(kāi)過(guò)濾非我司supplicant功能的開(kāi)關(guān),備注：假設(shè)使用非銳捷客戶端，此功能要關(guān)閉Ruijie(config)#dot1xclient-probeenable//翻開(kāi)客戶端在線探測(cè)功能，備注：假設(shè)使用非銳捷客戶端，此功能要關(guān)閉Ruijie(config)#aaaaccountingnetworkdefaultstart-stopgroupradius//配置記賬方法列表Ruijie(config)#dot1xaccountingdefault//為802.1X應(yīng)用記賬方法列表Ruijie(config)#aaaaccountingupdate//配置記賬更新功能Ruijie(config)#aaaaccountingupdateperiodic60//定義記賬更新間隔60分鐘Ruijie(config)#dot1xtimeoutserver-timeout5//配置RADIUS效勞器的最大響應(yīng)時(shí)間為5sRuijie(config)#aaaauthenticationlogindefaultgroupradiuslocal//定義設(shè)備telnet登錄使用本地認(rèn)證Ruijie(config)#aaagroupserverradiusdefault//進(jìn)入記賬效勞器default組，用于配置多認(rèn)證效勞器Ruijie(config-gs-radius)#server//定義主記賬效勞器IPRuijie(config-gs-radius)#server//定義備份記賬效勞器IPRuijie(config-gs-radius)#exit//退出效勞器組配置模式Ruijie(config)#mac-address-tablestatic00a0.d276.0bfevlan106interfacefastEthernet0/19//接口下不認(rèn)證的設(shè)置Ruijie(config)#interfacerangefastEthernet0/1-24//進(jìn)入接入PC用戶端口Ruijie(config-if-range)#dot1xport-controlauto//端口開(kāi)啟dot1x認(rèn)證客戶端自動(dòng)分發(fā)功能配置〔SAM效勞器設(shè)置好客戶端位置〕Ruijie(config)#dot1xredirect//翻開(kāi)全局客戶端下載功能Ruijie(config)#redirect//設(shè)置認(rèn)證效勞器的IP地址Ruijie(config)#redirecthomepage.sudownload./su/index.jsp//設(shè)置客戶端下載的主頁(yè)地址Ruijie(config)#redirectdirect-site192.168.4.254arp//將網(wǎng)關(guān)IP設(shè)為免認(rèn)證資源圍，并開(kāi)啟arp選項(xiàng)，保證在認(rèn)證前PC能完成DNS及ARP請(qǐng)求GSN相關(guān)配置Ruijie(config)#securitygsnenable//全局開(kāi)啟GSN認(rèn)證功能Ruijie(config)#securitymunityaaa//配置和SMP效勞器的認(rèn)證keyRuijie(config)#smp-serverhost192.168.10.200//配置和SMP效勞器的ip地址Ruijie(config)#interfacefastEthernet0/24//進(jìn)入接入PC用戶端口Ruijie(config-if-range)#securityaddress-bindenable//端口開(kāi)啟gsn平安認(rèn)證方式一：802.1x認(rèn)證〔21系列〕Ruijie(config)#aaaauthenticationdot1x//翻開(kāi)802.1xRuijie(config)#radius-serverhost172.16.8.200//配置認(rèn)證效勞器IP地址Ruijie(config)#aaaaccountingserver172.16.8.200//配置計(jì)費(fèi)效勞器IP地址Ruijie(config)#aaaaccounting//翻開(kāi)計(jì)費(fèi)Ruijie(config)#aaaaccountingupdate//開(kāi)啟記費(fèi)更新Ruijie(config)#dot1xclient-probeenable//配置hello功能與生存時(shí)間Ruijie(config)#dot1xprobe-timeralive130//配置設(shè)備的AliveIntervalRuijie(config)#radius-serverkeyaaa//配置認(rèn)證效勞器的key為test字符串Ruijie(config)#snmp-servermunityruijierw//配置交換機(jī)SNMP共同體Ruijie(config)#interfacerangeFastEthernet0/1-24Ruijie(config-if-range)#dot1xport-controlauto//配置交換機(jī)上的1－8端口為認(rèn)證口方式二：web認(rèn)證1、端口上翻開(kāi)了Web認(rèn)證后，即使未認(rèn)證的用戶發(fā)出的DHCP和DNS報(bào)文是可以通過(guò)的，不會(huì)影響用戶獲取IP，及域名解析2、由于Web認(rèn)證必須依靠客戶PC能發(fā)起連接，而在進(jìn)展連接之前，須要能讓客戶PC獲取到DNS解析的IP地址，以及網(wǎng)關(guān)的ARP報(bào)文Ruijie(config)#redirect//配置認(rèn)證效勞器的ip地址Ruijie(config)#web-authportalkeyycrmyy//設(shè)置設(shè)備與認(rèn)證效勞器進(jìn)展通信的密鑰Ruijie(config)#redirecthomepage192.168.10.250:80/ess/webauthservlet//設(shè)置認(rèn)證頁(yè)面的主頁(yè)地址Ruijie(config)#snmp-servermunitytestrw//設(shè)置SNMPmunityRuijie(config)#snmp-serverenabletrapsweb-auth//設(shè)置設(shè)備允許向外發(fā)送Web認(rèn)證的消息，類型包括Trap和InformRuijie(config)#snmp-serverhostinformsversion2ctestweb-auth//設(shè)置發(fā)送Web認(rèn)證消息的目的主機(jī)〔認(rèn)證效勞器ip〕、類型、版本、munity等參數(shù)Ruijie(config)#web-authoffline-detect-modeflow//設(shè)置基于流量檢測(cè)用戶是否下線Ruijie(config)#redirectdirect-sitearp//設(shè)置網(wǎng)關(guān)為免認(rèn)證的網(wǎng)絡(luò)資源Ruijie(config)#redirectdirect-sitearp//設(shè)置重要效勞器為免認(rèn)證的網(wǎng)絡(luò)資源Ruijie(config)#web-authdirect-hostarp//設(shè)置交換機(jī)下無(wú)需認(rèn)證用戶〔最大允許配置50個(gè)〕Ruijie(config)#interfacerangefastEthernet0/1-24//進(jìn)入接入PC用戶端口Ruijie(config-if-range)#web-authport-control//在端口上啟動(dòng)Web認(rèn)證功能平安通道配置〔備注：和GSN功能沖突，不能同時(shí)存在〕Ruijie(config)#ipaccess-listextendedsaftunnel//配置訪問(wèn)控制列表名Ruijie(config-ext-nacl)#permitudpanyeqbootpcanyeqbootps//配置允許dhcp請(qǐng)求報(bào)文通過(guò)Ruijie(config-ext-nacl)#permitip192.168.0.00.0.255.255192.168.0.00.0.255.255//配置未認(rèn)證時(shí)允許訪問(wèn)的網(wǎng)段請(qǐng)求報(bào)文通過(guò)Ruijie(config-ext-nacl)#exitRuijie(config)#securityglobalaccess-groupsaftunnel//全局模式下啟用平安通道Ruijie(config)#interfacefastEthernet0/24//進(jìn)入接入PC用戶端口Ruijie(config-if)#securityuplinkenable//把此接口配置為平安通道例外口認(rèn)證逃生功能配置(10.x版本)Ruijie(config-if)#radius-servertimeout3//指定設(shè)備重傳請(qǐng)求以前等待的時(shí)間Ruijie(config-if)#radius-serverretransmit0//指定設(shè)備在確認(rèn)RADIUS無(wú)效以前發(fā)送請(qǐng)求的次數(shù)Ruijie(config-if)#aaaauthenticationdot1xdefaultgroupradiusnone//配置在無(wú)法聯(lián)系認(rèn)證效勞器時(shí)，認(rèn)證方法列表使用nonemethod方法7、通用平安控制列表Ruijie(config)#ipaccess-listextendedanti_virusRuijie(config-ext-nacl)#denytcpanyanyeq135Ruijie(config-ext-nacl)#denytcpanyanyeq136Ruijie(config-ext-nacl)#denytcpanyanyeq137Ruijie(config-ext-nacl)#denytcpanyanyeq138Ruijie(config-ext-nacl)#denytcpanyanyeq139Ruijie(config-ext-nacl)#denytcpanyanyeq445Ruijie(config-ext-nacl)#denytcpanyanyeq593Ruijie(config-ext-nacl)#denytcpanyanyeq554Ruijie(config-ext-nacl)#denytcpanyanyeq707Ruijie(config-ext-nacl)#denytcpanyanyeq1068Ruijie(config-ext-nacl)#denytcpanyanyeq1080Ruijie(config-ext-nacl)#denytcpanyanyeq2222Ruijie(config-ext-nacl)#denytcpanyanyeq3332Ruijie(config-ext-nacl)#denytcpanyanyeq4444Ruijie(config-ext-nacl)#denytcpanyanyeq5554Ruijie(config-ext-nacl)#denytcpanyanyeq6669Ruijie(config-ext-nacl)#denytcpanyanyeq6711Ruijie(config-ext-nacl)#denytcpanyanyeq6712Ruijie(config-ext-nacl)#denytcpanyanyeq6776Ruijie(config-ext-nacl)#denytcpanyanyeq7000Ruijie(config-ext-nacl)#denytcpanyanyeq9996Ruijie(config-ext-nacl)#denytcpanyanyeq9995Ruijie(config-ext-nacl)#denytcpanyanyeq27665Ruijie(config-ext-