接入交换机常见安全配置

适用场景：1-24口下联PC用户,25口下联二层网管交换机,26口上联汇聚交换机堆叠环境中，若未指定优先级，则是根据它们的MAC地址（mac小的为主机）来确定谁是主机。优先级为越大越好，范围1-10。出场默认为1。1、系统时间同步：如果客户有使用ntp/sntp进行全网统一的时间配置的需求，可在设备上做Ruijie(config)#hostnameTSG#5750//给交换机命名Ruijie(config)#sntpenable//首先开启sntp服务Ruijie(config)#sntpserver210.72.145.44//配置服务器IP地址，此为国家授时中心服务器IP地址Ruijie(config)#sntpinterval36000//配置sntp交互的时间间隔若客户无需配置SNTP功能，则配置单台设备系统时间命令如下Ruijie#clockset20:30:503202011//配置系统时间配置方法：2、系统远程管理规范配置远程登录方式一：采用两级密码方式Ruijie(config)#enablepasswordtest4321//特权密码配置Ruijie(config)#linevty035Ruijie(config-line)#passwordtest//telnet远程登录密码配置Ruijie(config-line)#exitRuijie(config)#servicepassword-encryption//对所配置的密码进行加密方式二：采用用户名密码方式Ruijie(config)#usernameadminprivilege15passwordtest4321//用户名和密码配置Ruijie(config)#lineconsole0//进入console口配置模式Ruijie(config-line)#passwordruijie//配置console口登录密码Ruijie(config-line)#login//配置console口登录模式Ruijie(config-line)#exitRuijie(config)#linevty035//进入远程登录接口配置模式Ruijie(config)#loginlocal//启用本地认证模式Ruijie(config)#exitRuijie(config)#servicepassword-encryption//对所配置的密码进行加密SNMP远程管理Ruijie(config)#snmp-servercommunityycrmyyrw额外安全措施措施一：限制远程管理源地址Ruijie(config)#access-list99permithost192.168.1.100//配置控制列表，严格限定允许ipRuijie(config)#linevty035Ruijie(config-line)#access-class99in措施二：限制SNMP管理源地址Ruijie(config)#access-list99permithost192.168.1.100//配置控制列表，严格限定允许ipRuijie(config)#snmp-servercommunityruijierw99措施三：使用加密管理协议，使用SSH管理，禁用Telnet协议Ruijie(config)#noenableservicetelnet-server//禁用telnet管理Ruijie(config)#enableservicessh-server//启用SSH管理Ruijie(config)#cryptokeygeneratedsa//设置ssh加密模式Ruijie(config)#linevty035Ruijie(config-line)#transportinputssh//远程登录接口启用SSH管理措施四：使用加密管理协议，使用SNMPv3Ruijie(config)#access-list99permithost192.168.1.100//配置控制列表，严格限定允许ipRuijie(config)#snmp-serveruserruijieGroup1v3authmd5Ruijie123access99//启用snmpv3措施五：配置登录警告信息Ruijie(config)#bannerlogincWarning:Unauthorizedaccessareforbidden!Yourbehaviorwillberecorded!c3、设置设备日志记录Ruijie(config)#loggingon//启用日志记录功能Ruijie(config)#loggingcount//打开日志信息统计功能Ruijie(config)#servicesysname//在日志报文中添加系统名称Ruijie(config)#logtrapdebugging//所有级别的日志信息将发给syslogserverRuijie(config)#servicesequence-numbers//在日志报文中添加序列号Ruijie(config)#servicetimestampsdebugdatetime//启用debug信息时间戳，日期格式Ruijie(config)#servicetimestampsmessage-typedatetime//启用日志信息中的时间戳Ruijie(config)#loggingserver172.16.250.10//将日志信息发送给网络上的SyslogSeverRuijie(config)#loggingfileflash:log.txt1000000//将日志信息根据指定的文件名创建文件,记录到扩展FLASH上，文件大小会随日志增加而增加，但其上限以配置的max-file-sizeRuijie(config)#loggingbuffered40960//将日志记录到内存缓冲区Ruijie#terminalmonitor//允许日志信息显示在VTY窗口上4、配置下联PC端口环路检测Ruijie(config)#rldpenable//启用rldp功能Ruijie(config)#errdisablerecoveryinterval120//设定故障关闭端口恢复时间为120sRuijie(config)#interfacerangefastethernet0/1-24//进入下联接口Ruijie(config-if-range)#rldpportloop-detectshutdown-port////环路检测触发处理方法为关闭端口，防止产生数据包泛洪影响整个网络5、防arp欺骗场景一：静态ip分配方式下防arpRuijie(config)#interfaceFastEthernet0/1//进入下联接口Ruijie(config-if)#switchportport-security//打开端口安全功能Ruijie(config-FastEthernet0/1)#switchportport-securitymaximum3//配置最大MAC地址数Ruijie(config-FastEthernet0/1)#switchportport-securitymac-address001a.a900.0001//交换机一个端口只能是合法的mac接入Ruijie(config-FastEthernet0/1)#switchportport-securitybinding192.168.10.1//交换机一个端口只能是合法的IP接入Ruijie(config-FastEthernet0/1)#switchportport-securitybind001a.a900.0001vlan10192.168.10.1//交换机端口只能是合法的IP且合法的MAC接入Ruijie(config-if-range)#arp-check//打开ARP检查功能，配合端口安全功能防止ARP欺骗备注：此场景中，交换机一个端口最大只能接入3台主机，但其中有一台主机是合法保障的。静态ip地址场景要达到完全防止arp主机欺骗和网关欺骗，只能把所有的ip都进行绑定。因为在实际环境中严格的绑定不太适用，所以常用arp防网关欺骗的命令来达到防止arp网关欺骗目的Ruijie(config-if)#anti-arp-spoofingip192.168.10.254//打开ARP网关检查功能防止ARP网关欺骗场景二：动态ip获取方式下防arpRuijie(config)#ipdhcpsnooping//开启dhcpsnooping功能Ruijie(config)#ipdhcpsnoopingverifymac-address//打开源MAC检查功能Ruijie(config)#iparpinspectionvlan1-10//Ruijie(config)#interfacerangeGigabitEthernet0/25-26//进入上联接口Ruijie(config-if-range)#ipdhcpsnoopingtrust//指定DAI监测的相关VLANRuijie(config-if-range)#iparpinspectiontrust//设置DAI信任接口场景三：用supervlan方式防arp欺骗适用场景：二层交换机下联用户都进行二层隔离，每个隔离端口配置一个vlanID，需要三层交换机支持supervlan功能汇聚交换机配置Ruijie(config)#vlan3Ruijie(config-vlan)#vlan4Ruijie(config-vlan)#vlan5Ruijie(config-vlan)#vlan2Ruijie(config-vlan)#supervlan//配置VLAN2为SuperVLAN模式Ruijie(config-vlan)#subvlan3,4-5//配设置VLAN3-5为SuperVLAN2的Sub-VLANRuijie(config-vlan)#vlan4Ruijie(config-vlan)#subvlan-address-range192.168.1.40192.168.1.49//配置VLAN4的地址范围为192.168.1.40~49Ruijie(config)#interfacerangeGigabitEthernet0/25-26//进入下联接口Ruijie(config-if-range)#switchportmodetrunk//配置为trunk口模式接入交换机配置Ruijie(config)#vlan3Ruijie(config-vlan)#vlan4Ruijie(config-vlan)#vlan5Ruijie(config)#interfacerangefastEthernet0/1-2//进入下联PC接口Ruijie(config-if-range)#switchportaccessvlan3//配置为vlan3口模式Ruijie(config)#interfacerangefastEthernet0/3-10//进入下联PC接口Ruijie(config-if-range)#switchportaccessvlan4//配置为vlan3口模式Ruijie(config)#interfacerangeGigabitEthernet0/25-26//进入上联接口Ruijie(config-if-range)#switchportmodetrunk//配置为trunk口模式6、认证相关配置方式一：802.1x认证（10.x系列）Ruijie(config)#aaanew-model//开启aaa认证开关Ruijie(config)#radius-serverhost172.16.8.200//定义radius认证服务器IPRuijie(config)#radius-serverkey01214242//配置RadiuskeyRuijie