h3c交換機配置指導(dǎo)【最新v5版本】

1、<p>　　H3C交換機配置指導(dǎo)201805025【最新V5版本】</p><p><b>　　1、用戶賬號與密碼</b></p><p>　　強化管理員帳戶密碼，密碼長度大于等于8位并包含數(shù)字、大小寫字母及特殊字符，密碼使用密文形式存儲，綁定console口登錄和SSH服務(wù)。</p><p><b>　　Zdhb*2660

2、</b></p><p>　　<D-SD-ZZ-BeiXinB.S1>su</p><p>　　Password:Zdhb*2660</p><p>　　<D-SD-ZZ-BeiXinB.S1>sys</p><p>　　[D-SD-ZZ-BeiXinB.S1]local-user admin</p&

3、gt;<p>　　[D-SD-ZZ-BeiXinB.S1-luser-admin]password cipher Zdhb*2660 </p><p>　　[D-SD-ZZ-BeiXinB.S1-luser-admin]authorization-attribute level 3</p><p>　　[D-SD-ZZ-BeiXinB.S1-luser-admin]servi

4、ce-type ssh terminal telnet</p><p>　　[D-SD-ZZ-BeiXinB.S1-luser-admin]quit</p><p>　　####################################</p><p><b>　　2、設(shè)備本地管理</b></p><p>　?。?/p>

5、1）設(shè)備本地通過console口登錄需輸入用戶名和口令；</p><p>　　[D-SD-ZZ-BeiXinB.S1-ui-aux0-8]dis cu //查看全部配置信息，敲空格到最后，查看后幾行信息</p><p>　　如果看到有user-interface aux 0 8信息 //顯示aux口，則進入aux口進行配置</p><p&g

6、t;　　[D-SD-ZZ-BeiXinB.S1] user-interface aux 0 8</p><p>　　[D-SD-ZZ-BeiXinB.S1-ui-aux0-8]authentication-mode scheme</p><p>　　[D-SD-ZZ-BeiXinB.S1-ui-aux0-8]undo set authentication password</p>

7、;<p>　　[D-SD-ZZ-BeiXinB.S1-ui-aux0-8]quit</p><p>　　####################################</p><p>　?。?）登錄后超過5分鐘無動作自動退出；</p><p>　　[D-SD-ZZ-BeiXinB.S1]user-interface aux 0 8</p

8、><p>　　[D-SD-ZZ-BeiXinB.S1-ui-aux0-8]idle-timeout 5 </p><p>　　[D-SD-ZZ-BeiXinB.S1-ui-aux0-8]quit</p><p>　　####################################</p><p>　?。?）連續(xù)登錄失敗5次后，賬戶鎖定10

9、分鐘。（部分交換機不支持該功能）</p><p>　　[D-SD-ZZ-BeiXinB.S1]password-control enable </p><p>　　Info: Password control is enabled.</p><p>　　[D-SD-ZZ-BeiXinB.S1]password-control login-attempt 5 exce

10、ed lock-time 10</p><p>　　####################################</p><p>　　3、遠程登陸配置要求</p><p>　?。?）人員遠程登錄應(yīng)使用 SSH 協(xié)議</p><p>　　[D-SD-ZZ-BeiXinB.S1]public-key local create rsa&

11、lt;/p><p>　　[D-SD-ZZ-BeiXinB.S1]public-key local create dsa</p><p>　　[D-SD-ZZ-BeiXinB.S1]ssh server enable</p><p>　　[D-SD-ZZ-BeiXinB.S1]user-interface vty 0 4</p><p>　　[D-

12、SD-ZZ-BeiXinB.S1-ui-vty0-4]authentication-mode scheme</p><p>　　[D-SD-ZZ-BeiXinB.S1-ui-vty0-4]protocol inbound all</p><p>　　測試ssh能否正常使用（通過核心1或者核心2路由器進行測試）</p><p>　　<D-SD-ZZ.R1>

13、ssh2 37.2.44.73 //（該地址為需要遠程測試的路由器的地址）</p><p>　　Username: admin</p><p>　　Trying 37.2.44.73 ...</p><p>　　Press CTRL+K to abort</p><p>　　Connected to 37.2.44.73 ...<

14、;/p><p>　　Enter password:</p><p>　　如有提示信息，輸入Y即可。</p><p>　　******************************************************************************</p><p>　　* Copyright (c) 2004-2011

15、 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *</p><p>　　* Without the owner's prior written consent, *</p><p>　　* no decompiling or reverse-engineering

16、 shall be allowed. *</p><p>　　******************************************************************************</p><p>　　能夠正常進入設(shè)備的操作界面，即成功進入設(shè)備，ssh設(shè)置成功。</p><p>　　<

17、D-SD-ZZ-BeiXinB.S1>sys </p><p>　　[D-SD-ZZ-BeiXinB.S1]user-interface vty 0 4</p><p>　　[D-SD-ZZ-BeiXinB.S1-ui-vty0-4]protocol inbound ssh</p><p>　　[D-SD-ZZ-BeiXinB.S1-ui-vty0-4]und

18、o set authentication password</p><p>　　[D-SD-ZZ-BeiXinB.S1-ui-vty0-4]quit</p><p>　　[D-SD-ZZ-BeiXinB.S1]local-user admin</p><p>　　[D-SD-ZZ-BeiXinB.S1-luser-admin]service-type ssh ter

19、minal</p><p>　　[D-SD-ZZ-BeiXinB.S1-luser-admin]quit</p><p>　?。?）遠程登錄后超過 5 分鐘無動作自動退出。</p><p>　　[D-SD-ZZ-BeiXinB.S1]user-interface vty 0 4</p><p>　　[D-SD-ZZ-BeiXinB.S1-ui

20、-vty0-4]idle-timeout 5</p><p>　?。?）連續(xù)登錄失敗5次后，賬戶鎖定10分鐘。（（部分交換機不支持該功能））</p><p>　　[D-SD-ZZ-BeiXinB.S1]password-control enable </p><p>　　Info: Password control is enabled.</p>&l

21、t;p>　　[D-SD-ZZ-BeiXinB.S1]password-control login-attempt 5 exceed lock-time 10</p><p>　?。?）遠程管理源IP地址限制</p><p>　　配置訪問控制列表，只允許網(wǎng)管系統(tǒng)、審計系統(tǒng)、主站核心設(shè)備地址能訪問網(wǎng)絡(luò)設(shè)備及管理服務(wù)。</p><p>　　[D-SD-ZZ-BeiX

22、inB.S1]acl number 2000</p><p>　　[D-SD-ZZ-BeiXinB.S1-acl-basic-2000]rule permit source 37.254.14.240 0.0.0.15</p><p>　　[D-SD-ZZ-BeiXinB.S1-acl-basic-2000]rule permit source 37.124.0.0 0.0.255.255

23、</p><p>　　[D-SD-ZZ-BeiXinB.S1-acl-basic-2000]rule deny source any</p><p>　　[D-SD-ZZ-BeiXinB.S1-acl-basic-2000]quit</p><p>　　[D-SD-ZZ-BeiXinB.S1]acl number 2001</p><p>　

24、　[D-SD-ZZ-BeiXinB.S1-acl-basic-2001]rule permit source 37.254.14.250 0</p><p>　　[D-SD-ZZ-BeiXinB.S1-acl-basic-2000]quit</p><p>　　[D-SD-ZZ-BeiXinB.S1]snmp-agent community read zzpowerro acl 2001&

25、lt;/p><p>　　[D-SD-ZZ-BeiXinB.S1]snmp-agent community read zzpowerro acl 2001</p><p><b>　　4、日志與審計</b></p><p>　　（1）SNMP協(xié)議安全</p><p>　　修改SNMP的Community默認通行字命令，通行字長

26、度大于等于8位并包含數(shù)字、大小寫字母及特殊字符，SNMP版本使用V2C及以上版本。</p><p>　　[D-SD-ZZ-BeiXinB.S1] snmp-agent community read zzpowerro //前期已經(jīng)設(shè)置過，無需重復(fù)設(shè)置</p><p>　　[D-SD-ZZ-BeiXinB.S1] snmp-agent community write zzpowerr

27、w //前期已經(jīng)設(shè)置過，無需重復(fù)設(shè)置</p><p>　　[D-SD-ZZ-BeiXinB.S1]snmp-agent sys-info version v2c v3</p><p>　　[D-SD-ZZ-BeiXinB.S1]undo snmp-agent sys-info version v1</p><p>　?。?）應(yīng)啟用設(shè)備日志審計功能，并配置遠程日

28、志服務(wù)器IP（限路由器）</p><p>　　[D-SD-ZZ-BeiXinB.S1] info-center enable</p><p>　　[D-SD-ZZ-BeiXinB.S1] info-center loghost 192.128.1.127</p><p>　　5、禁用不必要服務(wù)，包括HTTP、FTP、TELNET等</p><p&

29、gt;　　[D-SD-ZZ-BeiXinB.S1]undo ip http enable</p><p>　　[D-SD-ZZ-BeiXinB.S1]undo ftp server </p><p>　　[D-SD-ZZ-BeiXinB.S1]undo telnet server enable</p><p><b>　　6、安全防護</b>&

30、lt;/p><p>　?。?）根據(jù)具體業(yè)務(wù)設(shè)置ACL訪問控制列表</p><p>　　通過在調(diào)度數(shù)據(jù)網(wǎng)三層接入交換機出接口、路由器入接口設(shè)置ACL屏蔽非法訪問信息，包括135、137、138、139、445等常見高危端口。</p><p><b>　　交換機設(shè)置:</b></p><p>　　[D-SD-ZZ-BeiXinB

31、.S1]acl number 3000</p><p>　　[D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 0 deny tcp destination-port eq 135</p><p>　　[D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 1 deny tcp destination-port eq 137</p>

32、;<p>　　[D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 2 deny tcp destination-port eq 138</p><p>　　[D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 3 deny tcp destination-port eq 139</p><p>　　[D-SD-ZZ-BeiXi

33、nB.S1-acl-adv-3000] rule 4 deny tcp destination-port eq 445</p><p>　　[D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 5 deny udp destination-port eq 135</p><p>　　[D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 6 d

34、eny udp destination-port eq 137</p><p>　　[D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 7 deny udp destination-port eq 138</p><p>　　[D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 8 deny udp destination-port eq

35、139</p><p>　　[D-SD-ZZ-BeiXinB.S1-acl-adv-3000] rule 9 deny udp destination-port eq 445</p><p>　　[D-SD-ZZ-BeiXinB.S1-acl-adv-3000]quit</p><p>　?。?）應(yīng)關(guān)閉交換機、路由器上不使用的端口，對于部分網(wǎng)絡(luò)設(shè)備接口上有出廠缺省配

36、置的必須清除。</p><p>　　[D-SD-ZZ-BeiXinB.S1]dis brief int #查看設(shè)備接口使用情況，顯示如下信息</p><p>　　#將連接狀態(tài)顯示為DOWN的接口關(guān)閉，如上圖“標紅”位置</p><p>　　關(guān)閉GE接口（根據(jù)實際接口進行配置）</p><p>　　[D-SD-ZZ-BeiXinB.S

37、1]int GE 1/0/1</p><p>　　[D-SD-ZZ-BeiXinB.S1-GE1/0/1]shut</p><p>　　[D-SD-ZZ-BeiXinB.S1- GE1/0/1]]quit</p><p>　　再次查看接口狀態(tài)，確保所有不使用端口都shutdown</p><p>　　[D-SD-ZZ-BeiXinB.S1]d

38、is brief int #查看設(shè)備接口使用情況，顯示接口的link狀態(tài)為“ADM”如下所示</p><p>　?。?）開啟NTP服務(wù)。（限路由器）</p><p>　　[D-SD-ZZ-BeiXinB.S1]clock timezone Beijing add 08:00:00</p><p>　　[D-SD-ZZ-BeiXinB.S1]ntp-serv

39、ice source-interface LoopBack 0</p><p>　　[D-SD-ZZ-BeiXinB.S1]ntp-service unicast-server 37.2.44.254</p><p>　?。?） IP、MAC和端口綁定，在路由器進行IP/MAC綁定，在交換機進行MAC/端口綁定。</p><p><b>　　交換機設(shè)置：&

40、lt;/b></p><p>　　[D-SD-ZZ-BeiXinB.S1] dis mac-address #查看設(shè)備設(shè)備mac信息（MAC、端口、vlan的對應(yīng)關(guān)系），如下</p><p>　　將MAC地址、端口號等信息整理完善填寫附件三，經(jīng)業(yè)務(wù)專責簽字確認</p><p>　　#配置交換機MAC地址綁定</p><p>

41、　　[D-SD-ZZ-BeiXinB.S1]int GigabitEthernet 1/0/24 //進入相關(guān)接口（端口根據(jù)實際情況進行修改）</p><p>　　[D-SD-ZZ-BeiXinB.S1-GigabitEthernet1/0/24]mac-address static c4ca-d932-3c2d vlan 10 //對接口下mac地址進行綁定（MAC地址和端口對應(yīng)關(guān)系，根據(jù)實際情況進行

42、修改）</p><p>　　#############################################</p><p>　　對遠程ssh訪問進行acl控制（此命令不需要執(zhí)行）</p><p>　　[D-SD-ZZ-BeiXinB.S1]user-interface vty 0 4 //最后統(tǒng)一加，勿動</p><p>