H3C三层交换机安全配置规范

4.1管理平面安全配置

4.1.1管理口防护

4.1.1.1关闭未使用的管理口

项目编号NOMD-2013-SC-H3C(L3SW)-01-01-01-v1

配置说明设备应关闭未使用的管理口（AUX、或者没开启业务的端口）。

重要等级高

配置指南1、参考配置操作

interface Ten-GigabitEthernet0/1 //进入端口视图

shutdown //执行shutdown命令，关闭端口

检测方法

及

判定依据1、符合性判定依据

端口关闭，不能使用。

2、参考检测方法

通过网线或光纤（视具体接口不同），将此端口与PC或其他设备未关闭的端口互连，该端口指示灯灭，且PC或其他设备没有网卡UP的提示信息。

备注

4.1.1.2配置console口密码保护

项目编号NOMD-2013-SC-H3C(L3SW)-01-01-02-v1

配置说明设备应配置console口密码保护

重要等级高

配置指南1、参考配置操作

[H3C]user-interface console 0

[ H3C-ui-console0] authentication-mode password

[ H3C-ui-console0] set authentication password cipher xxxxxxxx

检测方法

及

判定依据1、符合性判定依据

通过console口，只有输入正确密码才能进入配置试图

2、参考检测方法

PC用Console线连接设备Console口，通过超级终端等配置软件，在进入设备配置视图时，提示要求输入密码。

备注

4.1.2账号与口令

4.1.2.1避免共享账号

项目编号NOMD-2013-SC-H3C(L3SW)-01-02-01-v1

配置说明应对不同的用户分配不同的账号，避免不同用户间账号共享。

重要等级中

配置指南1、参考配置操作

local-user user1

service-type telnet

user privilede level 2

local-user user2

service-type ftp

user privilede level 3

2、补充操作说明

1、user1和user2是两个不同的账号名称，可根据不同用户，取不同的名称，建议使用：姓名的简写＋手机号码；

2、避免使用h3c、admin等简单易猜的账号名称；

检测方法

及

判定依据1、符合性判定依据

各账号都可以正常使用，不同用户有不同的账号。

2、参考检测方法

（1）用display current-configuration configuration luser命令查看配置是否正确

（2）使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用

（3）使用配置中没有的账号无法登录

3、补充说明

每个账号都有对应的使用人员，确保没有多余账号

备注

4.1.2.2禁止无关账号

项目编号NOMD-2013-SC-H3C(L3SW)-01-02-02-v1

配置说明应禁止配置与设备运行、维护等工作无关的账号；

重要等级高

配置指南如有无关账号，参考如下配置进行删除

undo local-user username

检测方法

及

判定依据1、符合性判定依据

不存在工作无关账号

2、参考检测方法

通过display local-user来查看是否存在无关账号

备注

4.1.2.3管理默认账号与口令

项目编号NOMD-2013-SC-H3C(L3SW)-01-02-03-v1

配置说明应删除或锁定默认或缺省账号与口令。

重要等级高

配置指南#

undo local-user username

检测方法

及

判定依据1、符合性判定依据

密码强度和策略符合安全要求

2、参考检测方法

通过display password来看密码策略

通过telnet方式登录设备，输入密码来检测密码安全性

备注

4.1.2.4口令长度和复杂度

项目编号NOMD-2013-SC-H3C(L3SW)-01-02-04-v1

配置说明对于采用静态口令认证技术的设备：应支持口令长度及复杂度验证机制（强制要求口令应由数字、大写字母、小写字母和特殊符号4类字符构成，自动拒绝用户设置不符合复杂度要求的口令。）；

重要等级高

配置指南1、参考配置操作

对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类，每类多余4个。

password-control enable

password-control length 8

password-control composition type-number 3 type-length 4

检测方法

及

判定依据1、符合性判定依据

密码强度和策略符合安全要求

2、参考检测方法

通过display password来看密码策略

通过telnet方式登录设备，输入密码来检测密码安全性

备注

4.1.2.5口令加密

项目编号NOMD-2013-SC-H3C(L3SW)-01-02-05-v1

配置说明静态口令应采用安全可靠的单向散列加密算法（如md5、sha1等）进行加密，并以密文形式存放。如使用enable secret配置Enable密码，不使用enable password 配置Enable密码。

重要等级高

配置指南1、参考配置操作

local-user admin

password cipher $c$3$91+quQroSJWHM4sAJOker3sBNmMjwUEU

检测方法

及

判定依据1、符合性判定依据

密码以密文形式存在设备配置中

2、参考检测方法

通过display current-configuration命令查看账号密码以密文形式显示

备注

4.1.2.6口令变更周期

项目编号NOMD-2013-SC-H3C(L3SW)-01-02-06-v1

配置说明口令定期更改，最长不得超过90天。

重要等级高

配置指南1、参考配置操作

对于采用静态口令认证技术的设备，账户口令的生存期不长于90天，提前7天告警。password-control enable

password-control aging 90

password-control alert-before-expire 7

检测方法

及

判定依据1、符合性判定依据

口令更改周期为90天，提前7天会自动告警

2、参考检测方法

通过display password-control来查看密码策略

备注

4.1.2.7账户锁定策略

项目编号NOMD-2013-SC-H3C(L3SW)-01-02-07-v1

配置说明应为设备配置用户连续认证失败次数上限，当用户连续认证失败次数超过上限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重新认证。重要等级高

配置指南1、参考配置操作

password-control login-attempt 5 exceed lock-time 60

一般设置为5次。

检测方法

及

判定依据1、符合性判定依据

账号密码输入连续多次错误，账号被锁定。

2、参考检测方法

模拟登录测试，连续输5次密码，该账号被锁定。

备注

4.1.3认证

4.1.3.1使用认证服务器认证

项目编号NOMD-2013-SC-H3C(L3SW)-01-03-01-v1

配置说明设备通过相关参数配置，通过与认证服务器（RADIUS或TACACS服务器）联动的方式实现对用户的认证，满足账号、口令和授权的要求。

重要等级中

配置指南1、参考配置操作

[FW] radius scheme rad

# 配置主、备认证服务器的IP地址为10.1.1.1，认证端口号为1812。

[FW-radius-rad] primary authentication 10.1.1.1 1812

[FW-radius-rad] secondary authentication 10.1.1.2 1812

# 配置与认证服务器交互报文时的共享密钥为expert。

[FW-radius-rad] key authentication expert

# 配置向RADIUS服务器发送的用户名携带域名。

[FW-radius-rad] user-name-format with-domain

# 配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时，RADIUS服务器类型应选择extended。

[FW-radius-rad] server-type extended

[FW-radius-rad] quit

# 配置ISP域的AAA方法。

[FW] domain bbb

[FW-isp-bbb] authentication login radius-scheme rad

[FW-isp-bbb] quit

2、补充操作说明

（1）、配置认证方式，可通过radius和本地认证；

（2）、10.1.1.10和10.1.1.2是radius认证服务器的IP地址，建议建立两个radius认证服务器作为互备；

（3）、port 1812是radius认证开启的端口号，可根据本地radius认证服务器开启的端口号进行配置；

（4）、abc123是与radius认证系统建立连接所设定的密码，建议：与radius认证服务器建立连接时，使用密码认证建立连接。

检测方法

及

判定依据1、符合性判定依据

（1）、可以正常ping通Radius服务器的IP地址；

（2）、用户可以登录为正常；

（3）、如果要让Radius服务器向发送用户授权信息，需要在Radius服务器上装的字典文件并做相应配置。

2、参考检测方法

用户发起TELNET连接，在TELNET客户端按照提示输入用户名hello@bbb及正确的密码后，

可成功进入用户界面，并可以使用级别为0、1、2、3的命令。

# 可以通过如下命令查看到AAA用户的连接信息。

[FW] display connection

Index=1 ,Username=hello@bbb

IP=192.168.1.58

IPv6=N/A

Total 1 connection(s) matched.

备注

4.1.3.2会话超时配置

项目编号NOMD-2013-SC-H3C(L3SW)-01-03-02-v1

配置说明配置定时账户自动登出。如TELNET、SSH、HTTP等管理连接和CONSOLE 口登录连接等。

重要等级高

配置指南1、参考配置操作

user-interface con 0

idle-timeout 5 0

user-interface aux 0

idle-timeout 5 0

user-interface vty 0 4

idle-timeout 5 0

save

2、补充操作说明

以上配置是系统在5分钟没有管理流量就让用户自动退出。

超时时间一般设置为5-10分钟。

检测方法

及

判定依据1、符合性判定依据

当闲置时间超时（这里设了5分钟），用户会自动退出设备

2、参考检测方法

1)、使用display current-configuration configuration user-interface查看配置结果

2)、在终端上用telnet方式登录,输入用户名密码

3)、让用户处于空闲状态，查看当时间超时是否自动登出

备注

4.1.4授权

4.1.4.1分级权限控制

项目编号NOMD-2013-SC-H3C(L3SW)-01-04-01-v1

配置说明原则上应采用预定义级别的授权方法，实现对不同用户权限的控制，满足用户最小授权的要求。

重要等级中

配置指南1、参考配置操作

local-user user1

service-type telnet

user privilede level 2

local-user user2

service-type ftp

user privilede level 3

检测方法

及

判定依据1、符合性判定依据

各账号都可以正常使用，且能够输入的命令权限不同

2、参考检测方法

（1）用display current-configuration configuration luser命令查看配置是否正确

（2）使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用以及可以配置的命令

备注

4.1.4.2利用认证服务器进行权限控制

项目编号NOMD-2013-SC-H3C(L3SW)-01-04-02-v1

配置说明除本地采用预定义级别进行外，设备可通过与认证服务器（RADIUS服务器或TACACS服务器）联动的方式实现对用户的授权。并建议采用逐条授权的方式，尽量避免或减少使用一次性授权的方式。

重要等级中

配置指南1、参考配置操作

[FW] radius scheme rad

# 配置主、备授权服务器的IP地址为10.1.1.1，认证端口号为1812。

[FW-radius-rad] primary authentication 10.1.1.1 1812

[FW-radius-rad] secondary authentication 10.1.1.2 1812

# 配置与授权服务器交互报文时的共享密钥为expert。

[FW-radius-rad] key authentication expert

# 配置向RADIUS服务器发送的用户名携带域名。

[FW-radius-rad] user-name-format with-domain

# 配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时，RADIUS服务器类型应选择extended。

[FW-radius-rad] server-type extended

[FW-radius-rad] quit

# 配置ISP域的AAA方法。

[FW] domain bbb

[FW-isp-bbb] authorization login radius-scheme rad

[FW-isp-bbb] quit

2、Radius服务器向发送用户授权信息，需要在Radius服务器上装字典文件并做相应配置。检测方法

及

判定依据1、符合性判定依据

（1）、用户可以登录为正常；

（2）、用户只能够配置Radius服务器规定的命令

2、参考检测方法

用户发起TELNET连接，在TELNET客户端按照提示输入用户名hello@bbb及正确的密码后，可成功进入用户界面，并可以使用级别为0、1、2、3的命令。

# 可以通过如下命令查看到AAA用户的连接信息。

[FW] display connection

Index=1 ,Username=hello@bbb

IP=192.168.1.58

IPv6=N/A

Total 1 connection(s) matched.

备注

4.1.4.3授权粒度控制

项目编号NOMD-2013-SC-H3C(L3SW)-01-04-03-v1

配置说明原则上应采用对命令组或命令进行授权的方法，实现对用户权限细粒度的控制的能力，满足用户最小授权的要求。

重要等级中

配置指南1、参考配置操作

[FW] radius scheme rad

# 配置主、备授权服务器的IP地址为10.1.1.1，认证端口号为1812。

[FW-radius-rad] primary authentication 10.1.1.1 1812

[FW-radius-rad] secondary authentication 10.1.1.2 1812

# 配置与授权服务器交互报文时的共享密钥为expert。

[FW-radius-rad] key authentication expert

# 配置向RADIUS服务器发送的用户名携带域名。

[FW-radius-rad] user-name-format with-domain

# 配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时，RADIUS服务器类型应选择extended。

[FW-radius-rad] server-type extended

[FW-radius-rad] quit

# 配置ISP域的AAA方法。

[FW] domain bbb

[FW-isp-bbb] authorization login radius-scheme rad

[FW-isp-bbb] quit

2、Radius服务器向发送用户授权信息，需要在Radius服务器上装的字典文件并做相应配置。检测方法

及

判定依据1、符合性判定依据

通过账号登录测试，每个账号的权限不同

2、参考检测方法

通过radius服务器，查看每个账号的权限

备注

4.1.5记账

4.1.

5.1记录用户登录日志

项目编号NOMD-2013-SC-H3C(L3SW)-01-05-01-v1

配置说明采用本地或采用与认证服务器(RADIUS或TACACS服务器)联动（优选方式）的方式，实现对用户登录日志的记录和审计。记录和审计范围应包括但不限于：用户登录的方式、使用的账号名、登录是否成功、登录时间、以及远程登录时用户使用的IP地址。重要等级高

配置指南1、参考配置操作

设备缺省就对用户登录实施日志。如果修改了缺省配置不对用户登录实施日志的话，请增加以下配置：

info-center enable

info-center source default channel logbuffer log level informational state on

save

检测方法

及

判定依据1、符合性判定依据

可以在informational级别日志中查看到用户名、登录时间和源IP等内容。

2、参考检测方法

（1）使用display current-configuration | begin info-center命令查看配置；

（2）在终端上使用tetlnet方式登录,输入用户名密码；

（3）使用display logbuffer 命令查看日志。

备注

4.1.

5.2记录用户操作行为日志

项目编号NOMD-2013-SC-H3C(L3SW)-01-05-02-v1

配置说明采用本地或采用与认证服务器(RADIUS或TACACS服务器)联动（优选方式）的方式，实现对用户操作行为的记录和审计，记录和审计范围应包括但不限于：账号创建、删除和权限修改，口令修改，设备配置修改，执行操作的行为和操作结果等。

重要等级高

配置指南1、参考配置操作

缺省就对用户修改配置实施日志。如果修改了缺省配置不对实施日志的话，请增加以下配置：info-center source default channel console log level informational state on

save

2、补充操作说明

缺省方式日志输出

输出方向的缺省输出规则

输出方向允许输出的模块LOG TRAP DEBUG

开关级别开关级别开关级别

控制台default（所有模块）开informational 开debugging 开debugging

监视终端default（所有模块）开informational 开debugging 开debugging

日志主机default（所有模块）开informational 开debugging 关debugging

告警缓冲区default（所有模块）关informational 开informational 关debugging

日志缓冲区default（所有模块）开informational 关debugging 关debugging

SNMP模块default（所有模块）关debugging 开informational 关debugging

Web页面default（所有模块）开debugging 开debugging 关debugging

日志文件default（所有模块）开debugging 开debugging 关debugging

检测方法

及

判定依据1、符合性判定依据

可以使用display logbuffer 命令查看日志。

2、检测操作

（1）使用display current-configuration | begin info-center命令查看配置；

（2）在终端上使用tetlnet方式登录,输入用户名密码；

（3）使用display logbuffer 命令查看日志。

备注

4.1.6远程管理

4.1.6.1VTY端口防护策略

项目编号NOMD-2013-SC-H3C(L3SW)-01-06-01-v1

配置说明应限制VTY口的数量，通常情况下VTY口数量不超过16个。应设定VTY 口的防护策略，避免由于恶意攻击或者错误操作等导致VTY口不可用情况的发生。（如：网管系统尽量采用snmp方式对设备进行操作，避免使用对设备CPU负载较大的telnet方式。）重要等级高

配置指南1、参考配置操作

user-interface vty 0 4

authentication-mode scheme

2、补充操作说明

设置访问密码，避免非法访问

检测方法

及

判定依据1、符合性判定依据

对vty口的数量不超过5个，其对起进行了访问限制。

2、参考检测方法

1) Display current-configuration

2) 通过登录测试，只有输入密码才能访问设备

超出在线用户数限制，则无法通过vty口访问设备

备注

4.1.6.2VTY端口访问的认证

项目编号NOMD-2013-SC-H3C(L3SW)-01-06-02-v1

配置说明对于VTY口访问的认证，应采用认证服务器认证或者本地认证的方式，避免使用VTY口下设置密码的方式认证。

重要等级高

配置指南1、参考配置操作

user-interface vty 0 4

authentication-mode scheme

2、补充操作说明

以上配置是对VTY口访问采用服务器认证或本地认证的方式。

检测方法

及

判定依据1、符合性判定依据

通过telnet登录，只能通过用户名、密码本地或远程登录。

2、参考检测方法

登录设备，查看是否需要用户名、密码进行认证。

备注

4.1.6.3远程主机IP地址段限制

项目编号NOMD-2013-SC-H3C(L3SW)-01-06-03-v1

配置说明应通过ACL限制可远程管理设备的IP地址段

重要等级高

配置指南1、参考配置操作

Acl number 2000

rule 1 permit source 192.168.0.0 0.0.255.255

rule 2 permit source 2::1 0 //匹配某个地址的用户--Ipv6

User-interface vty 0 4

acl 2000 inbound

检测方法

及

判定依据1、符合性判定依据

通过设定acl，成功过滤非法的访问。

2、参考检测方法

display current-configuration

通过模拟账号登录设备，如果不是ACL所允许的IP地址，则无法登录。

备注

4.1.6.4远程管理通信安全

项目编号NOMD-2013-SC-H3C(L3SW)-01-06-04-v1

配置说明使用SSH或带SSH的telnet等加密的远程管理方式。

重要等级高

配置指南1、参考配置操作

# 设置用户界面VTY 0 到VTY 4 支持SSH 协议。

system-view

[Sysname] user-interface vty 0 4

[Sysname-ui-vty0-4] authentication-mode scheme

[Sysname-ui-vty0-4] protocol inbound ssh

检测方法

及

判定依据1、符合性判定依据

通过telnet无法登录，只能以SSH方式登录

2、参考检测方法

通过SSH方式登录设备，成功。Telnet登录，则失败。

备注

4.1.7SNMP安全

4.1.7.1使用SNMP V3版本

项目编号NOMD-2013-SC-H3C(L3SW)-01-07-01-v1

配置说明对于支持SNMP V3版本的设备，必须使用V3版本SNMP协议。重要等级高

配置指南1、参考配置操作

snmp-agent sys-info version v3

检测方法

及

判定依据 1. 符合性判定依据

成功使能snmpv2c、和v3版本。

2. 参考检测操作

display current-configuration

备注

4.1.7.2访问IP地址范围限制

项目编号NOMD-2013-SC-H3C(L3SW)-01-07-02-v1

配置说明应对发起SNMP访问的源IP地址进行限制，并对设备接收端口进行限制。重要等级高

配置指南1、参考配置操作

snmp-agent community read XXXX acl 2000

检测方法

及

判定依据 1. 符合性判定依据

通过设定acl来成功过滤特定的源才能进行访问。

2. 参考检测操作

display current-configuration

备注

4.1.7.3SNMP服务读写权限管理

项目编号NOMD-2013-SC-H3C(L3SW)-01-07-03-v1

配置说明应关闭未使用的SNMP协议，尽量不开启SNMP的RW权限。

重要等级高

配置指南1、参考配置操作

snmp-agent community read xxx

snmp-agent community write xxxx

检测方法

及

判定依据1、符合性判定依据

开启了snmp READ权限，视情况配置write权限。

2、参考检测操作

display current-configuration

备注

4.1.7.4修改SNMP默认的Community字符串

项目编号NOMD-2013-SC-H3C(L3SW)-01-07-04-v1

配置说明应修改SNMP协议RO和RW的默认Community字符串，并设置复杂的字符串作为SNMP的Community。

重要等级高

配置指南1、参考配置操作

snmp-agent community read xxx

snmp-agent community write xxxx

检测方法

及

判定依据 1. 符合性判定依据

系统成功修改SNMP的Community为用户定义口令，非常规private或者public，并且符合口令强度要求。

2. 参考检测操作

display current-configuration

备注

4.1.7.5Community字符串加密

项目编号NOMD-2013-SC-H3C(L3SW)-01-07-05-v1

配置说明建议支持对SNMP协议RO、RW的Community字符串的加密存放。

重要等级高

配置指南1、参考配置操作

SNMP V3支持加密功能，例如配置使用的用户名为managev3user，认证方式为MD5，认证密码为authkey，加密算法为DES56，加密密码是prikey

[Sysname] snmp-agent group v3 managev3group read-view test write-view test [Sysname] snmp-agent usm-user v3 managev3user managev3group authentication-mode md5 authkey privacy-mode des56 prikey

检测方法

及

判定依据1、符合性判定依据

Community字符串经过加密存储。

2、参考检测方法

Community字符串在传输的过程中，进行加密处理。通过抓包方法可以检测。

三层交换机配置实例

三层交换综合实验一般来讲，设计方案中主要包括以下内容： ◆????? 用户需求 ◆????? 需求分析 ◆????? 使用什么技术来实现用户需求 ◆????? 设计原则 ◆????? 拓扑图 ◆????? 设备清单一、模拟设计方案【用户需求】 1.应用背景描述某公司新建办公大楼，布线工程已经与大楼内装修同步完成。现公司需要建设大楼内部的办公网络系统。大楼的设备间位于大楼一层，可用于放置核心交换机、路由器、服务器、网管工作站、电话交换机等设备。在每层办公楼中有楼层配线间，用来放置接入层交换机与配线架。目前公司工程部25人、销售部25人、发展部25人、人事部10人、财务部加经理共15人。 2.用户需求为公司提供办公自动化、计算机管理、资源共享及信息交流等全方位的服务，目前的信息点数大约100个，今后有扩充到200个的可能。公司的很多业务依托于网络，要求网络的性能满足高效的办公要求。同时对网络的可靠性要求也很高，要求在办公时间内，网络不能宕掉。因此，在网络设计过程中，要充分考虑到网络设备的可靠性。同时，无论是网络设备还是网络线路，都应该考虑冗余备份。不能因为单点故障，而导致整个网络的瘫痪，影响公司业务的正常进行。公司需要通过专线连接外部网络。【需求分析】为了实现网络的高速、高性能、高可靠性还有冗余备份功能，主要用于双核心拓扑结构的网络中。

本实验采用双核心拓扑结构，将三层交换技术和VTP、STP、EthernetChannel 综合运用。【设计方案】 1、在交换机上配置VLAN，控制广播流量 2、配置2台三层交换机之间的EthernetChannel，实现三层交换机之间的高速互通 3、配置VTP，实现单一平台管理VLAN，同时启用修剪，减少中继端口上不必要的广播信息量 4、配置STP，实现冗余备份、负载分担、避免环路 5、在三层交换机上配置VLAN间路由，实现不同VLAN之间互通 6、通过路由连入外网，可以通过静态路由或RIP路由协议【网络拓扑】根据用户对可靠性的要求，我们将网络设计为双核心结构，为了保证高性能，采用双核心进行负载分担。当其中的一台核心交换机出现故障的时候，数据能自动转换到另一台交换机上，起到冗余备份作用。注意：本实验为了测试与外网的连通性，使用一个简单网络

华为三层交换机配置步骤解释

华为三层交换机配置步骤 1. 给交换机划分VLAN Vlan 是虚拟局域网的意思，它相当于一个局域网工作组。“ vlan 几”可以理解成编号为几的vlan ，比如vlan 2 就是编号为 2 的vlan ，只是一个编号而已，并不是说vlan 2 的网段一定要是 2 网段，vlan 2 的IP 地址是可以随便设置的。下面我将三层交换机的第20个端口添加到vlan 10 里，步骤如下： A. 在交换机里添加VLAN 10 system-view （一般用缩写：sys ） [Quidway] vlan 10 （添加编号为10 的vlan ） [Quidway-vlan10] quit （一般缩写：q） B. 设置vlan 10 的IP地址为192.168.66.66 网关为255.255.255.0 [Quidway] interface vlanif 10 （interface 一般可以缩写为：int ；vlanif 也可以只写vlan ） [Quidway-vlanif10] ip address 192.168.66.66 255.255.255.0 （address 缩写add） [Quidway-vlanif10]quit C. 设定交换机上第20个端口模式为access （默认为trunk ，需在将端口划入VLAN前转为ACCES）S [Quidway] int gigabitethernet 0/0/20 （gigabitethernet ：千兆以太网口） [Quidway-GigabitEthernet0/0/20] port link-type access （port ：端口） [Quidway-GigabitEthernet0/0/20]quit D. 将第20个端口加入到vlan 10 里 [Quidway] vlan 10 [Quidway-vlan10] port gigabitethernet 0/0/20 （如果是多个连续端口，用XX to XX ） [Quidway-Vlan10] quit 这样就是成功的将交换机上的第20 个端口添加到了编号为10 的Vlan 里，划分VLAN就是这 4 个步骤， 2 个步骤设置vlan ，2 个步骤设置端口。现在可以用网线把交换机的第20 个端口和电脑网卡连接起来，设置网卡地址为192.168.66.XX ，网关为192.168.66.66 ，在CMD里ping192.168.66.66 可以ping 通。 2. 删除vlan A.在系统视图下，用“ undo int vlan 2 ”命令删除vlan 2 的3层口，这样vlan 2 就没有了，但是划分给vlan 2 的那些端口依然还处于vlan 2 里，这时可以将那些端口释放出来，让他们不再属于任何vlan B.在系统视图下，用“ undo vlan 2 ”命令删除2层口，这个命令可以释放那些原先划分给了vlan 2 的端口，现在它们不属于任何vlan 了。当然，将交换机上的某个端口更换到某个vlan 里，是可以直接在vlan 视图里添加端口的。注意：交换机上的某个端口被设置成了access 模式，且加入了一个vlan ，要想将这个端口的模式更改为trunk ，直接在端口视图里打上“ port link-type trunk ”是不行的，会出现Error: Please renew the default configurations. 这时需要先从VLAN里删除这个端口，也就是前面说的让这个端口不属于任何vlan ，才能将这个端口设置为trunk 。 3. 通过端口进行限速现在要对交换机上的第 2 个端口进行限速操作，让通过这个端口的下载速度不超过128KB/S 配置命令说明： Inbound：对入端口报文进行限速 Outbound：对出端口报文进行限速 sys [Quidway] int gigabitethernet 0/0/2 [Quidway-GigabitEthernet0/0/2] qos lr outbound cir 1024 cbs 204800 （1024代表1M的带宽，理论下载速度就是128KB/S,204800=1024*200 ，cbs 代表

H3C三层交换机配置命令

H3C三层交换机配置命令 [Quidway]dis cur ；显示当前配置[Quidway]display current-configuration ；显示当前配置[Quidway]display interfaces ；显示接口信息[Quidway]display vlan all ；显示路由信息[Quidway]display version ；显示版本信息 [Quidway]super password ；修改特权用户密码 [Quidway]sysname ；交换机命名[Quidway]interface ethernet 0/1 ；进入接口视图 [Quidway]interface vlan x ；进入接口视图[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ；配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ；静态路由＝网关 [Quidway]rip ；三层交换支持 [Quidway]local-user ftp 增加用户名 [Quidway]user-interface vty 0 4 ；进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password ；设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple 222 ；设置口令 [S3026-ui-vty0-4]user privilege level 3 ；用户级别 [Quidway]interface ethernet 0/1 ；进入端口模式 [Quidway]int e0/1 ；进入端口模式 [Quidway-Ethernet0/1]duplex {half|full|auto} ；配置端口工作状态 [Quidway-Ethernet0/1]speed {10|100|auto} ；配置端口工作速率 [Quidway-Ethernet0/1]flow-control ；配置端口流控 [Quidway-Ethernet0/1]mdi {across|auto|normal} ；配置端

三层交换机配置实例

---------------------------------------------------------------最新资料推荐------------------------------------------------------ 三层交换机配置实例三层交换综合实验一般来讲，设计方案中主要包括以下内容：用户需求需求分析使用什么技术来实现用户需求设计原则拓扑图设备清单一、模拟设计方案【用户需求】 1. 应用背景描述某公司新建办公大楼，布线工程已经与大楼内装修同步完成。现公司需要建设大楼内部的办公网络系统。大楼的设备间位于大楼一层，可用于放置核心交换机、路由器、服务器、网管工作站、电话交换机等设备。在每层办公楼中有楼层配线间，用来放置接入层交换机与配线架。目前公司工程部 25 人、销售部 25人、发展部 25 人、人事部 10 人、财务部加经理共 15 人。 2. 用户需求为公司提供办公自动化、计算机管理、资源共享及信息交流等全方位的服务，目前的信息点数大约 100 个，今后有扩充到 200 个的可能。公司的很多业务依托于网络，要求网络的性能满足高效的办公要求。同时对网络的可靠性要求也很高，要求在办公时间内，网络不能宕掉。 1 / 14

因此，在网络设计过程中，要充分考虑到网络设备的可靠性。同时，无论是网络设备还是网络线路，都应该考虑冗余备份。不能因为单点故障，而导致整个网络的瘫痪，影响公司业务的正常进行。公司需要通过专线连接外部网络。【需求分析】为了实现网络的高速、高性能、高可靠性还有冗余备份功能，主要用于双核心拓扑结构的网络中。本实验采用双核心拓扑结构，将三层交换技术和 VTP、 STP、EthernetChannel综合运用。【设计方案】 1、在交换机上配置 VLAN，控制广播流量 2、配置 2 台三层交换机之间的 EthernetChannel，实现三层交换机之间的高速互通 3、配置 VTP，实现单一平台管理 VLAN，同时启用修剪，减少中继端口上不必要的广播信息量 4、配置 STP，实现冗余备份、负载分担、避免环路 5、在三层交换机上配置 VLAN 间路由，实现不同 VLAN 之间互通 6、通过路由连入外网，可以通过静态路由或 RIP 路由协议【网络拓扑】根据用户对可靠性的要求，我们将网络设计为双核心结构，为了保证高性能，采用双核心进行负载分担。当其中的一台核心交换机出现故障的时候，数据能自动转换到另一台交换机上，起到冗余备份作用。注意：本实验为了测试与外网的连通性，使用一个简单网络【设备

S7506E三层交换机配置资料讲解

***************************************************************** ************* * Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved. * * Without the owner's prior written consent, * * no decompiling or reverse-engineering shall be allowed. * ***************************************************************** ************* Login authentication Username:admin Password: <7506E>di cur # version 5.20, Release 6305 # sysname 7506E # domain default enable system # telnet server enable # ip ttl-expires enable ip unreachables enable # port-security enable # loopback-detection enable # mirroring-group 1 local mirroring-group 2 local # switch-mode standard #

rule 0 permit ip source 192.168.128.0 0.0.15.255 rule 1 permit ip source 192.168.160.0 0.0.31.255 acl number 3011 rule 0 permit ip source 192.168.34.0 0.0.0.255 rule 1 permit ip source 192.168.37.0 0.0.0.255 rule 2 permit ip source 192.168.31.0 0.0.0.255 rule 3 permit ip source 192.168.39.0 0.0.0.255 rule 4 permit ip source 192.168.254.0 0.0.0.255 acl number 3500 # vlan 1 # vlan 2 to 2221 # vlan 2222 description wireless_guest # vlan 2223 to 2500 # vlan 3000 description test # vlan 3901 description dianxin ap # vlan 3902 description test # vlan 3985 description dhcp for temp guest meeting supervlan subvlan 36

H3C三层交换机配置实例

H3C三层交换机配置实例 1 网络拓扑图 (1) 2 配置要求 (1) 3划分VLAN并描述 (2) 3.1进入系统视图 (2) 3.2 创建VLAN并描述 (2) 4 给VLAN设置网关 (3) 4.1 VLAN1的IP地址设置 (3) 4.2 VLAN100的网关设置 (3) 4.3 VLAN101的网关设置 (3) 4.4 VLAN102的网关设置 (3) 4.5 VLAN103的网关设置 (4) 5 给VLAN指定端口，设置端口类型 (4) 5.1 VLAN100指定端口 (4) 5.2 VLAN102指定端口 (4) 5.3 VLAN1/101/103指定端口 (5) 6 配置路由协议 (6) 6.1 默认路由 (6) 6.2配置流分类 (6) 6.3 定义行为 (6) 6.4 应用QOS策略 (6) 6.5 接口配置QOS策略 (7)

1 网络拓扑图图1-1 网络拓扑图 2 配置要求用户1网络：172.16.1.0/24 至出口1网络：172.16.100.0/24 用户2网络：192.168.1.0/24 至出口2网络：192.168.100.0/24实现功能：用户1通过互联网出口1，用户2通过互联网出口2。

3划分VLAN并描述 3.1进入系统视图 system-view //进入系统视图图3-1 系统视图 3.2 创建VLAN并描述 [H3C]vlan 1 //本交换机使用 [H3C-vlan1]description Manager //描述为“Manager” [H3C-vlan1]quit [H3C]vlan 100 //划分vlan100 [H3C-vlan100]description VLAN 100 //描述为“VLAN 100”[H3C-vlan100]quit [H3C]vlan 101 //划分vlan101 [H3C-vlan101]description VLAN 101 //描述为“VLAN 101”[H3C-vlan101]quit [H3C]vlan 102 //划分vlan102 [H3C-vlan102]description VLAN 102 //描述为“VLAN 102”[H3C-vlan102]quit [H3C]vlan 103 //划分vlan103 [H3C-vlan103]description VLAN 103 //描述为“VLAN 103”[H3C-vlan103]quit [H3C] 图3-2 划分VLAN及描述

三层交换机基本配置及利用三层交换机实现不同VLAN间通信

实验四三层交换机基本配置及利用三层交换机实现不同VLAN 间通信一、实验名称三层交换机基本配置及VLAN/802.1Q －VLAN 间通信实验。二、实验目的理解和掌握通过三层交换机的基本配置及实现VLAN 间相互通信的配置方法。三、实验内容若企业中有2个部门：销售部和技术部（2个部门PC 机IP 地址在不同网段），其中销售部的PC 机分散连接在2台交换机上，配置交换机使得销售部PC 能够实现相互通信，而且销售部和技术部之间也能相互通信。在本实验中，我们将PC1和PC3分别连接到SwitchA （三层交换机）的F0/5端口和SwitchB 的F0/5端口并划入VLAN 10，将PC2连接到SwitchA （三层交换机）的F0/15端口并划入VLAN 20，SwitchA 和SwitchB 之间通过各自的F0/24端口连接。配置三层交换机使在不同VLAN 组中的PC1、PC2、PC3能相互通信。三、实验拓扑四、实验设备 S3550-24（三层交换机）1台、S2126交换机1台、PC 机3台。五、实验步骤 VLAN/802.1Q －VLAN 间通信: 1．按实验拓扑连接设备，并按图中所示配置PC 机的IP 地址，PC1、PC3网段相同可以通信，但是PC1、PC3和PC2是不同网段的，所以PC2（技术部）不能和另外2台PC 机（销售部）通信。 2．在交换机SwitchA 上创建VLAN 10，并将0/5端口划入VLAN 10中。 SwitchA(config)#vlan 10 ！创建VLAN 10 SwitchA (config-vlan)#name sales ! 将VLAN 10 命名为sales SwitchA (config)#interface f0/5 ！进入F0/5接口配置模式 SwitchA (config-if)#switchport access vlan10 ！将F0/5端口划入VLAN 10 SwitchA #show vlan id 10 ！验证已创建了VLAN 10并已将F0/5端口划入VLAN 10中 PC2

H3C三层交换机配置命令.

H3C三层交换机配置命令技术教程2010-03-01 16:16:53 阅读655 评论0 字号：大中小订阅一、write是cisco的 H3C的保存配置的命令是save 查看保存的配置文件为dis save 查看当前运行的配置是dis cu 清空配置为reset save 需要重启生效重启为reboot 二、system-view：进入配置模式 [Quidway]dis cur ；显示当前配置 [Quidway]display current-configuration ；显示当前配置 [Quidway]display interfaces ；显示接口信息 [Quidway]display vlan all ；显示路由信息 [Quidway]display version ；显示版本信息 [Quidway]super password ；修改特权用户密码 [Quidway]sysname ；交换机命名 [Quidway]interface ethernet 0/1 ；进入接口视图 [Quidway]interface vlan x ；进入接口视图 [Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ；配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ；静态路由＝网关 [Quidway]rip ；三层交换支持 [Quidway]local-user ftp 增加用户名 [Quidway]user-interface vty 0 4 ；进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password ；设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple 222 ；设置口令 [S3026-ui-vty0-4]user privilege level 3 ；用户级别说明：必须要配置虚拟终端用户名、密码等相关信息，否则将无法通过RJ－45端口telnet到交换机。 system-view [Sysname] local-user admin [Sysname-luser-admin] service-type telnet level 3 [Sysname-luser-admin] password simple admin 说明：以上命令用于设置web管理页面的登录用户名和密码，必须要设置上述信息，否则将无法登录到web配置页面。 [Quidway]interface ethernet 0/1 ；进入端口模式 [Quidway]int e0/1 ；进入端口模式 [Quidway-Ethernet0/1]duplex {half|full|auto} ；配置端口工作状态

三层交换机的配置命令

三层交换机的图，如图所示：一．交换机的配置： S2的配置命令： Enable Conf terminal Hostname S2 Switch(config)#vlan 10 Switch(config-vlan)#name stu10 Switch(config-vlan)#vlan 20 Switch(config-vlan)#name stu20 Switch(config)#interface f0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config)#interface f0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 20 Switch(config)#inte f0/24 Switch(config-if)#switchport mode trunk

S3的配置命令： Enable Conf terminal Hostname S3 Switch(config)#vlan 10 Switch(config-vlan)#name stu10 Switch(config-vlan)#vlan 20 Switch(config-vlan)#name stu20 Switch(config)#interface f0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config)#interface f0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 20 Switch(config)#inte f0/24 Switch(config-if)#switchport mode trunk 二．三层交换机的配置命令 Enable Conf terminal Switch(config)#vlan 10 Switch(config-vlan)#vlan 20 Switch(config)#interface f0/1 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk Switch(config)#interface f0/2 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk Switch(config)#interface vlan 10 Switch(config-if)#ip address 192.168.10.254 255.255.255.0 Switch(config-if)#no shutdown

Microsoft Windows安全配置基线

Windows 系统安全配置基线中国移动通信有限公司管理信息系统部 2012年 04月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 1.5例外条款 (5) 第2章帐户管理、认证授权 (6) 2.1帐户 (6) 2.1.1 管理缺省帐户 (6) 2.1.2 按照用户分配帐户* (6) 2.1.3 删除与设备无关帐户* (7) 2.2口令 (7) 2.2.1密码复杂度 (7) 2.2.2密码最长留存期 (8) 2.2.3帐户锁定策略 (8) 2.3授权 (8) 2.3.1远程关机 (8) 2.3.2本地关机 (9) 2.3.3用户权利指派* (9) 2.3.4授权帐户登陆* (10) 2.3.5授权帐户从网络访问* (10) 第3章日志配置操作 (11) 3.1日志配置 (11) 3.1.1审核登录 (11) 3.1.2审核策略更改 (11) 3.1.3审核对象访问 (11) 3.1.4审核事件目录服务器访问 (12) 3.1.5审核特权使用 (12) 3.1.6审核系统事件 (13) 3.1.7审核帐户管理 (13) 3.1.8审核过程追踪 (13) 3.1.9日志文件大小 (14) 第4章IP协议安全配置 (15) 4.1IP协议 (15) 4.1.1启用SYN攻击保护 (15) 第5章设备其他配置操作 (17) 5.1共享文件夹及访问权限 (17) 5.1.1关闭默认共享 (17)

5.1.2共享文件夹授权访问* (17) 5.2防病毒管理 (18) 5.2.1数据执行保护 (18) 5.3W INDOWS服务 (18) 5.3.1 SNMP服务管理 (18) 5.3.2系统必须服务列表管理* (19) 5.3.3系统启动项列表管理* (19) 5.3.4远程控制服务安全* (19) 5.3.5 IIS安全补丁管理* (20) 5.3.6活动目录时间同步管理* (20) 5.4启动项 (21) 5.4.1关闭Windows自动播放功能 (21) 5.5屏幕保护 (21) 5.5.1设置屏幕保护密码和开启时间* (21) 5.6远程登录控制 (22) 5.6.1限制远程登陆空闲断开时间 (22) 5.7补丁管理 (23) 5.7.1操作系统补丁管理* (23) 5.7.2操作系统最新补丁管理* (23) 第6章评审与修订 (24)

举例讲解H3C配置三层交换机4个步骤详细用法

举例讲解H3C配置三层交换机4个步骤详细用法配置三层交换机的四个步骤：第一步：划分VLAN，并描述；第二步：给VLAN划网关；第三步：给VLAN指定端口；第四步：配置路由协议。举例讲解H3C配置三层交换机4个步骤详细用法，配置三层交换机通用的四个步骤就是：划分VLAN，并描述；给VLAN划网关；给VLAN指定端口；配置路由协议；学会这几个步骤之后就能解决所有的配置三层交换机的问题。 language-modechinese//切换到中文模式 system-view//进入系统视图 [H3C]displaycurrent-configuration//显示当前配置三层交换机 //以下开始配置三层交换机配置三层交换机第一步：划分VLAN，并描述 vlan1 description local-s3600//本交换机使用 # vlan2 description link-to-shanxicentre//陕西省中心 # vlan3 description link-to-shangjiecentre//商界分中心内部使用 # vlan4 description link-to-shangdongsuo//商东所 # vlan5 description link-to-shangnansuo//商南所配置三层交换机第二步：给VLAN划网关 # interfaceVlan-interface2 description linktoshanxicentre ipaddress 10.61.242.110 255.255.255.252//省中心指定广域网关、子网掩码 # interfaceVlan-interface3

华为USG防火墙和H3C三层交换机设备组网配置简述.docx

一.USG6350防火墙 1.根据设置向导配置完毕即可正常上网。 2.增加策略路由-（影响外网端口） 3.增加静态路由（目的是让哪个网段上网）内网地址的下一跳是三层交换机与防火墙连接的端口地址 4.对指定服务器进行端口映射

5.对指定网段进行限速，保证服务器有可靠的带宽，不至于被其他网段抢占全部带宽。本项目全部带宽是100M，因为有一个无线网，限定无线网最大占用50M （1）新建一个带宽通道（2）指定网段应用于带宽通道的策略规则二、三层交换机-H3C-S5800-32C 现场需求是有办公电脑，服务器、视频服务器，计划分成4个网段，分别为172.26.11.0/172.26.12.0/172.26.13.0/172.26.14.0/ 14段备用。规划：VLAN100为172.26.10.253 port1-2 与防火墙172.26.10.254 连接 VLAN101为172.26.11.254 port 3-8 与服务器连接 VLAN102为172.26.12.254 port 9-12 与客户机连接 VLAN103为172.26.13.254 port 13-18 与视频服务器连接 VLAN104为172.26.14.254 port 19-24 备用 1.笔记本连接三层交换机配置口，进入命令行配置模式简述步骤：（1）设备改名创建用户和密码（2）创建VLAN，指定某端口属于这个VLAN （3）指定每个VLAN的网关（4）增加一条路由 2.Sys

Sysname H3C-5800 telnet server enable Local-user admin Password cipher #####（此处#是输入密码） Authorization-attribute level 3 Service-type ssh telnet VLAN 100 Port G1/0/1 TO G1/0/2 Quit Vlan 101 Port g1/0/3 to g1/0/8 Quit VLAN 102 Port G1/0/9 TO G1/0/12 Quit Vlan 103 Port g1/0/13 to g1/0/18 Quit Vlan 104 Port g1/0/19 to g1/0/24 Quit Interface Vlan-interface 100 Ip address 172.26.10.253 255.255.255.0 Quit Interface Vlan-interface 101 Ip address 172.26.11.254 255.255.255.0 Quit Interface Vlan-interface 102 Ip address 172.26.12.254 255.255.255.0 Quit Interface Vlan-interface 103 Ip address 172.26.13.254 255.255.255.0 Quit Interface Vlan-interface 104 Ip address 172.26.14.254 255.255.255.0 Quit Ip route-static 0.0.0.0 0.0.0.0 172.26.10.254 Dhcp enable(开通dhcp) Dhcp server ip-pool 9 Network 172.26.12.0 mask 255.255.255.0 Gateway-list 172.26.12.254 Dns-list 8.8.8.8(根据实际修改) Quit 红色字体为9口开通DHCP，可根据实际需求

三层交换机配置ACL(访问控制列表)

三层交换机配置ACL（访问控制列表）说明：书本上讲述的ACL主要是应用在路由器上，但现在三层交换机在大中型企业中的应用越来越广泛，三层交换机因拥有路由器的功能而逐渐代替路由器。ACL访问控制列表是构建安全规范的网络不可缺少的，但在三层交换机上配置ACL却不为一些刚进企业的初级网络管理维护人员所知。在这里我介绍一下在三层交换机上配置ACL的试验过程。试验拓扑介绍：三层交换机上配置本地Vlan 实现下层接入层交换机不同Vlan互通。 PC1 192.168.20.10 VLAN 192.168.20.1 PC2 192.168.30.20 VLAN 192.168.30.1 PC3 192.168.40.30 VLAN 192.168.40.1 PC4 192.168.50.40 VLAN 192.168.50.1 F0/1 192.168.70.2 （开启路由功能）路由器上配置 F0/0 192.168.60.1 PC5 192.168.60.50 F0/1 192.168.70.1 试验步骤： 1、在二层交换机上把相应的PC加入VLAN 查看交换机Switch0 Switch0(config)#show run ！ interface FastEthernet0/1

switchport access vlan 2 ! interface FastEthernet0/2 switchport access vlan 3 ! 查看交换机Switch1 Switch1#show run ! interface FastEthernet0/3 switchport access vlan 4 ! interface FastEthernet0/4 switchport access vlan 5 ! 2、在三层交换机上配置相应的本地VALN Switch(config)#inter vl 2 Switch(config-if)#ip add 192.168.20.1 255.255.255.0 Switch(config-if)#no shut Switch(config)#inter vl 3 Switch(config-if)#ip add 192.168.30.1 255.255.255.0 Switch(config-if)#no shut Switch(config)#inter vl 4 Switch(config-if)#ip add 192.168.40.1 255.255.255.0 Switch(config-if)#no shut Switch(config)#inter vl 5 Switch(config-if)#ip add 192.168.50.1 255.255.255.0 Switch(config-if)#no shut Switch(config-if)#exi 在接口itnerface f0/1上开启路由接口 Switch(config)#inter f0/1 Switch(config-if)#no switchport 3、在二层交换机和三层交换机之间开启中继链路 4、在路由器和三层交换机上配置动态路由协议RIP Router（config）#router rip Router（config）#network 192.168.60.0 Router（config）# network 192.168.70.0 三层交换机上配置 Switch(config)#router rip Switch(config-router)#ne Switch(config-router)#network 192.168.70.0 Switch(config-router)#network 192.168.20.0 Switch(config-router)#network 192.168.30.0 Switch(config-router)#network 192.168.40.0 Switch(config-router)#network 192.168.50.0 Switch(config-router)# 5、验证各PC互通 PC>ping 192.168.30.20 Pinging 192.168.30.20 with 32 bytes of data: Request timed out.

信息安全配置基线(整理)

Win2003 & 2008操作系统安全配置要求 2.1. 帐户口令安全帐户分配：应为不同用户分配不同的帐户，不允许不同用户间共享同一帐户。帐户锁定：应删除或锁定过期帐户、无用帐户。用户访问权限指派：应只允许指定授权帐户对主机进行远程访问。帐户权限最小化：应根据实际需要为各个帐户分配最小权限。默认帐户管理：应对Administrator帐户重命名，并禁用Guest（来宾）帐户。口令长度及复杂度：应要求操作系统帐户口令长度至少为8位，且应为数字、字母和特殊符号中至少2类的组合。口令最长使用期限：应设置口令的最长使用期限小于90天。口令历史有效次数：应配置操作系统用户不能重复使用最近 5 次（含 5 次）已使用过的口令。口令锁定策略：应配置当用户连续认证失败次数为 5次，锁定该帐户30分钟。 2.2. 服务及授权安全服务开启最小化：应关闭不必要的服务。 SNMP服务接受团体名称设置：应设置SNMP接受团体名称不为public或弱字符串。系统时间同步：应确保系统时间与NTP服务器同步。 DNS服务指向：应配置系统DNS指向企业内部DNS服务器。 2.3. 补丁安全系统版本：应确保操作系统版本更新至最新。补丁更新：应在确保业务不受影响的情况下及时更新操作系统补丁。 2.4. 日志审计日志审核策略设置：应合理配置系统日志审核策略。日志存储规则设置：应设置日志存储规则，保证足够的日志存储空间。日志存储路径：应更改日志默认存放路径。日志定期备份：应定期对系统日志进行备份。 2.5. 系统防火墙：应启用系统自带防火墙，并根据业务需要限定允许通讯的应用程序或端口。 2.6. 防病毒软件：应安装由总部统一部署的防病毒软件，并及时更新。 2.7. 关闭自动播放功能：应关闭 Windows 自动播放功能。 2.8. 共享文件夹删除本地默认共享：应关闭 Windows本地默认共享。共享文件权限限制：应设置共享文件夹的访问权限，仅允许授权的帐户共享此文件夹。 2.9. 登录通信安全禁止远程访问注册表：应禁止远程访问注册表路径和子路径。登录超时时间设置：应设置远程登录帐户的登录超时时间为30 分钟。限制匿名登录：应禁用匿名访问命名管道和共享。

华为三层交换机配置方法及命令

Enable //进入私有模式 Configure terminal //进入全局模式 service password-encryption //对密码进行加密 hostname Catalyst 3550-12T1 //给三层交换机定义名称 enable password 123456. //enable密码 Enable secret 654321 //enable的加密密码（应该是乱码而不是654321这样） Ip subnet-zero //允许使用全0子网（默认都是打开的） Ip name-server 172.16.8.1 172.16.8.2 //三层交换机名字Catalyst 3550-12T1对应的IP地址是172.16.8.1 Service dhcp //提供DHCP服务 ip routing //启用三层交换机上的路由模块 Exit Vtp mode server //定义VTP工作模式为sever模式 Vtp domain centervtp //定义VTP域的名称为centervtp Vlan 2 name vlan2 //定义vlan并给vlan取名（如果不取名的话，vlan2的名字应该是vlan002） Vlan 3 name vlan3 Vlan 4 name vlan4 Vlan 5 name vlan5 Vlan 6 name vlan6 Vlan 7 name vlan7 Vlan 8 name vlan8 Vlan 9 name vlan9 Exit interface Port-channel 1 //进入虚拟的以太通道组1 Interface gigabitethernet 0/1 //进入模块0上的吉比特以太口1 channel-group 1 mode on //把这个接口放到快速以太通道组1中 Interface gigabitethernet 0/2 //同上channel-group 1 mode on port-channel load-balance src-dst-ip //定义快速以太通道组的负载均衡方式（依靠源和目的IP的方式）

三层交换机基本配置

三层交换机基本配置【实验名称】三层交换机端口配置【实验目的】配置开启三层交换机的三层功能，实现路由作用。【背景描述】为了隔离广播域而划分了VLAN，但不同的VLAN之间需要通信，本实验将实现这一功能。即同一VLAN里的计算机能跨交换机通信，不同VLAN里的计算机系统也能互相通信。【技术原理】三层交换机是在二层交换的基础上实现了三层的路由功能。三层交换机基于“一次路由，多次交换”的特性，在局域网环境中转发性能远远高于路由器。而且三层交换机同时具备二层的功能，能和二层交换机进行很好的数据转发。三层交换机的以太网接口要比一般的路由器多很多，更加适合多个局域网段之间的互联。三层交换机本身默认开启了路由功能，可利用IP Routing命令进行控制。【实验设备】 S3350（一台），PC机（两台）。【实验拓扑】

注意：先连线，在进行配置，注意连接线缆的接口编号。S3350为三层交换机。【实验步骤】步骤一开启三层交换机的路由功能： Switch>enable //进程特权模式 Switch #configure terminal //进入全局模式 Switch (config)#hostname s3350-24 S3350-24 (config)#ip routing //开启三层交换机的路由功能步骤二配置三层交换机端口的路由功能： S3350-24>enable //进入特权模式 S3350-24#configure terminal //进入全局模式 S3350-241 (config)#interface fastethernet 0/2 //进入fa0/2端口 S3350-24 (config-if)#no switchport //开启端口的三层路由功能 S3350-24 (config-if)#ip address 192.168.5.254 255.255.255.0 //配置ip地址S3350-24 (config-if)#no shutdown //启用端口，使其转发数据