H3C交换机安全配置基线

H3C三层交换机安全配置规范4.1管理平面安全配置4.1.1管理口防护4.1.1.1关闭未使用的管理口项目编号NOMD-2013-SC-H3C(L3SW)-01-01-01-v1配置说明设备应关闭未使用的管理口（AUX、或者没开启业务的端口）。

重要等级高配置指南1、参考配置操作#interface Ten-GigabitEthernet0/1 //进入端口视图shutdown //执行shutdown命令，关闭端口#检测方法及判定依据1、符合性判定依据端口关闭，不能使用。

2、参考检测方法通过网线或光纤（视具体接口不同），将此端口与PC或其他设备未关闭的端口互连，该端口指示灯灭，且PC或其他设备没有网卡UP的提示信息。

备注4.1.1.2配置console口密码保护项目编号NOMD-2013-SC-H3C(L3SW)-01-01-02-v1配置说明设备应配置console口密码保护重要等级高配置指南1、参考配置操作[H3C]user-interface console 0[ H3C-ui-console0] authentication-mode password[ H3C-ui-console0] set authentication password cipher xxxxxxxx检测方法及判定依据1、符合性判定依据通过console口，只有输入正确密码才能进入配置试图2、参考检测方法PC用Console线连接设备Console口，通过超级终端等配置软件，在进入设备配置视图时，提示要求输入密码。

备注4.1.2账号与口令4.1.2.1避免共享账号项目编号NOMD-2013-SC-H3C(L3SW)-01-02-01-v1配置说明应对不同的用户分配不同的账号，避免不同用户间账号共享。

重要等级中配置指南1、参考配置操作local-user user1service-type telnetuser privilede level 2#local-user user2service-type ftpuser privilede level 3#2、补充操作说明1、user1和user2是两个不同的账号名称，可根据不同用户，取不同的名称，建议使用：姓名的简写＋手机号码；2、避免使用h3c、admin等简单易猜的账号名称；检测方法及判定依据1、符合性判定依据各账号都可以正常使用，不同用户有不同的账号。

H3C-5120交换机安全设置一、安全设置概述H3C-5120交换机是一种功能丰富且常用的网络设备，但在网络环境中，安全性是至关重要的。

本文档旨在提供关于H3C-5120交换机安全设置的详细指南，以确保网络的安全性和稳定性。

二、物理安全设置1. 安全的位置安装交换机：H3C-5120交换机应该被安装在物理上安全的位置，避免被未授权的人员操作或恶意存取。

2. 限制访问：交换机的机柜应该配备可靠的锁，只开放给授权人员，以确保物理访问的安全性。

三、管理安全设置1. 管理口安全：交换机的管理口应只开放给授权的管理人员，禁止其他用户访问。

2. 密码设置：对于管理员账户和特权模式账户，应设置强密码，并定期更换。

3. 远程访问控制：限制远程访问交换机的IP地址和登录方式，仅允许授权的主机和用户访问。

四、网络安全设置1. VLAN划分：使用VLAN划分将不同的网络隔离开来，以增加网络的安全性。

2. ACL设置：通过配置访问控制列表（ACL），限制对交换机的某些服务或端口的访问权限，防止未经授权的访问和攻击。

3. 网络隔离：为敏感数据和重要设备建立独立的网络，禁止普通访问，以增强网络的安全性。

4. 安全升级：定期检查和安装最新的固件升级，以修补已知的安全漏洞，确保交换机的安全性。

五、日志和监控设置1. 日志配置：启用交换机的日志功能，并设置合适的日志级别，以便追踪和分析安全事件和故障。

2. 告警设置：配置告警，以便在出现异常情况时及时通知管理员，以便采取相应的措施。

3. 安全监控：使用网络安全工具对交换机进行实时监控，以及时发现和阻止任何潜在的安全威胁。

六、更新和维护1. 定期备份：定期备份交换机的配置文件，以防止数据丢失或设备故障时进行恢复。

2. 系统更新：定期检查和更新交换机的操作系统，以确保安全补丁和功能更新的及时安装。

七、培训和教育1. 培训管理人员：对交换机安全设置进行培训，使其了解和掌握最佳实践。

2. 用户教育：对网络用户进行安全意识教育，包括密码安全、远程访问规范和网络行为规范等。

X X银行H3C交换机系列安全配置基线(V1.0)目录1适用声明 (2)2访问控制 (3)2.1远程连接源地址限制 (21)3安全审计 (3)3.1开启设备的日志功能 (6)4入侵防范 (7)4.1配置防ARP欺骗攻击 (7)4.2配置常见的漏洞攻击和病毒过滤功能 (4)4.3配置ACL规则 (3)5网络设备防护 (8)5.1限制管理员远程直接登录 (8)5.2连接空闲时间设定 (9)5.3远程登陆加密传输 (10)5.4配置CONSOLE口密码保护功能和连接超时 (11)5.5按照用户分配账号 (12)5.6删除设备中无用的闲置账号 (13)5.7修改设备上存在的弱口令 (13)5.8配置和认证系统联动功能 (14)配置和认证系统联动功能 (14)5.9配置NTP服务 (15)5.10修改SNMP的COMMUNITY默认通行字 (16)5.11使用SNMPV2或以上版本 (17)5.12设置SNMP的访问安全限制 (18)5.13系统应关闭未使用的SNMP协议及未使用RW权限 (19)5.14关闭不必要的服务 (19)5.15配置防源地址欺骗攻击 (20)5.16禁止设备未使用或者空闲的端口 (21)1 适用声明2 访问控制2.1配置ACL规则3 安全审计3.1开启设备的日志功能4 入侵防范5 网络设备防护5.2连接空闲时间设定5.3远程登陆加密传输5.4配置console口密码保护功能和连接超时5.6删除设备中无用的闲置账号5.7修改设备上存在的弱口令5.8配置和认证系统联动功能5.9配置NTP服务5.10修改SNMP的community默认通行字5.11使用SNMPV2或以上版本5.12设置SNMP的访问安全限制5.13系统应关闭未使用的SNMP协议及未使用RW权限5.14关闭不必要的服务5.17远程连接源地址限制。

H3C交换机与路由器的基本配置交换机的基本配置:传统的基于集线器的局域网中所有的站点都处于同一个“冲突域”中，这里的“冲突域”是.指CSMA/CD算法中每个站点所监听的网络范围。

处于同一个冲突域中的站点在任意时刻只能有一个站点占用信道，这意味着传统以太网的带宽被各个站点在统计意义上均分的，这决定了传统形式的以太网不具有可伸缩性。

局域网交换机可以让通信的双方拥有一条不受干扰的信道，当一个站点想发送一802.3帧是，他就向交换机发送一标准帧，交换机通过检查帧头的目的地址并将此帧通过高速背板总线从连接目的站点的端口发出。

高速背板总线的设计可以保证同时通信的若干站点互不影响。

对交换机的配置有多中方法:通过Console口，通过telnet等。

用Console口对交换机进行配置是最常用的方法，也是对没有经过任何配置的交换机进行配置单唯一途径，配置过程如下:1(用Console电缆把交换机和PC机进行连接，RJ—45的一端插在交换机的Console口，另一端与计算机的串口相连。

2(在PC机上打开超级终端应用程序建立与交换机的连接，在PC上点击开始，以此选择程序，附件，通讯，单击“超级终端”，弹出“连接描述”对话框，在名称框输入名称并在图标框选择一个图标(名称和图标可以自由设置，不会影响对交换机的配置)，然后点击确定，弹出COM1属性对话框，设置波特率为:9600 数据位为:8 奇偶效验为:无停止位为:1 流量控制为:无，点击“确定”，进入配置编辑窗口。

3(在编辑窗口对交换机进行配置在缺省模式下我们进入交换机是处在用户视图下4(恢复交换机的缺省配置在用户试图下首先使用以下命令<Quidway>reset saved—configuration 清空配置<Quidway>reboot 重启交换机5(VLAN配置:<Quidway>system-view 进入系统试图[Quidway]valn 2 交换机默认所有的端口都属于valn 1,vlan 1既不能创建也不能删除[Quidway-vlan2]port ethernet 0/10 to ethernet 0/12 把以太端口10到12加入到vlan2[Quidway-vlan2]display current-configuration 查看配置信息配置了vlan之后，处于不同vlan的主机不能直接通讯，vlan具有隔离网络的作用，从而实现网络安全。

H3C核心交换机配置H3C核心交换机配置H3C每年将销售额的15%以上用于研发投入，在中国的'北京、杭州和深圳设有研发机构，在北京和杭州设有可靠性试验室以及产品鉴定测试中心。

以下是店铺整理的关于H3C核心交换机配置，希望大家认真阅读!1、核心交换机新建用户admin密码admin@h3c，并关联远程登录服务，如telnet web网页登录、ssh远程登录。

并开启telnet、web登录服务、ftp服务#local-user adminpassword cipher admin@h3cauthorization-attribute level 3service-type telnetservice-type ftpservice-type web#telnet server enable#ip http enable#user-interface vty 0 15authentication-mode scheme2、如需新增vlan网段，先新建对应vlan，新建网关、把网线口加入到此vlan，这里例举新增vlan11，网关172.30.162.1/24,把0/0/27-0/0/28口添加到vlan162#vlan 162port GigabitEthernet 0/0/27 to GigabitEthernet 0/0/28#interface Vlan-interface162ip address 172.30.162.1 255.255.255.03、开启DHCP自动获取功能，此功能一般只需要在核心交换机上开启，比如这里开启vlan162网段的DHCP功能，并禁止分配172.30.162.1-100#dhcp server ip-pool 162network 172.30.162.0 mask 255.255.255.0gateway-list 172.30.162.1dns-list 88.0.0.216 88.0.0.218#dhcp enable#dhcp server forbidden-ip 172.30.162.1 172.30.162.100关闭192.168.11.0网段的DHCP自动获取功能#undo dhcp server ip-pool 114、下联交换机口必须配置成trunk口，并允许所有vlan通过，比如2槽位板卡，开启trunk配置，这里例举2/0/1和2/0/2口要下接接入交换机#interface GigabitEthernet2/0/1port link-type trunkport trunk permit vlan 10 20 30 40 50 80 162 500 1000#interface GigabitEthernet2/0/2port link-type trunkport trunk permit vlan 10 20 30 40 50 80 162 500 10005、查看交换机端口使用情况，可查看端口激活状态up或者DOWN，端口工作速率，端口模式，端口对应的vlan号dis interface briefThe brief information of interface(s) under route mode: Link: ADM - administratively down; Stby - standbyProtocol: (s) - spoofingInterface Link Protocol Main IP DescriptionM-E0/0/0 DOWN DOWN --NULL0 UP UP(s) --Vlan1 UP UP --Vlan10 UP UP 192.168.10.1 POSVlan20 UP UP 192.168.20.1 KELIUVlan30 UP UP 192.168.30.1 MENJINVlan40 UP UP 192.168.40.1 TINGCHECHANGVlan50 UP UP 172.15.0.1 KEYONG-WIFI-IPVlan80 UP UP 192.168.80.1 OFFICE-WIFI-IPVlan162 UP UP 172.30.162.1 OFFICEVlan500 UP UP 192.168.60.1 AP-IPVlan1000 UP UP 172.16.100.1 MANGENT&TO-F100-E-G Vlan1101 UP UP 11.1.1.2 TO-CISCO-11.1.1.1Vlan1102 UP UP 11.1.1.6 TO-CISCO-11.1.1.5The brief information of interface(s) under bridge mode: Link: ADM - administratively down; Stby - standbySpeed or Duplex: (a)/A - auto; H - half; F - fullType: A - access; T - trunk; H - hybridInterface Link Speed Duplex Type PVID DescriptionBAGG1 UP 2G(a) F(a) A 1000 TO-F100-E-GBAGG2 UP 2G(a) F(a) T 1 WLAN-COTROLGE0/0/1 DOWN auto A T 1GE0/0/2 DOWN auto A T 1GE0/0/3 DOWN auto A T 16、查看各个vlan所有在线电脑ip，可通过命令查看在线ip地址-mac地址-学习来源(所接端口)，下面列举查看管理vlan 1000网段交换机在线情况，可以看到下列ip的交换机都在正常工作，都在线dis arp vlan 1000Type: S-Static D-Dynamic M-MultiportIP Address MAC Address VLAN ID Interface Aging Type172.16.100.36 5cdd-703f-6e50 1000 GE0/0/13 18 D172.16.100.14 7425-8aef-811a 1000 GE0/0/13 13 D172.16.100.37 e468-a38e-ee5b 1000 GE0/0/14 3 D172.16.100.2 70ba-ef69-4adf 1000 BAGG1 3 D172.16.100.3 70f9-6d0d-e4d6 1000 BAGG2 15 D【H3C核心交换机配置】。

H3C交换机端口安全模式配置H3C交换机端口安全模式配置用户网络访问控制是我们在进行网络管理和网络设备配置时经常要用到一项网络技术应用。

其实在用户的网络访问控制方面，最直接、最简单的方法就是配置基于端口的安全模式，不仅Cisco交换机如此，H3C交换机也有类似的功能，而且看起来功能更加强大。

下面跟yjbys 店铺一起来学习一下H3C以太网交换机端口安全模式配置方法！在H3C以太网交换机上可配置的端口安全模式总体来说是可分为两大类：控制MAC地址学习类和认证类。

控制MAC地址学习类无需对接入用户进行认证，但是可以允许或者禁止自动学习指定用户MAC 地址，也就是允许或者禁止把对应MAC地址添加到本地交换机的MAC地址表中，通过这种方法就可以实现用户网络访问的控制。

认证类则是利用MAC地址认证或IEEE 802.1X认证机制，或者同时结合这两种认证来实现对接入用户的网络访问控制。

配置了安全模式的H3C以太网交换机端口，在收到用户发送数据报文后，首先在本地MAC地址表中查找对应用户的MAC地址。

如果该报文的源MAC地址已经在本地交换机中的MAC地址表中则直接转发该报文，否则根据端口所在安全模式进行相应的处理，并在发现非法报文后触发端口执行相应的安全防护特性。

在H3C以太网交换机中可配置的端口安全模式及各自的工作原理如下。

1. autoLearn模式与secure模式在autoLearn(自动学习)端口安全模式下，可通过手工配置，或动态学习MAC地址，此时得到的MAC地址称为Secure MAC(安全MAC地址)。

在这种模式下，只有源MAC为Secure MAC的报文才能通过该端口;但在端口下的Secure MAC地址表项数超过端口允许学习的最大安全MAC地址数后，该端口也不会再添加新的Secure MAC，并且端口会自动转变为Secure模式。

如果直接将端口安全模式设置为Secure模式，则将立即禁止端口学习新的MAC地址，只有源MAC地址是原来已在交换机上静态配置，或者已动态学习到的MAC地址的报文才能通过该端口转发。