① 华三交换机基线配置
H3C交换机安全配置基线H3C交换机安全配置基线(Version 1.0)2012年12月1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (4)7.3 认证管理 (5)7.3.1 RADIUS认证(可选) (5)7.4 日志审计 (6)7.4.1 RADIUS记账(可选) (6)7.4.2 启用信息中心 (6)7.4.3 远程日志功能 (7)7.4.4 日志记录时间准确性 (7)7.5 协议安全 (7)7.5.1 BPDU防护 (8)7.5.2 根防护 (8)7.5.3 VRRP认证 (8)7.6 网络管理 (9)7.6.1 SNMP协议版本 (9)7.6.2 修改SNMP默认密码 (9)7.6.3 SNMP通信安全(可选) (10)7.7 设备管理 (10)7.7.1 交换机带内管理方式 (10)7.7.2 交换机带内管理通信 (11)7.7.3 交换机带内管理超时 (11)7.7.4 交换机带内管理验证 (12)7.7.5 交换机带内管理用户级别 (12)7.7.6 交换机带外管理超时 (13)7.7.7 交换机带外管理验证 (13)7.8 端口安全 (13)7.8.1 使能端口安全 (13)7.8.2 端口MAC地址数 (14)7.8.3 交换机VLAN划分 (14)7.9 其它 (15)7.9.1 交换机登录BANNER管理 (15)7.9.2 交换机空闲端口管理 (15)7.9.3 禁用版权信息显示 (16)附录A 安全基线配置项应用统计表 (17)附录B 安全基线配置项应用问题记录表 (19)
附录C 中国石油NTP服务器列表 (20)1 引言本文档规定了中国石油使用的H3C系列交换机应当遵循的交换机安全性设置标准,是中国石油安全基线文档之一。本文档旨在对信息系统的安全配置审计、加固操作起到指导性作用。本文档主要起草人:靖小伟、杨志贤、张志伟、滕征岑、裴志宏、刘磊、叶铭、王勇、吴强。2 适用范围本文档适用于中国石油使用的H3C系列交换机,明确了H3C系列交换机在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。3 缩略语TCP Transmission Control Protocol 传输控制协议UDP User Datagram Protocol 用户数据报协议SNMP Simple Network Management Protocol 简单网络管理协议ARP Address Resolution Protocol 地址解析协议VLAN Virtual LAN 虚拟局域网STP Spanning Tree Protocol 生成树协议RSTP Rapid Spanning Tree Protocol 快速生成树协议MSTP Multiple Spanning Tree Protocol 多生成树协议BPDU Bridge Protocol Data Unit 桥接协议数据单元VRRP Virtual Router Rendancy Protocol 虚拟路由器冗余协议NTP Network Time Protocol 网络时间协议AAA Authentication,Authorization,Accounting 认证,授权,记账GCC General Computer Controls 信息系统总体控制SBL Security Base Line 安全基线4 安全基线要求项命名规则安全基线要求项是安全基线的最小单位,每一个安全基线要求项对应一个基本的可执行
的安全规范明细,安全基线要求项命名规则为“安全基线–一级分类–二级分类–类型编号–明细编号”,如SBL-Switch-H3C-01-01,代表“安全基线–交换机– H3C –账号类–运维账号共享管理“。5 文档使用说明1> 随着信息技术发展,路由器与交换机在功能上逐渐融合,具有共同点,部分路由器上配有交换板卡,可以实现服务器与终端计算机接入;部分交换机配有路由引擎,可以实现路由功能。虽然两者具有一定共同点,但从路由器与交换机在生产环境中的应用定位出发,本系列文档分为路由器安全基线(侧重于路由协议等)和交换机安全基线(侧重于局域网交换与端口安全等)。2> H3C交换机可以通过命令行、Web、NMS等多种方式管理,本文档中涉及的操作,均在命令行下完成。3> 命令行中需要用户定义的名称与数值,文档中均以<>标出,用户根据需要自行定义。例如local-user ,表示创建账号名称为name1的本地用户,password cipher < password1>,表示本地用户name1的密码为passowrd1。4> 由于各信息系统对于H3C系列交换机的要求不尽相同,因此对于第7章安全配置要求中的安全基线要求项,各信息系统根据实际情况选择性进行配置,并填写附录A《安全基线配置项应用统计表》。5> 在第7章安全配置要求中,部分安全基线要求项提供了阈值,如“交换机带内管理设置登录超时,超时时间不宜设置过长,参考值为5分钟。”,此阈值为参考值,通过借鉴GCC、中国石油企标、国内外大型企业信息安全最佳实践等资料得出。各信息系统如因业务需求无法应用此阈值,在附录A《安全基线配置项应用统计表》的备注项进行说明。6 注意事项由于H3C系列交换机普遍应用于重要生产环境,对于本文档中安全基线要求项,实施前需要在测试环境进行验证后应用。在应用安全基线配置项的过程中,如遇到技术性问题,填写附录B《安全基线配置项应用问题记录表》。在应用安全基线配置前需要备份交换机的配置文件,以便出现故障时进行
回退。7 安全配置要求7.1 账号管理7.1.1 运维账号共享管理安全基线编号SBL-Switch- H3C-01-01安全基线名称运维账号共享安全基线要求项安全基线要求按照用户分配账号,避免不同用户间共享运维账号检测操作参考[Switch]dis current | i local-user安全判定依据1)网络管理员列出交换机运维人员名单;2)查看dis current | i local-user结果:local-userlocal-userlocal-user3)对比命令显示结果与运维人员账号名单,如果运维人员之间不存在共享运维账号,表明符合安全要求。基线配置项重要度高中低操作风险评估高中低7.1.2 删除与工作无关账号安全基线编号SBL- Switch- H3C-01-02安全基线名称账号整改安全基线要求项安全基线要求删除与工作无关的账号,提高系统账号安全检测操作参考[Switch]dis current | i local-user安全判定依据1)网络管理员列出交换机运维人员的账号名单;2)查看dis current | i local-user结果:local-userlocal-userlocal-user3)对比显示结果与账号名单,如果发现与运维无关的账号,表明不符合安全要求。备注无关账号主要指测试账号、共享账号、长期不用账号(半年以上)等。基线配置项重要度高中低操作风险评估高中低7.2 口令管理7.2.1 静态口令加密安全基线编号SBL- Switch- H3C-02-01安全基线名称静态口令加密安全基线要求项安全基线要求1)配置本地用户口令使用“cipher”关键字2)配置super口令使用“cipher”关键字检测操作参考1)[Switch]dis current | b local-user2)[Switch]dis current | i super password
安全判定依据如果显示“cipher”关键字,如:1)local-userpassword cipher <密文password>2)super password level cipher <密文password> 表明符合安全要求。基线配置项重要度高中低操作风险评估高中低7.2.2 静态口令运维管理安全基线编号SBL- Switch- H3C-02-02安全基线名称静态口令运维管理安全基线要求项安全基线要求1)采用静态口令认证技术的设备,口令最小长度不少于8个字符2)采用静态口令认证技术的设备,口令生存期最长为90天基线配置项重要度高中低7.3 认证管理7.3.1 RADIUS认证(可选)安全基线编号SBL- Switch- H3C-03-01安全基线名称RADIUS认证安全基线要求项安全基线要求配置RADIUS认证,确认远程用户身份,判断访问者是否为合法的网络用户检测操作参考1)[Switch]dis current | b radius scheme 2)[Switch]dis current | b domain3)[Switch]dis current | b user-interface vty安全判定依据如果显示类似:1)配置RADIUS方案radius schemeprimary authenticationkey authenticationuser-name-format without-domain2)配置域domainauthentication login radius-scheme local 3)配置本地用户user-interface vty 0 4protocol inbound sshauthentication-mode scheme表明符合安全要求。基线配置项重要度高中低操作风险评估高中低7.4 日志审计7.4.1 RADIUS记账(可选)
安全基线编号SBL- Switch- H3C-04-01安全基线名称RADIUS记账安全基线要求项安全基线要求与记账服务器配合,设备配置日志功能:1)对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址;2)对用户设备操作进行记录,如账号创建、删除和权限修改,口令修改等,记录需要包含用户账号,操作时间,操作内容以及操作结果。检测操作参考1)[Switch]dis current | b radius scheme2)[Switch]dis current | b domain安全判定依据如果显示类似:1)配置RADIUS方案radius schemeprimary accountingkey accountinguser-name-format without-domain2)配置域domainaccounting login radius-scheme local 表明符合安全要求。基线配置项重要度高中低操作风险评估高中低7.4.2 启用信息中心安全基线编号SBL- Switch- H3C-04-02安全基线名称信息中心启用安全基线要求项安全基线要求启用信息中心,记录与设备相关的事件检测操作参考[Switch]dis info-center安全判定依据如果显示类似:Information Center: enabled 表明符合安全要求。基线配置项重要度高中低操作风险评估高中低7.4.3 远程日志功能安全基线编号SBL- Switch- H3C-04-03安全基线名称远程日志功能安全基线要求项安全基线要求配置远程日志功能,使设备日志能通过远程日志功能传输到日志服务器检测操作参考[Switch]dis current | i info-center loghost安全判定依据如果显示类似:info-center loghost 表明符合安全要求。
¥
5
网络文库VIP限时优惠现在开通,立享6亿+VIP内容
立即获取
H3C交换机安全配置基线
H3C交换机安全配置基线
H3C交换机安全配置基线(Version 1.0)
2012年12月
1 引言 (1)
2 适用范围 (1)
3 缩略语 (1)
4 安全基线要求项命名规则 (2)
5 文档使用说明 (2)
6 注意事项 (3)
7 安全配置要求 (3)
② 2台华三三层交换机,分别都有各自的vlan,并且vlan配有网关地址,怎么让两台交换机互通
基本属性:
vlan特性:三层互通,两层隔离。三层交换机不同vlan之间默认是互通的,两次交换机不同vlan是隔离的。
vlan IP:就是定义一个vlan下所有机器的网关地址,该vlan下的机器网关必须是这个IP。
接口:就是交换机后面可以插网线的端口,可以设置为Access、Trunk、Hybrid等
注意点:
交换机与相关设备(路由、交换机)相连时,建议将接口设置为Trunk口,并且允许相关vlan通过。
交换机下行连接电脑终端或服务器终端建议将接口设置为Access接口。
定义vlan时,尽量使用24的掩码(255.255.255.0)进行划分,如果存在包含关系vlan之间互连就会有问题,所以尽量不适用大网段。
设置DHCP自动划分IP示例:
组网图:
左侧是划分前:路由网关为172.18.0.1,服务器中虚拟化了大量虚拟机,网管全部为172.18.0.1如果要重新划分vlan会很麻烦,PC端划分了不同vlan。
右侧是划分后:将路由网关修改为192.168.1.2,将核心交换机单独划一个vlan 200用于和路由相连。服务器vlan 100虚拟接口IP就修改为172.18.0.1,这样就不需要修改服务器与虚拟机中的网管了。记得写回城路由将数据写回核心交换机。
配完之后,流量如下走:
1、终端数据到网关,即核心交换机上
2、核心SW查找路由发现只有一条缺省路由,下一跳是路由器互联地址,将数据发给路由器互联地址
3、路由器查找路由表,将数据发往公网。
4、回包时路由器查路由表,根据路由表发现下一跳是核心交换的互联地址,将数据发给核心SW,
5、核心SW收到后,根据路由表发给各个网段
③ 华三的链路聚合配置
静态链路聚合的典型配置
一、
组网需求:
两台H3C 交换机 A,B之间做静态链路聚合。这里假设e1/0/1,e1/0/2,e1/0/3端口都是trunk端口,允许vlan 10,20,30通过
二、
配置步骤:
(1)
设备A上的配置
#创建二层聚合端口
[switch-A] interface Bridge-Aggregation 1
[switch-A-Bridge-Aggregation1] port link-type trunk
[switch-A-Bridge-Aggregation1] port trunk permit vlan 10 20 30
#分别将设备A上端口e1/0/1,e1/0/2,e1/0/3加入到聚合组中
[switch-A] interface Ethernet 1/0/1
[switch-A-Ethernet1/0/1] port link-type trunk
[switch-A-Ethernet1/0/1] port trunk permit vlan 10 20 30
[switch-A-Ethernet1/0/1]port link-aggregation group 1
[switch-A] interface Ethernet 1/0/2
[switch-A-Ethernet1/0/2] port link-type trunk
[switch-A-Ethernet1/0/2] port trunk permit vlan 10 20 30
[switch-A-Ethernet1/0/2]port link-aggregation group 1
[switch-A] interface Ethernet 1/0/3
[switch-A-Ethernet1/0/3] port link-type trunk
[switch-A-Ethernet1/0/3] port trunk permit vlan 10 20 30
[switch-A-Ethernet1/0/3]port link-aggregation group 1
(2)
设备B上的配置
设备B上的配置和A类似,这里从略。
(3)
验证链路聚合
可以通过命令display link-aggregation verbose
来查看端口是否变成select来验证聚合是否成功。
动态链路聚合的典型配置
一、
组网需求:
两台H3C S3500-EA A,B之间做动态链路聚合。这里假设e1/0/1,e1/0/2,e1/0/3端口都是trunk端口,允许vlan 10,20,30通过。
二、
组网图:
三、
配置步骤:
(1)
设备A上的配置
#创建二层聚合端口,并配置成动态聚合模式
[switch-A] interface Bridge-Aggregation 1
[switch-A-Bridge-Aggregation1] port link-type trunk
[switch-A-Bridge-Aggregation1] port trunk permit vlan 10 20 30
[switch-A-Bridge-Aggregation1]link-aggregation mode dynamic
#分别将设备A上端口e1/0/1,e1/0/2,e1/0/3加入到聚合组中
[switch-A] interface Ethernet 1/0/1
[switch-A-Ethernet1/0/1] port link-type trunk
[switch-A-Ethernet1/0/1] port trunk permit vlan 10 20 30
[switch-A-Ethernet1/0/1]port link-aggregation group 1
[switch-A] interface Ethernet 1/0/2
[switch-A-Ethernet1/0/2] port link-type trunk
[switch-A-Ethernet1/0/2] port trunk permit vlan 10 20 30
[switch-A-Ethernet1/0/2]port link-aggregation group 1
[switch-A] interface Ethernet 1/0/3
[switch-A-Ethernet1/0/3] port link-type trunk
[switch-A-Ethernet1/0/3] port trunk permit vlan 10 20 30
[switch-A-Ethernet1/0/3]port link-aggregation group 1
(2)
设备B上的配置
设备B上的配置和A类似,这里从略。
(3)
验证链路聚合
可以通过命令display link-aggregation verbose
来查看端口是否变成select来验证聚合是否成功。
四、
配置关键点:
(1)
需要特别注意的就是创建的二层聚合端口的配置要和物理成员端口保持一致,如本例中的二层聚合端口trunk属性和允许通过的vlan 10,20,30都与物理成员端口一样。否则聚合无法成功。
(2)
默认聚合方式为静态链路聚合,静态聚合模式中,成员端口的LACP协议为关闭状态。
(3)
配置了RRPP的端口、配置为DHCP客户端/BOOTP客户端的端口、配置了VRRP的端口、配置了MAC地址认证的端口、配置了端口安全模式的端口、启用了IP Source Guard功能的端口以及使能802.1x的端口都不能加入聚合组。
(5)
用户删除动态模式的聚合端口时,系统会自动删除对应的聚合组,且该聚合组中的所有成员端口将全部离开该聚合组。
(7)
对于动态聚合模式,系统两端会自动协商同一条链路上的两端端口在各自聚合组中的Selected状态,用户只需保证在一个系统中聚合在一起的端口的对端也同样聚合在一起,聚合功能即可正常使用。