锐捷交换机常见的安全配置1.端口安全 arp check,今天小编就来说说关于锐捷三层交换机如何设置傻瓜模式?下面更多详细答案一起来看看吧!

锐捷三层交换机如何设置傻瓜模式(分保网络中锐捷交换机最常见的配置汇总)

锐捷三层交换机如何设置傻瓜模式

锐捷交换机常见的安全配置

1.端口安全 arp check

Ruijie#configure terminal

Ruijie(config)#interface FastEthernet 0/1

Ruijie(config-if-FastEthernet 0/1)#switchport port-security mac-address 00d0.0000.0001 ip-address 192.168.1.1

Ruijie(config-if-FastEthernet 0/1)#switchport port-security maximum 1

Ruijie(config-if-FastEthernet 0/1)#switchport port-security

Ruijie(config-if-FastEthernet 0/1)#arp-check开启arp-check功能

Ruijie(config-if-FastEthernet 0/1)#anti-arp-spoofing ip 192.168.1.254 ---->配置防网关arp欺骗

验证命令:

Ruijie#sho port-security all

Ruijie#show port-security address 查看全局的端口安全绑定信息

2.ACL配置

注:acl默认有一条隐藏的规则,禁止所有。

标准IP 访问控制列表:

ip access-list N [permit | deny ] 地址段 反掩码 ,N取值范围 1~99

例:ip access-list 1 permit 192.168.1.0 0.0.0.255

扩展IP 访问控制列表:

ip access-list N [permit | deny ] 源地址段 反掩码 目的地址段 反掩码 ,N取值范围 100~199

例: ip access-list 100 permit 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

MAC扩展访问控制列表 :

access-list N [permit | deny ] host 源mac地址 host 目的mac地址 ,N取值范围 700-799

access-list N [permit | deny ] host 源mac地址 any any表示地址任意

例:access-list 700 permit host 0001.1111.1111 any

Expert扩展访问控制列表: access-list N [permit | deny ] 协议 源mac mac反掩码 目的mac mac反掩码 ,N取值范围 2700-2899

例:access-list 2700 permit ipx host 0001.1111.1111 any

3. 配置端口环路检测

SwitchA(config)#rldp enable ------>开启RLDP功能

SwitchA(config)#interface gigabitEthernet 0/1

SwitchA(config-if)#rldp port loop-detect block------>检查到环路,把状态更改为block

SwitchA(config)#interface gigabitEthernet 0/2

SwitchA(config-if)#rldp port unidirection-detect warning ------>检查到环路,发出提示

SwitchA(config-if)#exit

SwitchA(config)#errdisable recover interval 300 ----被shutdown接口自动恢复间隔时间

SwitchB(config)#interface gigabitEthernet 0/3

SwitchB(config-if)#rldp port bidirection-detect shutdown-port ------>检查到有环路,把接口状态更改为shutdown

SwitchB(config-if)#exit

查看设备所有端口的RLDP 信息show rldp

4. 路由配置

二层交换机和三层交换机的配置不同(三层交换机有路由功能,二层交换机没有路由功能)

三层交换机路由配置:

Ruijie(config)#ip route 0.0.0.0 0.0.0.0 gigabitEthernet 0/1(可选配置) 192.168.1.1

二层交换机配置:

Ruijie(config)#ip default-gateway 192.168.1.1

5. 端口镜像配置

指定要被监控的端口:

Ruijie(config)#monitor session 1 source interface gigabitEthernet 0/1 rx Ruijie(config)#monitor session 2 source interface gigabitEthernet 0/4,0/5 ------>指定镜像会话2的源数据是第4、5个千兆端口收发全部的数据

指定监控端口:

Ruijie(config)#monitor session 1 destination interface gigabitEthernet 0/2 switch ------>指定镜像会话1的目的端口是第2个千兆端口,并保证这个端口可以和其他端口正常通信

Ruijie(config)#monitor session 2 destination interface gigabitEthernet 0/3 ------>指定镜像会话2的源数据是第3个千兆端口,并指定该端口只能用于接收镜像的数据

验证命令:Ruijie#show monitor

6. 光电复用端口配置

Ruijie(config)#interface gigabitEthernet 0/24

Ruijie(config-if-GigabitEthernet 0/24)#medium-type copper ------>使用电接口,

Ruijie(config-if-GigabitEthernet 0/24)#medium-type fiber ------>使用光接口,

7. 端口聚合配置

Ruijie(config)#interface range gigabitEthernet 0/1 -3 -----同时进入 0/1-3接口配置

Ruijie(config-if-range)#port-group 1 ------>划入到聚合组1

Ruijie#show interface status查看接口名称

Ruijie#show aggregatePort summary 验证端口配置

8. ssh配置

全局开启SSH服务

Ruijie(config)#enable service ssh-server ------>开启SSH服务,默认关闭

Ruijie(config)#ip ssh version 2

添加登陆的用户名和密码

Ruijie(config)#username ruijie password ruijie

生成加密密钥:

Ruijie(config)#crypto key generate rsa ------>加密方式有两种:DSA和RSA,已RSA为例

在VTY线程下调用

Ruijie(config)#lin vty 0 4

Ruijie(config-line)#password ruijie ------>设置登陆密码为ruijie

Ruijie(config-line)# login

应修改为如下:

Ruijie(config-line)# login local

Ruijie(config-line)#transport input ssh---->设置传输模式是SSH,设置远程登入只允许使用SSH登入,不能使用telnet

9. 设备命名、时间设置

Ruijie#clock set 10:00:00 12 1 2012 ------>clock set 小时:分:秒 月 日 年

Ruijie#configure terminal ------>进入全局配置模式

Ruijie(config)#clock timezone beijing 8 ------>设置交换机的时区

Ruijie(config)#hostname Switch ------>设置交换机的名字为"Switch"

10. web管理配置

配置步骤

1)确认设备是否有web管理软件

Ruijie>enable

Ruijie#dir查找是否有 “web_management_pack.upd”,如果没有请重新升级设备。

支持新的web管理必须有“web_management_pack.upd”文件。

2)配置VLAN1的IP地址

Ruijie#configure terminal

Ruijie(config)#enable service web-server ------>全局开启web功能

Ruijie(config)#interface vlan 1

Ruijie(config-if)# ip address 192.168.33.180 255.255.255.0

3)配置web管理的用户名和密码

Ruijie(config)#username admin privilege 15 ------>用户名是admin

Ruijie(config)#enable secret admin ------>配置特权密码,也是登陆web的密码

Ruijie(config)#ip http port 8080 ------>web登陆的端口号修改为“8080”

,