锐捷交换机常见的安全配置1.端口安全 arp check,今天小编就来说说关于锐捷三层交换机如何设置傻瓜模式?下面更多详细答案一起来看看吧!
锐捷三层交换机如何设置傻瓜模式
锐捷交换机常见的安全配置
1.端口安全 arp check
Ruijie#configure terminal
Ruijie(config)#interface FastEthernet 0/1
Ruijie(config-if-FastEthernet 0/1)#switchport port-security mac-address 00d0.0000.0001 ip-address 192.168.1.1
Ruijie(config-if-FastEthernet 0/1)#switchport port-security maximum 1
Ruijie(config-if-FastEthernet 0/1)#switchport port-security
Ruijie(config-if-FastEthernet 0/1)#arp-check开启arp-check功能
Ruijie(config-if-FastEthernet 0/1)#anti-arp-spoofing ip 192.168.1.254 ---->配置防网关arp欺骗
验证命令:
Ruijie#sho port-security all
Ruijie#show port-security address 查看全局的端口安全绑定信息
2.ACL配置
注:acl默认有一条隐藏的规则,禁止所有。
标准IP 访问控制列表:
ip access-list N [permit | deny ] 地址段 反掩码 ,N取值范围 1~99
例:ip access-list 1 permit 192.168.1.0 0.0.0.255
扩展IP 访问控制列表:
ip access-list N [permit | deny ] 源地址段 反掩码 目的地址段 反掩码 ,N取值范围 100~199
例: ip access-list 100 permit 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
MAC扩展访问控制列表 :
access-list N [permit | deny ] host 源mac地址 host 目的mac地址 ,N取值范围 700-799
access-list N [permit | deny ] host 源mac地址 any any表示地址任意
例:access-list 700 permit host 0001.1111.1111 any
Expert扩展访问控制列表: access-list N [permit | deny ] 协议 源mac mac反掩码 目的mac mac反掩码 ,N取值范围 2700-2899
例:access-list 2700 permit ipx host 0001.1111.1111 any
3. 配置端口环路检测
SwitchA(config)#rldp enable ------>开启RLDP功能
SwitchA(config)#interface gigabitEthernet 0/1
SwitchA(config-if)#rldp port loop-detect block------>检查到环路,把状态更改为block
SwitchA(config)#interface gigabitEthernet 0/2
SwitchA(config-if)#rldp port unidirection-detect warning ------>检查到环路,发出提示
SwitchA(config-if)#exit
SwitchA(config)#errdisable recover interval 300 ----被shutdown接口自动恢复间隔时间
SwitchB(config)#interface gigabitEthernet 0/3
SwitchB(config-if)#rldp port bidirection-detect shutdown-port ------>检查到有环路,把接口状态更改为shutdown
SwitchB(config-if)#exit
查看设备所有端口的RLDP 信息show rldp
4. 路由配置
二层交换机和三层交换机的配置不同(三层交换机有路由功能,二层交换机没有路由功能)
三层交换机路由配置:
Ruijie(config)#ip route 0.0.0.0 0.0.0.0 gigabitEthernet 0/1(可选配置) 192.168.1.1
二层交换机配置:
Ruijie(config)#ip default-gateway 192.168.1.1
5. 端口镜像配置
指定要被监控的端口:
Ruijie(config)#monitor session 1 source interface gigabitEthernet 0/1 rx Ruijie(config)#monitor session 2 source interface gigabitEthernet 0/4,0/5 ------>指定镜像会话2的源数据是第4、5个千兆端口收发全部的数据
指定监控端口:
Ruijie(config)#monitor session 1 destination interface gigabitEthernet 0/2 switch ------>指定镜像会话1的目的端口是第2个千兆端口,并保证这个端口可以和其他端口正常通信
Ruijie(config)#monitor session 2 destination interface gigabitEthernet 0/3 ------>指定镜像会话2的源数据是第3个千兆端口,并指定该端口只能用于接收镜像的数据
验证命令:Ruijie#show monitor
6. 光电复用端口配置
Ruijie(config)#interface gigabitEthernet 0/24
Ruijie(config-if-GigabitEthernet 0/24)#medium-type copper ------>使用电接口,
Ruijie(config-if-GigabitEthernet 0/24)#medium-type fiber ------>使用光接口,
7. 端口聚合配置
Ruijie(config)#interface range gigabitEthernet 0/1 -3 -----同时进入 0/1-3接口配置
Ruijie(config-if-range)#port-group 1 ------>划入到聚合组1
Ruijie#show interface status查看接口名称
Ruijie#show aggregatePort summary 验证端口配置
8. ssh配置
全局开启SSH服务
Ruijie(config)#enable service ssh-server ------>开启SSH服务,默认关闭
Ruijie(config)#ip ssh version 2
添加登陆的用户名和密码
Ruijie(config)#username ruijie password ruijie
生成加密密钥:
Ruijie(config)#crypto key generate rsa ------>加密方式有两种:DSA和RSA,已RSA为例
在VTY线程下调用
Ruijie(config)#lin vty 0 4
Ruijie(config-line)#password ruijie ------>设置登陆密码为ruijie
Ruijie(config-line)# login
应修改为如下:
Ruijie(config-line)# login local
Ruijie(config-line)#transport input ssh---->设置传输模式是SSH,设置远程登入只允许使用SSH登入,不能使用telnet
9. 设备命名、时间设置
Ruijie#clock set 10:00:00 12 1 2012 ------>clock set 小时:分:秒 月 日 年
Ruijie#configure terminal ------>进入全局配置模式
Ruijie(config)#clock timezone beijing 8 ------>设置交换机的时区
Ruijie(config)#hostname Switch ------>设置交换机的名字为"Switch"
10. web管理配置
配置步骤
1)确认设备是否有web管理软件
Ruijie>enable
Ruijie#dir查找是否有 “web_management_pack.upd”,如果没有请重新升级设备。
支持新的web管理必须有“web_management_pack.upd”文件。
2)配置VLAN1的IP地址
Ruijie#configure terminal
Ruijie(config)#enable service web-server ------>全局开启web功能
Ruijie(config)#interface vlan 1
Ruijie(config-if)# ip address 192.168.33.180 255.255.255.0
3)配置web管理的用户名和密码
Ruijie(config)#username admin privilege 15 ------>用户名是admin
Ruijie(config)#enable secret admin ------>配置特权密码,也是登陆web的密码
Ruijie(config)#ip http port 8080 ------>web登陆的端口号修改为“8080”
,