版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、<p> H3C路由器配置指導(dǎo)20180525【最新V7版本】</p><p><b> 1、用戶賬號與密碼</b></p><p> 強(qiáng)化管理員帳戶密碼,密碼長度大于等于8位并包含數(shù)字、大小寫字母及特殊字符,密碼使用密文形式存儲,綁定console口登錄和SSH服務(wù)。</p><p><b> sys</b&
2、gt;</p><p> local-user admin class manage</p><p> password simple Zdhb*2660</p><p> service-type ssh terminal telnet </p><p> authorization-attribute user-role net
3、work-admin</p><p> undo authorization-attribute user-role network-operator</p><p><b> q</b></p><p> ####################################</p><p><b>
4、 2、設(shè)備本地管理</b></p><p> (1)設(shè)備本地通過console口登錄需輸入用戶名和口令;</p><p> [D-SD-ZZ-BeiXinB.R1]dis cu //查看全部配置,敲空格一直到最后</p><p> 在后幾行,如果看到user-interface con 0字樣,則進(jìn)行配置con0口</p>
5、<p> line aux 0 1</p><p> authentication-mode scheme</p><p> undo set authentication password</p><p><b> quit</b></p><p><b> 或者</b>&
6、lt;/p><p> line con 0 1</p><p> authentication-mode scheme</p><p> undo set authentication password</p><p><b> quit</b></p><p> #############
7、#######################</p><p> (2)登錄后超過5分鐘無動作自動退出;</p><p> line aux 0 1</p><p> idle-timeout 5</p><p><b> quit</b></p><p><b> 或者<
8、;/b></p><p> line con 0 1</p><p> idle-timeout 5</p><p><b> quit</b></p><p> ####################################</p><p> ?。?)連續(xù)登錄失敗5次后,
9、賬戶鎖定10分鐘。</p><p> password-control enable (不做該操作了)</p><p> password-control login-attempt 5 exceed lock-time 10</p><p> ####################################</p><p&g
10、t; 3、遠(yuǎn)程登陸配置要求</p><p> ?。?)人員遠(yuǎn)程登錄應(yīng)使用 SSH 協(xié)議</p><p> public-key local create rsa</p><p> public-key local create dsa</p><p> ssh server enable</p><p> u
11、ser-interface vty 0 4</p><p> authentication-mode scheme</p><p> protocol inbound all</p><p><b> qu</b></p><p> 測試ssh能否正常使用(通過核心1或者核心2路由器進(jìn)行測試)</p>
12、<p> <D-SD-ZZ.R1>ssh2 37.2.44.73 //(該地址為需要遠(yuǎn)程測試的路由器的地址)</p><p> Username: admin</p><p> Trying 37.2.44.73 ...</p><p> Press CTRL+K to abort</p><p>
13、 Connected to 37.2.44.73 ...</p><p> Enter password:</p><p> 如有提示信息,輸入Y即可。</p><p> ******************************************************************************</p><p
14、> * Copyright (c) 2004-2011 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *</p><p> * Without the owner's prior written consent, *</p><p> * no dec
15、ompiling or reverse-engineering shall be allowed. *</p><p> ******************************************************************************</p><p> 能夠正常進(jìn)入設(shè)備的操作界面,即成功進(jìn)入設(shè)備,ssh設(shè)
16、置成功。</p><p><b> sys </b></p><p> line vty 0 4</p><p> protocol inbound ssh</p><p> undo set authentication password</p><p><b> quit&
17、lt;/b></p><p> local-user admin</p><p> undo service-type telnet </p><p><b> quit</b></p><p> (2)遠(yuǎn)程登錄后超過 5 分鐘無動作自動退出。</p><p> line vty
18、0 4</p><p> idle-timeout 5</p><p><b> q</b></p><p> ?。?)連續(xù)登錄失敗5次后,賬戶鎖定10分鐘。</p><p> password-control login-attempt 5 exceed lock-time 10</p><p
19、> (4)遠(yuǎn)程管理源IP地址限制</p><p> 配置訪問控制列表,只允許網(wǎng)管系統(tǒng)、審計(jì)系統(tǒng)、主站核心設(shè)備地址能訪問網(wǎng)絡(luò)設(shè)備及管理服務(wù)。</p><p> acl basic 2000</p><p> rule permit source 37.254.14.240 0.0.0.15</p><p> rule perm
20、it source 37.124.0.0 0.0.255.255</p><p> rule deny source any</p><p><b> quit</b></p><p> acl basic 2001</p><p> rule permit source 37.254.14.250 0<
21、/p><p><b> quit</b></p><p> snmp-agent community read zzpowerro acl 2001</p><p><b> 或者</b></p><p> acl number 2000</p><p> rule p
22、ermit source 37.254.14.240 0.0.0.15</p><p> rule permit source 37.124.0.0 0.0.255.255</p><p> rule deny source any</p><p><b> quit</b></p><p> acl numbe
23、r 2001</p><p> rule permit source 37.254.14.250 0</p><p><b> quit</b></p><p> snmp-agent community read zzpowerro acl 2001</p><p><b> 4、日志與審計(jì)</
24、b></p><p> ?。?)SNMP協(xié)議安全</p><p> 修改SNMP的Community默認(rèn)通行字命令,通行字長度大于等于8位并包含數(shù)字、大小寫字母及特殊字符,SNMP版本使用V2C及以上版本。</p><p> snmp-agent community read zzpowerro //前期已經(jīng)設(shè)置過,無需重復(fù)設(shè)置</p>
25、<p> snmp-agent community write zzpowerrw //前期已經(jīng)設(shè)置過,無需重復(fù)設(shè)置</p><p> snmp-agent sys-info version v2c v3</p><p> undo snmp-agent sys-info version v1</p><p> ?。?)應(yīng)啟用設(shè)備日志審計(jì)功
26、能,并配置遠(yuǎn)程日志服務(wù)器IP(限路由器)</p><p> [D-SD-ZZ-BeiXinB.R1] info-center enable</p><p> [D-SD-ZZ-BeiXinB.R1] info-center loghost 37.254.14.250</p><p> 5、禁用不必要服務(wù),包括HTTP、FTP、TELNET等</p>
27、<p> undo ip http enable</p><p> undo ftp server enable</p><p> undo telnet server enable</p><p><b> 6、安全防護(hù)</b></p><p> (1)根據(jù)具體業(yè)務(wù)設(shè)置ACL訪問控制列表<
28、/p><p> 通過在調(diào)度數(shù)據(jù)網(wǎng)三層接入交換機(jī)出接口、路由器入接口設(shè)置ACL屏蔽非法訪問信息,包括135、137、138、139、445等常見高危端口。</p><p><b> 路由器設(shè)置:</b></p><p> acl adv 3000</p><p> rule 0 deny tcp destination
29、-port eq 135</p><p> rule 1 deny tcp destination-port eq 137</p><p> rule 2 deny tcp destination-port eq 138</p><p> rule 3 deny tcp destination-port eq 139</p><p>
30、 rule 4 deny tcp destination-port eq 445</p><p> rule 5 deny udp destination-port eq 135</p><p> rule 6 deny udp destination-port eq 137</p><p> rule 7 deny udp destination-port
31、eq 138</p><p> rule 8 deny udp destination-port eq 139</p><p> rule 9 deny udp destination-port eq 445</p><p><b> quit</b></p><p> interface 接口</p>
32、;<p> packet-filter 3000 inbound //在下聯(lián)交換機(jī)的vlan10、vlan199、vlan299的子接口上應(yīng)用</p><p> ?。?)應(yīng)關(guān)閉交換機(jī)、路由器上不使用的端口,對于部分網(wǎng)絡(luò)設(shè)備接口上有出廠缺省配置的必須清除。</p><p> dis int brief #查看設(shè)備接口使用情況,顯示如下信息</p>
33、<p> #將連接狀態(tài)顯示為DOWN的接口關(guān)閉,如上圖“標(biāo)紅”位置</p><p><b> 關(guān)閉AUX接口</b></p><p> [D-SD-ZZ-BeiXinB.R1]int Aux 0</p><p> [D-SD-ZZ-BeiXinB.R1-Aux0]shut</p><p> [D-S
34、D-ZZ-BeiXinB.R1-Aux0]quit</p><p> 關(guān)閉Cellular0/0接口</p><p> [D-SD-ZZ-BeiXinB.R1]int Cellular 0/0</p><p> [D-SD-ZZ-BeiXinB.R1-Cellular0/0]shut</p><p> [D-SD-ZZ-BeiXinB
35、.R1-Cellular0/0]quit</p><p> 關(guān)閉Eth接口(根據(jù)實(shí)際接口進(jìn)行配置)</p><p> [D-SD-ZZ-BeiXinB.R1]int Ethernet 4/0</p><p> [D-SD-ZZ-BeiXinB.R1-Ethernet4/0]shut</p><p> [D-SD-ZZ-BeiXinB.
36、R1-Ethernet4/0]quit</p><p> 關(guān)閉Serial接口(根據(jù)實(shí)際接口進(jìn)行配置)</p><p> [D-SD-ZZ-BeiXinB.R1]int s5/1</p><p> [D-SD-ZZ-BeiXinB.R1-Serial5/1]shut</p><p> [D-SD-ZZ-BeiXinB.R1-Seria
37、l5/1]quit</p><p> 再次查看接口狀態(tài),確保所有不使用端口都shutdown</p><p> [D-SD-ZZ-BeiXinB.R1]dis int brief #查看設(shè)備接口使用情況,顯示接口的link狀態(tài)為“ADM”如下所示</p><p> ?。?)開啟NTP服務(wù)。(限路由器)</p><p> [D
38、-SD-ZZ-BeiXinB.R1]clock timezone Beijing add 08:00:00</p><p> [D-SD-ZZ-BeiXinB.R1]ntp-service source-interface LoopBack 0</p><p> [D-SD-ZZ-BeiXinB.R1]ntp-service unicast-server 37.2.44.254<
39、/p><p> ?。?) IP、MAC和端口綁定,在路由器進(jìn)行IP/MAC綁定,在交換機(jī)進(jìn)行MAC/端口綁定。</p><p><b> 路由器設(shè)置:</b></p><p> [D-SD-ZZ-BeiXinB.R1]display arp #查看設(shè)備設(shè)備ARP信息(IP和MAC對應(yīng)關(guān)系),如下</p><p>
40、; 將IP地址、MAC地址、端口號等信息整理完善填寫附件三,經(jīng)業(yè)務(wù)專責(zé)簽字確認(rèn)</p><p><b> #配置ARP固化</b></p><p> [D-SD-ZZ-BeiXinB.R1]arp fixup</p><p> #############################################</p>
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- h3c交換機(jī)配置指導(dǎo)【最新v5版本】
- h3c路由器配置命令
- h3c路由器acl匹配原則
- 利用vrrp實(shí)現(xiàn)路由器之間的分流及備份!(h3c)
- h3c telnet配置
- h3c-er5200企業(yè)級路由器配置
- h3c msr系列路由器負(fù)載分擔(dān)、鏈路備份的實(shí)現(xiàn)過程詳解
- h3c-er系列路由器ipsec-vpn的典型配置
- ip路由詳解h3c經(jīng)典教程
- H3C MSR2630路由器板間通信系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn).pdf
- 路由器配置實(shí)驗(yàn)
- h3c 配置案例大全 (內(nèi)部分享)
- h3c交換機(jī)配置命令大全
- cisco路由器配置手冊
- cisco路由器配置手冊
- 路由器及其配置分析
- h3c交換機(jī)常用配置命令大全
- h3c交換機(jī)配置基本命令
- hl-005 路由器基礎(chǔ)及配置v5.1
- cisco路由器配置過程
評論
0/150
提交評論