等保3對交換機配置的要求

等保3交換機安全要求說明
1. 配置acl限制允許登陸的主機。
2、開啟ssh登陸，取消telnet登陸，並配置有審計賬號和運維賬號，授予審計訪問權限。
2.1 操作說明
2.2 使用實例說明：
2.3 審計帳號應具有的查詢權限。
2.4 指定權值具體操作步驟
3、開啟防ARP欺騙功能,IP和mac綁定

等保3交換機安全要求說明

1. 配置acl限制允許登陸的主機。

配置舉例

# 配置ACL 2005規則，限制VTY 0～VTY 4界面只允許IP地址為192.168.1.5的用戶和10.10.5.0/24網段的用戶登錄設備，配置如下。

<HUAWEI> system-view

[HUAWEI] acl 2005

[HUAWEI-acl-basic-2005] rule permit source 192.168.1.5 0   //允許IP地址為192.168.1.5的用戶登錄設備。

[HUAWEI-acl-basic-2005] rule permit source 10.10.5.0 0.0.0.255   //允許10.10.5.0/24網段的用戶登錄設備。

[HUAWEI-acl-basic-2005] quit

[HUAWEI] user-interface vty 0 4

[HUAWEI-ui-vty0-4] acl 2005 inbound

[HUAWEI-ui-vty0-4] quit

2、開啟ssh登陸，取消telnet登陸，並配置有審計賬號和運維賬號，授予審計訪問權限。

Telnet缺少安全的認證方式，用戶可以通過STelnet方式進行遠程的安全登錄。終端PC和SSH服務器之間路由可達，在SSH服務器端配置用yunwei和audit01賬號，PC使用yunwei和audit01用戶通過Password認證方式登錄SSH服務器。

配置思路
采用如下的思路配置用戶通過STelnet登錄設備：

1.   PC端已安裝登錄SSH服務器軟件。

2.   在SSH服務器端生成本地密鑰對，實現在服務器端和客戶端進行安全地數據交互。

3.   在SSH服務器端配置SSH用戶audit01。

4.   在SSH服務器端開啟STelnet服務功能。

5.   在SSH服務器端配置SSH用戶audit01服務方式為STelnet。

6.   用戶audit01以STelnet方式登錄SSH服務器。

操作步驟
1.   在服務器端生成本地密鑰對

2.  <HUAWEI> system-view
3.  [HUAWEI] sysname SSH_Server
4.  [SSH_Server] dsa local-key-pair create
5.  Info: The key name will be: HUAWEI_Host_DSA.                                                                                
6.  Info: The key modulus can be any one of the following : 1024, 2048.                                                            
7.  Info: If the key modulus is greater than 512, it may take a few minutes.        
8.  Please input the modulus [default=2048]:                                        
9.  Info: Generating keys...                                                        
Info: Succeeded in creating the DSA host keys.
10.  在服務器端創建SSH用戶

# 配置VTY用戶界面。

[SSH_Server] user-interface vty 0 14
[SSH_Server-ui-vty0-14] authentication-mode aaa
[SSH_Server-ui-vty0-14] protocol inbound ssh
[SSH_Server-ui-vty0-14] quit
# 新建用戶名為client001的SSH用戶，且認證方式為Password。

[SSH_Server] aaa
[SSH_Server-aaa] local-user audit01 password irreversible-cipher Huawei@123
[SSH_Server-aaa] local-user audit01 privilege level 1
[SSH_Server-aaa] local-user audit01 service-type ssh
[SSH_Server-aaa] quit
[SSH_Server] ssh user audit01 authentication-type password
11.  SSH服務器端開啟STelnet服務功能

[SSH_Server] stelnet server enable
12.  配置SSH用戶client001的服務方式為STelnet

13. [SSH_Server] ssh user audit01 service-type stelnet
14.  驗證配置結果

# PC端audit01用password認證方式連接SSH服務器。

# 通過PuTTY軟件登錄設備，輸入設備的IP地址，選擇協議類型為SSH。

創建好賬號后audit01這個賬號基本沒啥權限，因為我這里audit01啟用的是privilege level 1的，所以需要將display的權限調整下。但是我們還是要將命令的權限也修改下匹配用戶的權限。

華為系統命令分級管理：
系統將命令進行分級管理，各個視圖下的每條命令都有指定的級別。設備管理員可以根據用戶需要重新設置命令的級別，以實現低級別用戶可以使用部分高級別命令的需求，或者將命令的級別提高，增加設備的安全性。

2.1 操作說明

command-privilege level

命令功能

command-privilege level命令用來設置指定視圖內的命令的級別。

undo command-privilege命令用來恢復命令為缺省級別。

缺省情況下，各個視圖下的每條命令都有指定的級別。

命令格式

command-privilege level level view view-name command-key

undo command-privilege [ level level ] view view-name command-key

參數說明

參數

參數說明

取值

level level

指定命令的級別。

整數形式，取值范圍是0～15。

view view-name

指定視圖名稱。可在終端界面上鍵入“?”獲取該命令視圖下所有可選擇的視圖名稱。

例如：

·        shell：表示用戶視圖

·        system：表示系統視圖

·        vlan：表示VLAN視圖

command-key

指定設置的命令，目前不支持聯想，需手動完整輸入。

使用此命令行設置指定視圖內命令的級別規則：

 對目標命令行進行降級時，命令行中所有關鍵字都會降級。

對目標命令行進行升級時，只有命令行中的最后一個關鍵字會升級。

 對目標命令行設置命令行級別時，則相同視圖下的所有以此目標命令行為首的命令行級別都會被改變。

 對目標命令行設置命令行級別時，和變更級別的關鍵字索引相同的其他命令中關鍵字級別也會被改變。

此命令有覆蓋作用，索引相同的關鍵字級別如果被多次修改，則最后一次修改的級別生效。

2.2 使用實例說明：

<HUAWEI> system-view

[HUAWEI] command-privilege level 5 view shell save

2.3 審計帳號應具有的查詢權限。

信息項                           使用命令
基本信息                        display   diagnostic-information
設備信息                        display device
接口信息                        display interface
版本信息                        display version
補丁信息                         display patch-information
電子標簽信息                   display elabel
系統當前配置信息            display current-configuration
系統保存的配置信息         display saved-configuration
時間信息                          display clock
告警信息                          display trapbuffer
用戶日志信息                   display logbuffer
內存使用信息                   display memory-usage
CPU使用情況                   display cpu-usage
接口開啟情況                   display interface brief

2.4 指定權值具體操作步驟

[HUAWEI]command-privilege level 1 view shell  display current-configuration

[HUAWEI]command-privilege level 1 view shell  display diagnostic-information

[HUAWEI]command-privilege level 1 view 

[HUAWEI]command-privilege level 1 view shell  display  trapbuffer       

[HUAWEI]command-privilege level 1 view shell  display  logbuffer 

[HUAWEI]command-privilege level 1 view shell  display memory-usage

[HUAWEI]command-privilege level 1 view shell  display cpu-usage   

[HUAWEI]command-privilege level 1 view shell  display  interface brief        

[HUAWEI]command-privilege level 1 view shell  display  clock          

[HUAWEI]command-privilege level 1 view shell  display  saved-configuration

[HUAWEI]command-privilege level 1 view shell  display  elabel             

[HUAWEI]command-privilege level 1 view shell  display  patch-information

[HUAWEI]command-privilege level 1 view shell  display  version          

[HUAWEI]command-privilege level 1 view shell  display  device 

3、開啟防ARP欺騙功能,IP和mac綁定

根據實際需求啟用，我這沒有啟用，純linux應用發布，沒有太多的上網需求。需要做的請自行參考華為幫助文檔

來自為知筆記(Wiz)