IDC网络设备主要配置
1、stp(生成树协议)
(1)全局开启STP协议
stp global enable
(2)全局开启BPDU保护
stp bpdu-protection
解释:边缘端口:直接与终端设备互联,可减少stp收敛时间,但是一旦边缘端口受到攻击(边缘端口接收到终端发送的优先级更高的bpdu报文),会重新进行收敛,导致流量中断。但是如果开启了bpdu保护功能后,若边缘端口受到攻击(边缘端口接收到终端发送的优先级更高的bpdu报文),边缘端口会被error-down,端口属性不变,交换机会打印日志信息并通知网管系统
(3)全局开启MAC地址迁移警告
mac-address notification mac-move
解释:MAC地址漂移,一般由二层环路导致,在同一个VLAN内,一个MAC地址有两个出接口,并且后学习到的出接口覆盖原出接口的现象。
2、OS(操作系统)
(1)设备必须部署Main OS和Backup OS(配置设备下次启动时使用的软件包(主用和备用))
boot-loader file flash:/XXX.ipe all main
boot-loader file flash:/XXX.ipe all backup
3、IRF(智能弹性结构):一种虚拟化技术
一、IRF标准配置
(1)配置成员编号
irf member XX renumber XX(缺省为1,主机为1,备机为2)
(2)配置IRF中指定成员设备优先级
irf member 1 priority 10(缺省为1,主机为10)
(3)配置IRF端口(主设备IRF端口为1/1)
irf-port 1/1
port group interface Ten-GigabitEthernet 1/0/51
port group interface Ten-GigabitEthernet 1/0/52
(4)配置IRF端口(备设备IRF端口为2/2)
irf-port 2/2
port group interface Ten-GigabitEthernet 2/0/51
port group interface Ten-GigabitEthernet 2/0/52
(5)配置IRF链路down延迟上报时间(关闭IRF链路down延迟上报)
undo irf link-delay
二、MAD—BFD检测方式
(1)配置IRF域编号(缺省IRF域编号为0)
irf domain 1
(2)创建一个新VLAN专用于BFD MAD检测
vlan 3000
(3)进入以太网接口视图,将端口加入BFD-MAD检测专用的VLAN,并且关闭STP
interface GigabitEthernet 1/0/48
port access vlan 3000
undo stp enable
interface GigabitEthernet 2/0/48
port access vlan 3000
undo stp enable
(4)进入VLAN视图,开启BFD MAD检测功能(缺省没有开启BFD MAD检测功能)
interface vlan 3000
mad bfd enable
(5)给指定成员设备配置MAD IP地址
mad ip address 3.3.3.X 255.255.255.252 member 1
mad ip address 3.3.3.X 255.255.255.252 member 2
4、静态路由配置
接入交换机默认路由指向核心交换机
ip route-static 0.0.0.0 0 核心交换机
5、ACL(访问控制列表)
SSH ACL为3100,SNMP ACL为3200
6、AAA认证
在VTY接口上开启命令授权及命令审计
解释:VTY(virtual type terminal)虚拟终端,用户远程登录交换机的界面
7、SSH
(1)网络设备配置SSH远程管理
public-key local create rsa(本地创建RSA密钥对)
public-key local create dsa(本地创建DSA密钥对)
public-key local create ecdsa name secp256r1(本地创建ECDSA密钥对)
ssh server enable(使能SSH服务器)
(2)通过ACL匹配堡垒机IP地址,禁止其他机器远程管理设备
ssh server acl 3100
acl number 3100 name SSH
rule 20 permit ip source 1.1.1.1 0(允许该IP远程)
rule 30 permit ip source 2.2.2.2 0 (允许该IP远程)
rule 40 permit ip source 192.168.1.0 0.0.127.255(本地址段为该IDC网段,允许IDC内部远程)
8、NTP
(1)使用专用NTP服务器
(2)设置时区为beijing
clock timezone Beijing add 08:00:00(设置时区为东八区)
ntp-service enable(开启NTP功能)
(3)使用管理接口为NTP源接口
ntp-service source Vlan-interface 888(指定本地发送NTP消息接口)
ntp-service unicast-server X.X.X.X preference(指定NTP单播服务器)
9、SNMP
(1)使用GET操作方式
(2)只允许Read,通过ACL限定只读服务器
snmp-agent(配置snmp代理)
snmp-agent community read simple XXXX acl 3200(配置只读团体名,通过ACL限定只读服务器)
snmp-agent sys-info version all(配置支持所有版本SNMP协议)
acl number 3200 name ReadOnly
rule 20 permit ip source 1.1.1.1 0
rule 30 permit ip source 2.2.2.2 0
(3)使用管理IP为SNMP源IP
snmp-agent trap source Vlan-interface888
10、info-center
(1)开启命令行输入回显功能(如果输入的命令行被系统信息打断,系统会重新显示已经输入的命令行)
info-center synchronous
(2)使用统一的日志系统
info-center loghost X.X.X.X
11、Console
(1)结合AAA系统,进行命令审计
line aux 1 3(aux允许console线telnet登录,vty允许远程telnet登录,配置aux口)
command accounting(对通过aux口进行命令审计)
(2)用户级别定义为network-admin
user-role network-admin
12、VTY(虚拟终端口)(用户远程telnet使用的端口)
(1)只开启0到4虚拟端口
line vty 0 4
authentication-mode scheme(创建本地用户,并允许AAA认证)
user-role network-operator
(2)只允许SSH远程登录方式
protocol inbound ssh
(3)结合AAA系统,进行命令授权
command authorization
(4)结合AAA系统,进行命令审计
command accounting
13、WAF(web application firewall)
工作模式:端口镜像模式(离线模式),部署简单,将WAF旁路接在WEB服务器上游的交换机上,用于检测异常流量,只对HTTP/HTTPS流量进行监控和报警,不进行拦截阻断。该模式需要使用交换机的端口镜像功能,也就是将交换机端口上的HTTP/HTTPS流量镜像一份给WAF。对于WAF而言,流量只进不出。
914
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
