交换机安全加固配置（H3C）

-----------------管理类------------------
#登录密码错误延迟60秒重试
attack-defense login reauthentication-delay 60

#配置管理 打开你需要的远程管理方式 这里推荐打开SSH 和 HTTPS 并调用ACL限定能够访问的内网IP地址
ssh server enable
ssh server acl 2000
telnet server enable
telnet server acl 2000
ip https enable
ip https acl 2000

acl basic 2000
rule 0 permit source 10.0.0.1 0
rule 1 permit source 10.0.0.2 0
rule 5 permit source 10.0.0.3 0
rule 10 deny

#创建管理员 指定访问方式和权限 指定密码 密码重试次数 密码策略；注意这里需要避免使用admin等常见账号;密码必须符合复杂性要求
local-user wufacaice class manage
password-control length 8
password-control login-attempt 10
password simple abcd12342@^
service-type https ssh terminal
authorization-attribute user-role network-admin

#终端配置 包括虚拟终端和aux 也就是console口 使用系统内置账号登录 仅允许角色为network-admin账号登录（默认账号为network-operator)，超时时间为30分钟 aux这段也可以不配置
line vty 0 63
authentication-mode scheme
user-role network-admin
protocol inbound all
idle-timeout 30 0
line aux 0
authentication-mode scheme
user-role network-admin
idle-timeout 30 0

-----------------STP和防二层环路------------------
#核心交换机必须增加下面这段配置，一个是声明是instance 0的主根；另外一个是设置TC阈值，防止TC报文频繁刷新MAC地址标项，这个功能默认开启，默认数据是10
stp tc-protection threshold 5

#核心交换机必须是STP根
stp instance 0 root primary
stp root primary

#建议打开STP协议的单通检测
stp dispute-protection

#interface gi 1/0/1
#在非根桥交换机的根端口和备份端口启用，用于防止根端口和备份端口无法收到上游BPDU转为UP的软故障
stp loop-protection

#在根桥的指定端口启用
stp root-protection

#接入层下联交换机是HUB的情况下，且无法通过STP防环，可以尝试使用loopback-detection 功能找到环路接口
loopback-detection global enale vlan all
loopback-detection global action shutdown
dis loopback-detection

-----------------DHCP安全------------------
#建议在接入层交换机上打开这个功能，并且指定信任上行端口；强烈不建议在核心交换机上开启该功能
dhcp snooping enable
interface ten 1/0/1
dhcp snooping trust
#核心交换机，内网如果没有DHCP服务器，则开启该功能充当DHCP服务器；但是在IP地址池多的环境下强烈不建议这么做，建议内网部署2台DHCP服务器作主备，来缓解核心压力，并易于管理
dhcp enable
dhcp server forbidden-ip 10.10.1.254

---------------防止端口广播风暴--------------
#限制端口广播报文速率为总体端口带宽的10% 由于组播报文可能是正常报文 所以一般不做限速
interface gi 1/0/1
broadcast-suppression 10

-----------------ARP source guard------------

#配置网关IP地址冲突检测日志功能
arp ip-conflict log prompt

#IP source guard配置 在接口GigabitEthernet1/0/2上开启IPv4接口绑定功能，绑定源IP地址和MAC地址。以下是静态绑定案例
system-view
interface gigabitethernet 1/0/2
ip verify source ip-address mac-address
quit
#配置IPv4静态绑定表项，在Device A上的所有接口都允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的数据终端发送的IP报文通过。全局在所有端口生效。
ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
#在接口GigabitEthernet1/0/1上开启IPv4接口绑定功能，绑定源IP地址和MAC地址。仅当前端口生效
interface gigabitethernet 1/0/1
ip verify source ip-address mac-address
#配置IPv4静态绑定表项，在Device A的GigabitEthernet1/0/1上允许MAC地址为0001-0203-0407的数据终端发送的IP报文通过。
ip source binding mac-address 0001-0203-0407
quit

#DHCP snooping 和 IP source guard联合使用 这是最常见的情况
system-view
dhcp snooping enable
interface gigabitethernet 1/0/2
dhcp snooping trust
quit

#配置IPv4静态绑定表项，在Device A上的所有接口都允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的数据终端发送的IP报文通过。全局在所有端口生效。
ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406

#配置IPv4接口绑定功能
#开启接口GigabitEthernet1/0/1的IPv4接口绑定功能，绑定源IP地址和MAC地址，并启用接口的DHCP Snooping 表项记录功能。这样配合全局绑定关系和DHCP Snooping ，先看接口的DHCP snooping 绑定关系，再查全局绑定关系 如果都没有，那么就阻止客户接入。
interface gigabitethernet 1/0/1
ip verify source ip-address mac-address
dhcp snooping binding record
quit

#排除部分VLAN的IP source guard
ip verify source exclude vlan start-vlan-id [ to end-vlan-id ]

---------------------ARP固化-----------------------
system-view
interface interface-type interface-number
arp scan [ start-ip-address to end-ip-address ]
quit
arp fixup

#过arp fixup命令将当前的动态ARP表项转换为静态ARP表项后，后续学习到的动态ARP表项可以通过再次执行arp fixup命令进行固化。
#过固化生成的静态ARP表项，可以通过命令行undo arp ip-address [ vpn-instance-name ]逐条删除，也可以通过命令行reset arp all或reset arp static全部删除 这个方式特别适合监控 AP等长期固定不变的设备接入

--------------------ARP源抑制---------------
解释：ARP源抑制功能：如果发送攻击报文的源是固定的，可以采用ARP源抑制功能。开启该功能后，如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值，则设备将不再处理由此IP地址发出的IP报文直至该5秒结束，从而避免了恶意攻击所造成的危害。
应用到哪里：全局
配置案例：
system-view
arp source-suppression enable
arp source-suppression limit 10

------------------ARP报文源MAC地址一致性检测--------------
名称：ARP报文源MAC地址一致性检查
解释：ARP报文源MAC地址一致性检查功能主要应用于网关设备上，防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。
配置本特性后，网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同，则认为是攻击报文，将其丢弃；否则，继续进行ARP学习。
应用在哪里：全局
配置案例：
system-view
arp valid-check enable

---------------ARP网关防护----------------------
名称：ARP网关保护
解释：
在设备上不与网关相连的接口上配置此功能，可以防止伪造网关攻击。
在接口上开启此功能后，当接口收到ARP报文时，将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同。如果相同，则认为此报文非法，将其丢弃；否则，认为此报文合法，继续进行后续处理。
system-view
interface hundredgige 1/0/1
arp filter source 10.1.1.1
quit
1/0/2
arp filter source 10.1.1.1
完成上述配置后，对于Host B发送的伪造的源IP地址为网关IP地址的ARP报文将会被丢弃，不会再被转发。