浅略/逐行分析园区网接入交换机配置(以Ruijie交换机为例)
以Ruijie交换机(二层)为例:
设备上电后的默认配置为:
(注:该设备使用了del config.text清除过了配置)
version RGOS 10.4(2b12)p6 Release(196987)(Fri Jan 22 09:33:36 CST 2016 -ngcf61)
!
nfpp
!
vlan 1
!
no service password-encryption
ip dhcp relay information manage-vlan 1
!
interface GigabitEthernet 0/1
!
interface GigabitEthernet 0/2
!
......
!
interface GigabitEthernet 0/51
!
interface GigabitEthernet 0/52
!
line con 0
line vty 0 4login
!
end生产环境下的接入交换机配置(逐行):
version RGOS 10.4(2b11)p1 Release(134566)(Wed Apr 25 21:08:21 CST 2012 -ngcf63)
hostname XX-YY-1F-RG2928
!
nfpp
!
rldp enable设备版本;
hostname,为设备命名,一般为XX楼-YY栋-ZZ层-设备型号(也可以在最前方表明此为接入交换机,如XX-JR-3F-RG2928,意为XX楼3楼的接入交换机)
nfpp,网络基础保护策略(Network Foundation Protection policy),可以有效地防止系统受这些攻击的影响。在受攻击情况下,保护系统各种服务的正常运行,以及保持较低的CPU负载,从而保障整个网络的稳定运行(可以防止目前网络中的多种攻击手段如ARP攻击、ICMP攻击、IP扫描攻击、DHCP耗竭等)。锐捷私有技术,交换机默认开启。
rldp,环路检测&链路检测(Rapid Link Detection Protocol),锐捷私有协议,用于快速检测以太网链路故障的链路协议,类似于Huawei/H3C的Loopback detection。默认开启,关联下述接口中的“rldp port loop-detect shutdown-port”配置。
vlan 1
!
vlan 2
!
vlan 3
!
......
vlan 49
!
vlan 50
!
vlan 1000name manage创建vlan,10.4版本的交换机会逐行显示创建的每一条Vlan,在11.0版本后会以vlan range 1-50 ,1000显示。
username admin password admin
username admin privilege 15创建一个优先级为15的用户,其用户名与密码都是admin。
no service password-encryption
ip http authentication local
ip dhcp relay information manage-vlan 1
ip dhcp snoopingno service password-encryption密码字符串不以密文加密(即登录设备可见),默认配置。
ip http authentication local锐捷设备在开启HTTP服务后,输入该命令开启Web的本地密码认证,在RGOS10下默认开启。
ip dhcp relay information manage-vlan 1,DHCP中继信息为Vlan 1。默认开启。
ip dhcp snooping,全局开启DHCP监听,网络中的客户端只有从管理员指定的DHCP服务器获取IP地址,关联下述级联接口的“ip dhcp snooping trust”配置。
enable password xxxxxxxx
enable service web-server设置enable密码,如果以enable secret xxxxxxxx,则密码将以密文显示(无论是否no service password-encryption)。
允许通过Web界面登录交换机。
spanning-tree
spanning-tree mst 0 priority 16384全局使能STP,只设置一个MST域,接入交换机优先级一般设置为12288与16384。
interface GigabitEthernet 0/1switchport access vlan 2(ip verify source port-security //可选)rldp port loop-detect shutdown-portspanning-tree bpduguard enablespanning-tree portfast
!
......
!
interface GigabitEthernet 0/24switchport access vlan 24(ip verify source port-security //可选)rldp port loop-detect shutdown-portspanning-tree bpduguard enablespanning-tree portfast1至24口为千兆以太网Access口,用于连接用户终端。端口下使能RLDP检测技术、BPDU防护与快速端口,这些端口默认不接受BPDU,若收到BPDU,则端口禁用(进入Err-disabled状态),一般后两者一同配置使用。
ip verify source port-security,用于防止用户手动设置终端IP地址。
interface GigabitEthernet 0/25switchport mode trunkswitchport trunk allowed vlan remove 1,51-999,1001-4094ip dhcp snooping trust descripton To-XX-HJ-XGigabit x/y25-28口一般为Trunk口,用于级联上下级交换机,本例中用于连接汇聚交换机,并裁剪Vlan以减少广播域范围,本端口同时为DHCP的信任端口。
可在级联端口描述该接口的去向,如去往某栋楼的汇聚设备x/y接口。
interface VLAN 1000no ip proxy-arpip address 172.16.a.b 255.255.0.0description manage vlan设置SVI作为管理地址(该地址仅用于远程登录),添加描述,并关闭ARP代理功能(默认关闭)
ip route 0.0.0.0 0.0.0.0 172.16.0.1做一条指向网关的默认路由,在更早的设备上这条命令可能会以ip default-gateway 172.16.0.1出现。
snmp-server host 172.a.b.c traps version 2c xxxxxxxx
snmp-server community xxxxxxxx rw 设置SNMP功能,向服务器172.a.b.c发送Trap消息,版本为v2c,团体名为xxxxxxxx,可读写。
line con 0
line vty 0 4privilege level 15loginpassword xxxxxxxx设置Console用户(只创建用户,未做设置,默认),设置远程用户,最多支持5位远程用户(同时在线),优先级都为15,远程时采取login方式(即enable密码+二级密码)登录设备。
注:若为login local,则为用户名+用户名登录。
不同型号/版本设备额外多出的默认配置(不详解):
redundancyauto-sync time-period 3600auto-sync standardswitchover timeout 4000//S5510-48GT/4SFP-E
//RGOS 10.4(3b16)p2 Release(170334)no co-operate enable//S5750-24GT/12SFP
//RGOS 10.4(3)p1 Release(137164)小结:
作为接入交换机,园区内的众多(锐捷)设备配置模板并不一致,如部分设备未配置快速端口,部分设备未配置DHCP Snooping,部分设备端口下连基本的防环/破环机制都没有,部分设备的Uplink接口未裁剪无关Vlan等,配置完善程度参差不齐,笔者所演示的部分已经是多个设备配置整合在一起的版本。
其次,这份配置还有更多需要优化的部分,如每台设备都应该关联NTP服务器,保证日志时间准确;远程登录的方式也应该选择更安全的SSH(在绝大多设备上根本没有关于SSH的配置)等。
在更苛刻的环境下,接入层交换机也可以通过禁用Finger服务、Hootp服务、Small TCP/UDP服务等以保证安全,当然,有部分配置可以在更高层次的三层交换机/路由器/防火墙上完成。
笔者对于SNMP协议以及SNMP服务器与网络设备的数据采集等知识还有所欠缺。
园区内还存在部分Huawei与H3C的交换设备,通过查看这些配置以分析不同厂商设备的默认配置逻辑以及实现相同功能的细小差异。
浅略/逐行分析园区网接入交换机配置(以Ruijie交换机为例)相关推荐
- 【Web安全】php://filter 的浅略底层分析
新建一个 php 文件:a.php <?php $a = "a.txt"; include("php://filter/resource=" . $a); ...
- 华为mstp多生成树配置_【交换机】交换机如何配置MSTP(多实例生成树协议)
一.组网需求 内网有4个vlan,vlan10和20的生成树根桥在核心交换机A上,vlan30,40的vlan根桥在核心交换机B上. 二.组网拓扑: 三.配置要点: 开启生成树功能 创建不同的实例 为 ...
- Doris浅略介绍 +部署+使用
Doris 学习日常记录 (记录学习过程和遇到的坑,仅是个人学习使用) Doris浅略介绍 DORIS 组成 安装Doris步骤 由于IP地址变换,导致的 doris FE 重启失败问题 Doris ...
- 天兔(Lepus)监控系统慢查询分析平台安装配置
转http://suifu.blog.51cto.com/9167728/1770672 被监控端要安装pt工具 1 2 3 4 [root@HE1~]## yum -y install perl-I ...
- Javascript 匀速运动停止条件——逐行分析代码,让你轻松了运动的原理
原文:Javascript 匀速运动停止条件--逐行分析代码,让你轻松了运动的原理 我们先来看下之前的匀速运动的代码,修改了速度speed后会出现怎么样的一个bug.这里加了两个标杆用于测试 < ...
- 深入理解HashMap(三): 关键源码逐行分析之构造函数
前言 系列文章目录 上一篇我们说明了HashMap的hash算法, 说到HashMap在构造时会自动将table设为2的整数次幂. 本篇我们就来聊聊HashMap的构造函数. 本文的源码基于 jdk8 ...
- 并发编程——ConcurrentHashMap#transfer() 扩容逐行分析
并发编程--ConcurrentHashMap#transfer() 扩容逐行分析 </h1><div class="clear"></div> ...
- Python性能分析入门——cProfile、可视化、逐行分析、内存分析
文章目录 简介 cProfile PyCharm 可视化 安装 gprof2dot SnakeViz PyCallGraph 逐行分析 内存分析 内存堆分析 其他 遇到的坑 参考文献 简介 通过性能分 ...
- html 设置响应X-frame,X-Frame-Options(点击劫持)漏洞分析及web配置修复
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段.攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的ifram ...
最新文章
- 爬虫之使用verify参数忽略CA证书
- 哈希表建立及冲突处理
- Django-分页扩展
- VTK:字形2D用法实战
- php 调用memcache,Windows下的Memcache安装(php调用)
- MySQL优化大总结
- ping命令 仿源码实现 以及几个 命令的 使用
- 涨跌停计算器_股票涨跌停计算器
- python 小程序——快递分拣程序
- 女生转行学习IT技术需要考虑什么
- 什么是常量,常量的类型有哪些?
- 计算机键盘练习,电脑键盘指法练习
- 负重下肢外骨骼的运动意图预测和运动状态辨识
- CG100---13年金牛星 调表 型号HA48
- ubuntu安装fcitx五笔拼音输入法_Simplelife_新浪博客
- nvm 安装node版本报错clang: error: no such file or directory: ‘CXX=c++‘
- 山还是山 水还是水
- HTML5期末大作业:漫画网站设计——布卡漫画官网(4页) HTML+CSS+JavaScript 学生DW网页设计作业成品 w学生原创课程设计漫画设计制作大作业成品免费下载
- 【开箱】B.FRIEND MK3机械式键盘!可换轴换灯,绝美双色金属底座!
- C语言中的if、else if 的用法和区别