园区交换机配置设定标准

FOXCONNTECHNOLOGYGROUP系統名稱SYSTEM：主題SUBJECT：文件編號DOCUMENTNO：作業標準園區交換機配置設定標準O-SOP-FGNC-xxPAGEREVA**本文件之著作權及營業秘密內容屬於富士康科技集團，非經公司允許不得翻印**園區交換機配置設定標準適用範圍﹕龍華園區內所有二﹑三層交換機目的﹕便於網路建置的規範化提升網路管理効率配置設定概述﹕結合園區實際情況﹐主要以思科運行IOS的交換機為例進行配置說明﹐并輔以3026配置說明﹐如無特別說明﹐密碼配置均要求設置最小8位由英文字符﹑特殊字符與數字組成的字符串。1.登陸后的UserEXEC模式﹕hostname2.進入Privilege特權模式﹕hostname#3.進入全局配置模式﹕hostname(config)#4.退出各種模式﹕exit5.保存配置﹕(config)#write一．基本配置﹕1.設備命名﹕規則為“設備類型-樓棟-層別-機房-IP地址”﹐主干10.191網段的可以直接用后兩個Octet﹐如下﹕(config)#hostname3750-G11-2F-B-247.102.時間戳﹕使用設備本地時間以備日志分析及安全審查時用﹐而設備本地時間將會與NTP服務器同步時間﹐后述﹐配置如下﹕(config)#servicetimestampsdebugdatetimelocaltime(config)#servicetimestampslogdatetimelocaltime3.VTP配置﹕確保設備的VLANDB與VTPServer同步(config)#vtpmodeclient(config)#vtpdomainxxx(config)#vtppasswordxxx4.NTP配置﹕確保所有網絡設備之間時間的同步﹐以便于故障分析與審計(config)#ntpserver10.191.131.131(config)#clocktimezoneGMT85.Syslog配置﹕將設備產生的日志送至特定syslogserver收集待日后分析故障用(config)#loggingon(config)#logging10.191.130.105(config)#loggingtrapnotifications6.去掉域名查尋﹐以免誤輸入時長時間等候設備回應﹕(config)#noipdomain-lookup7.VLAN網關配置﹕啟用新VLAN網段(config)#interfacevlanxxx(config-if)#ipaddressx.x.x.xy.y.y.y(config-if)#descriptionxxx(config-if)#noshutFOXCONNTECHNOLOGYGROUP系統名稱SYSTEM：主題SUBJECT：文件編號DOCUMENTNO：作業標準園區交換機配置設定標準O-SOP-FGNC-xxPAGEREVA**本文件之著作權及營業秘密內容屬於富士康科技集團，非經公司允許不得翻印**8.DHCPServer配置﹕引導用戶獲取IP地址(config)#interfacevlanxxx(config-if)#iphelper-address10.191.130.130(config-if)iphelper-address10.191.131.1319.默認網關配置﹕設備及其下連設備與用戶的默認目的地﹐引導數據路由(config)#ipdefault-gateway10.191.x.x10.物理端口配置﹕啟用新端口以完成終端設備接入(config)#interfaceFastEthernet0/1(config-if)#switchportaccessvlanxxx(config-if)#descriptionxxx(config-if)#noshut二．增強配置﹕1.UDLD﹕解決環路問題(config)#udldenable(config)#interfacerangefa0/1–24,gi0/1–2(config-if)#udldenable(config-if)#exit(config)#shudld2.Trunk配置﹕主干交換機間的域內所有跨VLAN數據的承載通道(config)#interfaceGigabitEthernet1/0/28(config-if)#switchportmodetrunk(config-if)#switchporttrunkencapsulationdot1q(config-if)#descriptionxxx(config-if)#noshut3.SNMP配置﹕確保網管系統能獲取設備的運行狀態信息(config)#snmp-servercommunityxxxRO(config)#snmp-servercommunityxxxRW994.啟用密碼加密﹕對配置內各項密碼進行加密(config)#servicepassword-encryption5.Enablesecret密碼配置﹕配置設備最高權限密碼(config)#enablesecretxxx6.刪去enablepassword密碼配置﹕刪去弱加密的enablepassword(config)#noenablepassword7.三層交換的啟用﹕在三層交換機上對多VLAN間的數據路由(config)#iprouting8.HSRP的啟用﹕配置熱備份動態路由協議﹐提供用戶冗余網關以增強可用性(config)#interfaceVlanxxx(config-if)#standbyxxxipx.x.x.x(config-if)#standbyxxxpriorityxxx(config-if)#standbyxxxpreempt9.DHCPsnooping的啟用﹕引導用戶獲取正確的DHCP信息(config)#ipdhcpsnoopingvlanxxx(config)#interfacexxxFOXCONNTECHNOLOGYGROUP系統名稱SYSTEM：主題SUBJECT：文件編號DOCUMENTNO：作業標準園區交換機配置設定標準O-SOP-FGNC-xxPAGEREVA**本文件之著作權及營業秘密內容屬於富士康科技集團，非經公司允許不得翻印**(config-if)#ipdhcpsnoopingtrust10.EIGRP路由協議的啟用﹕啟用動態路由協議以學習域內路由(config)#routereigrpxxx(config-router)#passive-interfacedefault(屏蔽所有接口發送路由更新)(config-router)#nopassive-interfaceVlanxxx(路由VLAN除外)(config-router)#network10.0.0.0(config-router)#noauto-summary三．安全配置﹕1.TACACS+認証配置﹐對用戶身份進行認証﹐需配置本地帳戶。(config)#aaanew-model(config)#aaaauthenticationlogindefaultgrouptacacs+local(config)#aaaauthenticationloginconsolelineenable(config)#aaaauthorizationexecdefaultgrouptacacs+local(config)#aaaaccountingexecdefaultstart-stopgrouptacacs+(config)#aaaaccountingcommands15defaultstart-stopgrouptacacs+(config)#aaaaccountingnetworkdefaultstart-stopgrouptacacs+(config)#aaaaccountingconnectiondefaultstart-stopgrouptacacs+(config)#tacacs-serverhost10.191.129.29(config)#tacacs-serverkey1912.本地帳戶配置﹕(config)#usernamefhwadminpasswordxxx3.訪問列表配置(config)#access-listxxxpermit/denytcp/ipx.x.x.xm.m.m.my.y.y.ym.m.m.m(config)#access-listxxxpermit/denytcp/ipx.x.x.xm.m.m.mhosty.y.y.y(config)#access-listxxxpermit/denytcp/iphostx.x.x.xhosty.y.y.y4.Console登陸配置﹐帶外管理(config)#linecon0(config-line)#passwordxxx(config-line)#loginauthenticationconsole5.Telnet登陸配置﹐帶內管理(config)#linevty04(config-line)#password(config-line)#login6.啟用TCPkeepalives服務﹕防止失效連接被用于DoS攻擊(config)#servicetcp-keepalives-in(config)#servicetcp-keepalives-out7.關掉不必要的服務﹕減少漏洞以降低受攻擊的風險﹐常見如下﹕(config)#noiphttpserver(網頁配置模式傳送數據不加密﹐無必要應關閉)(config)#noipbootpserver(防止遭受DoS攻擊)(config)#noipsource-route(防止源路由欺騙)(config)#noipdomain-lookup(防止域名解析時產生廣播包時被攻擊者利用)(config)#noipdirected-broadcast(防止被利用作DoS攻擊中的跳板轉發廣播包)(config)#noservicefinger(防止機器本地用戶信息被攻擊者獲得﹐12.1(5)后關閉)FOXCONNTECHNOLOGYGROUP系統名稱SYSTEM：主題SUBJECT：文件編號DOCUMENTNO：作業標準園區交換機配置設定標準O-SOP-FGNC-xxPAGEREVA**本文件之著作權及營業秘密內容屬於富士康科技集團，非經公司允許不得翻印**(config)#noservicetcp-small-servers(防止被攻擊者利用成為漏洞)(config)#noserviceudp-small-servers(防止被攻擊者利用成為漏洞)四．補充﹕3026常用配置示例1．進入與退出配置模式﹕hostname#confhostname(config)#exit2．配置設備名稱﹕(config)#hostname3026-C16-A-128.64.53．網管Vlan配置﹕3026-C16-A-128.64.5(config)#interfacevlan13026-C16-A-128.64.5(config-if)#ipaddress10.128.64.5255.255.252.03026-C16-A-128.64.5(config-if)#exit4．配置默認網關﹕3026-C16-A-128.64.5(config)#ipdefault-gateway10.128.64.15．配置登錄認証方式﹕3026-C16-A-128.64.5(config)#aaaauthenticationloginlocal6．配置本地用戶帳戶﹕3026-C16-A-128.64.5(config)#usernameadminpasswordxxxxx7．配置設備最高權限密碼﹕3026-C16-A-128.64.5(config)#enablepasswordxxxxx8．關閉spanning-tree功能﹐以免底層交換機日常開關機頻繁影響園區網絡收斂3026-