1、密 级:文档编号:项目代号:中国移动华为路由器交换机安全配置手册Version 1.1中国移动通信二零零四年十二月拟 制:审 核:批 准:会 签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限和文档关键关系1创建、修改、读取负责编制、修改、审核2同意负责本文档同意程序3标准化审核作为本项目标标准化责任人,负责对本文档进行标准化审核4读取5读取目 录目 录v第1章 概述1-11.1 交换机1-11.2 路由器1-5第2章 华为路由器交换机物理安全管理2-112.1 定时检验机房温度和湿度2-112.2 定时检验机房电源输入是否完好2-122.3 定时检验设备接地电阻是否正常2
2、-122.4 定时检验设备相关线缆是否完好2-132.5 定时检验设备风扇是否运行正常2-13第3章 华为路由器交换机数据安全配置3-133.1 分级设置用户口令3-133.2 对任何方法用户登录全部进行认证3-143.3 对于网络上已知病毒所使用端口进行过滤3-173.4 关闭危险服务3-193.5 在使用SNMP协议时候安全提议3-203.6 关闭不使用物理端口3-203.7 保持系统日志打开3-203.8 注意检验设备系统时间是否正确3-213.9 路由协议采取加密认证3-213.10 在设备上开启URPF功效3-253.11 防攻击方法3-263.12 攻击防范配置3-283.12.1
3、 使能IP欺骗攻击防范功效3-293.12.2 使能Land攻击防范功效3-303.12.3 使能Smurf攻击防范功效3-303.12.4 使能Fraggle攻击防范功效3-313.12.5 使能WinNuke攻击防范功效3-313.12.6 配置SYN Flood攻击防范功效3-323.12.7 配置ICMP Flood攻击防范功效3-343.12.8 配置UDP Flood攻击防范功效3-363.12.9 使能ICMP重定向报文攻击防范功效3-373.12.10 使能ICMP不可达报文攻击防范功效3-383.12.11 配置地址扫描攻击防范功效3-393.12.12 配置端口扫描攻击防范
4、功效3-403.12.13 使能带源站路由选项IP报文攻击防范功效3-413.12.14 使能带路由统计选项IP报文攻击防范功效3-413.12.15 使能带时间戳统计选项IP报文攻击防范功效3-423.12.16 使能Tracert报文攻击防范功效3-433.12.17 使能TCP报文标志正当性检测功效3-433.12.18 使能Ping of Death攻击防范功效3-443.12.19 使能TearDrop攻击防范功效3-453.12.20 使能IP分片报文攻击防范功效3-453.12.21 配置超大ICMP报文攻击防范功效3-463.13 端口镜像功效3-47第4章 华为路由器交换机安
5、全管理制度4-474.1 登录口令强壮性4-474.2 登录口令定时更换4-484.3 不一样人员掌握不相同级登录口令4-484.4 对于设备硬件、软件、数据配置操作进行登记立案4-494.5 对于每一次网络异常进行登记立案4-494.6 在设备外保留设备目前运行版本、数据配置、日志信息4-494.7 机房安全管理提议:4-50第1章 概述1.1 交换机交换机是构建网络平台“基石”。从传输介质和传输速度上可分为以太网交换机、快速以太网交换机、千兆以太网交换机、FDDI交换机、ATM交换机和令牌环交换机等。从规模应用上又可分为企业级交换机、部门级交换机和工作组交换机等。通常来讲,企业级交换机全部
6、是机架式,部门级交换机能够是机架式(插槽数较少),也能够是固定配置式,而工作组级交换机为固定配置式(功效较为简单)。众所周知,传统交换机工作在OSI参考模型第二层数据链路层上,关键功效包含物理编址、网络拓扑结构、错误校验、帧序列和流控。物理编址(相对应是网络编址)定义了设备在数据链路层编址方法;网络拓扑结构包含数据链路层说明,定义了设备物理连接方法,如星型拓扑结构或总线拓扑结构等;错误校验向发生传输错误上层协议告警;数据帧序列重新整理并传输除序列以外帧;流控能够延缓数据传输能力,以使接收设备不会因为在某一时刻接收到了超出其处理能力信息流而瓦解。现在很多交换机还含有VLAN、链路汇聚、MPLS等
7、功效。华为交换机关键有以下多个系列:产品型号特征Quidway S8016多业务关键路由交换机 面向IP城域网网络骨干、交换关键、汇聚中心建设,基于硬件二到七层和MPLS线速转发技术。l 支持MPLS和基于MPLS二、三层VPN业务,支持丰富组播协议,支持WEB SWITCH(硬件支持)、NAT(硬件支持),支持DHCP Relay并内置DHCP Server功效;支持VLAN聚合、VLAN Trunk、支持GVRP、支持VLAN嵌套、丰富路由协议和完善路由策略等丰富二三层功效;l 支持完善DiffServ/QoS保障,实现了简单流分类、复杂流分类、流量监管、真正拥塞控制、完善队列调度和输出流
8、整形等功效,可同时承载数据、语音和视频业务综合网络;全部QoS功效采取硬件实现,对性能没有影响;l 采取全分布式体系结构设计,实现数据逐包转发,区分于传统流cache转发方法,能够有效防范多种“宏病毒”冲击;不管是路由处理系统本身,还是分布式线路接口板、内容线路板和NAT板全部提供包安全过滤/ACL机制,预防非法侵入和恶意报文攻击。Quidway S8500 系列关键路由交换机 新一代高性能万兆关键路由交换机产品,可广泛应用于IP城域网关键汇聚。l 采取功效强大ASIC芯片进行高速路由查找,并经过Crossbar技术进行高速报文交换,从而大大提升了路由交换机转发性能和扩充能力;l 可提供高达1
9、.8T背板带宽、720Gbps交换容量、432Mpps转发能力;并可提供高密度接口板,支持线速转发;l 每块业务板均提供128K最长匹配路由转发表,支持策略路由和路由负载分担;l 支持线速MPLS分布式转发,能够提供愈加好VPN业务和透明LAN服务,更能够经过MPLS TE来提供流量工程功效。Quidway S6500 系列高端交换机面向IP城域网、大型企业网及园区网用户系列大容量、高密度、模块化三层交换机,作为城域网汇聚层交换机。l S6503整机支持3个高速业务插槽且主控板可直接提供4个GE接口;S6506/S6506R整机支持6个高速业务板插槽,提供平滑投资和业务扩展能力;l 最大支持6
10、4K路由表项,基于最长匹配路由方法,确保了全部报文均取得相同转发性能;l 支持专利弹性资源调配系统技术,实现系统背板、交换引擎带宽、性能最优分布;l 基于新一代ASIC技术Salience 系列交换路由引擎将L2/3/4线速转发和丰富QOS、ACL特征结合在一起,是组建高可靠、低时延关键网络关键保障。Quidway S5500 系列千兆智能三层交换机面向IP城域网汇聚层和大型企业或园区网汇聚层盒式高密度可堆叠三层交换机。l 含有64Gbps背板带宽,32Gbps交换容量, 24Mpps转发能力,最大支持32K路由表项,基于最长匹配路由方法,确保了全部报文均取得相同转发性能;l 支持高性能SFP
11、光接口,支持GE电口、单/多模光口模块混合配置,支持模块热插拔;并可提供堆叠接口模块,能够和系列交换机堆叠,能够提供更灵活组网模式;l 提供以64Kbit/s为步长流控粒度,能够对不一样业务进行更细致管理,支持丰富流分类,丰富Qos策略是构建高质量“三网合一”网络基础。Quidway S3500 系列安全智能三层交换机为充足满足安全IP交换和高QOS确保需求而推出智能型以太网交换机;l 32Gbps总线带宽为交换机全部端口提供三层线速交换能力,系统能够提供4个GE,有效处理了在单台设备上多个千兆链路上行,同时接入千兆服务器需求,极大节省了用户对设备投资;l 基于最长匹配路由策略,系统采取逐包转
12、发方法,确保了全部报文均取得相同转发性能,对“红码病毒”和“冲击波病毒”攻击含有天生防御能力,有效确保了设备安全;支持802.1x和Web Portal认证,在用户接入网络时完成必需身份认证,还能够经过灵活MAC、IP、VLAN、PORT任意组合绑定,有效预防非法用户访问网络;l 不仅支持STP/RSTP生成树协议,还提供了基于多VLAN生成树MSTP,极大提升了链路冗余备份,提升容错能力,确保网络稳定运行。l 支持基于源MAC地址、目标MAC地址、源IP地址、目标IP地址、端口、协议L2L7复杂流分类。Quidway S5000 系列千兆二层交换机为企业网高速互连和千兆到桌面应用而设计智能型
13、可网管交换机,能够提供多路千兆光口,处理高端设备GE端口担心问题。l 不仅支持协议所要求用户端口接入认证方法,还对其进行了优化,接入控制方法能够基于端口,也能够基于MAC地址,极大地提升了安全性和可管理性,并含有用户管理能力;l 支持基于802.1p tags优先级控制,支持8个优先级队列;支持L2L7层流分类,在流分类基础上能够进行ACL和QOS方面多个操作,如带宽限制、优先级修改、过滤、端口镜像、重定向等多个操作;l 支持HGMP功效:简化配置管理任务:经过一个命令交换机实现对多个组员交换机管理;提供拓扑发觉和显示功效,有利于监视和调试网络。Quidway S3000 系列智能二层交换机采
14、取高性能ASIC,采取灵活模块化结构,提供二到七层智能流分类和完善服务质量(QoS),实现完备业务控制和用户管理能力,可作为关注业务管理控制和网络安全保障能力企业网和城域网接入层交换机。l 12.8/18.5Gbps总线带宽为交换机全部端口提供二层线速交换能力,硬件能够识别、处理四到七层应用业务流,全部端口全部含有单独数据包过滤、区分不一样应用流,并依据不一样流进行不一样管理和控制;l 支持802.1x认证,在用户接入网络时完成必需身份认证,还能够经过灵活MAC、IP、VLAN、PORT任意组合绑定,有效预防非法用户访问网络。l 提供了三种各具特色队列调度算法,严格优先级(Strict-Pri
15、ority Queue,简称PQ)、加权轮循(Weighted Round Robin,简称WRR)调度算法和Delay bounded WRR调度算法;l 提供良好堆叠功效,最大可支持16台设备堆叠,同时支持不一样设备混合堆叠,从而确保了网络平滑升级和降低了扩建成本。Quidway S 系列边缘接入交换机为要求含有高性能且易于安装网络环境而度身定做可网管交换机。l 支持4K MAC地址;支持MAC地址表锁定及静态设置,实现对MAC控制过滤;l 支持 HGMP,实现群组管理;l 独特isolate-user-vlan技术,既能够隔离用户,又能够节省VLAN资源;l 多样终端用户控制手段,支持M
16、AC+PORT捆绑,支持预防双网卡代理上网,有效地预防非法用户产生;l 用户侧传输距离200米,方便布线。Quidway SB 系列边缘接入交换机为要求含有高性能且易于安装网络环境而设计可网管楼道级/桌面级二层线速以太网交换产品,含有在户外环境下正常工作能力。l 支持基于端口VLAN,支持isolate-user-vlan;l 支持HGMP,实现群组管理;支持HGMP Client,实现受控组播;l 支持HGMP级连方法,如一台S2026B不直接和管理设备相连,而是经过级连其它交换机和管理设备相连,一样能够实现远程管理维护功效;l 为楼道工作环境量身定做:机身小巧,便于楼道安装;端口密度低,节
17、省运行商投资;散热采取低噪音风扇,静音设计;指示灯设计在机箱顶板上,便于壁挂维护;用户侧10M端口传输距离200米,方便布线。1.2 路由器路由器是一个经典网络层设备。它是两个局域网之间接帧传输数据,在OSIRM之中被称之为中介系统,完成网络层中继或第三层中继任务。路由器负责在两个局域网网络层间接帧传输数据,转发帧时需要改变帧中地址。一、 原理和作用二、 路由器(Router)是用于连接多个逻辑上分开网络,所谓逻辑网络是代表一个单独网络或一个子网。当数据从一个子网传输到另一个子网时,可经过路由器来完成。所以,路由器含有判定网络地址和选择路径功效,它能在多网络互联环境中,建立灵活连接,可用完全不
18、一样数据分组和介质访问方法连接多种子网,路由器只接收源 站或其它路由器信息,属网络层一个互联设备。它不关心各子网使用硬件设备,但要求运行和网络层协议相一致软件。路由器分当地路由器和远程路由器,当地路由器是用来连接网络传输介质,如光纤、同轴电缆、双绞线;远程路由器是用来连接远程传输介质,并要求对应设备,如电话线要配调制解调器,无线要经过无线接收机、发射机。通常说来,异种网络互联和多个子网互联全部应采取路由器来完成。路由器关键工作就是为经过路由器每个数据帧寻求一条最好传输路径,并将该数据有效地传送到目标站点。由此可见,选择最好路径策略即路由算法是路由器关键所在。为了完成这项工作,在路由器中保留着多
19、种传输路径相关数据路径表(Routing Table),供路由选择;时使用。路径表中保留着子网标志信息、网上路由器个数和下一个路由器名字等内容。路径表能够是由系统管理员固定设置好,也能够由系统动态修改,能够由路由器自动调整,也能够由主机控制。1静态路径表 由系统管理员事先设置好固定路径表称之为静态(static)路径表,通常是在系统安装时就依据网络配置情况预先设定,它不会随未来网络结构改变而改变。2动态路径表 动态(Dynamic)路径表是路由器依据网络系统运行情况而自动调整路径表。路由器依据路由选择协议(Routing Protocol)提供功效,自动学习和记忆网络运行情况,在需要时自动计算
20、数据传输最好路径。二、路由器功效(1)在网络间截获发送到远地网段报文,起转发作用。(2)选择最合理路由,引导通信。为了实现这一功效,路由器要根据某种路由通信协议,查找路由表,路由表中列出整个互联网络中包含各个节点,和节点间路径情况和和它们相联络传输费用。假如到特定节点有一条以上路径,则基于预先确定准则选择最优(最经济)路径。因为多种网络段和其相互连接情况可能发生改变,所以路由情况信息需要立即更新,这是由所使用路由信息协议要求定时更新或按改变情况更新来完成。网络中每个路由器根据这一规则动态地更新它所保持路由表,方便保持有效路由信息。 (3)路由器在转发报文过程中,为了便于在网络间传送报文,根据预
21、定规则把大数据包分解成合适大小数据包,抵达目标地后再把分解数据包包装成原有形式。(4)多协议路由器能够连接使用不一样通信协议网络段,作为不一样通信协议网络段通信连接平台。(5)路由器关键任务是把通信引导到目标地网络,然后抵达特定节点站地址。后一个功效是经过网络地址分解完成。比如,把网络地址部分分配指定成网络、子网和区域一组节点,其它用来指明子网中尤其站。分层寻址许可路由器对有很多个节点站网络存放寻址信息。在广域网范围内路由器按其转发报文性能能够分为两种类型,即中间节点路由器和边界路由器。尽管在不停改善多种路由协议中,对这两类路由器所使用名称可能有很大差异,但所发挥作用却是一样。中间节点路由器在
22、网络中传输时,提供报文存放和转发。同时依据目前路由表所保持路由信息情况,选择最好路径传送报文。由多个互连LAN组成企业或企业网络一侧和外界广域网相连接路由器,就是这个企业网络边界路由器。它从外部广域网搜集向本企业网络寻址信息,转发到企业网络中相关网络段;其次集中企业网络中各个LAN段向外部广域网发送报文,对相关报文确定最好传输路径。华为路由器关键有以下多个系列:高端路由器产品型号特征Quidway NetEngine 5000 系列关键路由器 面向IP网国家骨干网络节点、各省网络出口节点和各网络之间互联中心节点关键路由器产品。u 全方面支持MPLS,能够支持L3 MPLS VPN、L2 MPL
23、S VPN、CCC多种业务,胜任高性能P应用;支持大容量组播线速转发,能够和MPLS VPN、QoS等多种特征配合应用。u 采取高性能组件,能够在全部接口上为IP/MPLS业务提供线速转发性能;整机交换容量400Gbps/1.28T,无阻塞交换;整机转发性能500Mpps/1600Mpps。u 关键硬件组件全部提供全方面冗余,全部组件含有热插拔功效。提升运行商级不间断路由转发功效,确保业务不会中止。当主用主控板发生故障时,能够切换到备用主控板,不会发生包丢失,也不会影响对端路由器。Quidway NetEngine 80关键路由器关键应用在IP骨干网、IP城域网骨干层和多种大型IP网络关键位置
24、。u 作为分布式第五代路由器采取了业界高性能网络处理器技术,充足继承了第四代全分布式硬件处理架构,有机地结合了软件灵活性和硬件高性能,又含有快速良好业务升级和扩展能力。u 高品质QoS能力,是网络业务关键技术基础。NE80实现智能业务感知,提供优异队列调度算法、SARED拥塞控制算法,正确确保不一样业务带宽、时延和抖动,满足不一样用户、不一样业务等级“区分服务”要求。u 基于分布式硬件处理,含有高性能网络业务能力,胜任高性能P/PE应用,提供高品质、安全和多层次MPLS VPN处理方案;提供高性能组播能力;提供千兆线速NAT等多种业务。u 支持IPv4/IPv6、MPLS分布式转发。路由能力强
25、大,支持高达170万条大路由表,支持丰富路由协议包含RIP、OSPF、IS-IS、BGP4和多播路由协议。 Quidway NetEngine 40 系列通用交换路由器 充足继承了NE80关键路由器设计理念和关键技术,面向大型企业网、行业网、IP城域网和IP骨干网高端网络产品,包含NE408、NE404和NE402三款型号。u 作为分布式第五代路由器采取了业界高性能网络处理器技术,基于分布式硬件处理,含有高性能业务能力,胜任高性能P/PE应用,提供高品质、安全和多层次MPLS VPN处理方案;提供高性能组播能力;提供千兆线速NAT等多种业务。u 拥有从64k到10G速率接口,支持RPR环网技术
26、,提供丰富协议功效,能够应对多种复杂组网,满足IP城域网、骨干网、运行支撑网组网需求。u 各关键部件包含路由处理系统、交换网系统、时钟系统、电源、管理总线全部为冗余热备份,实现基于状态热切换u 支持丰富L2/L3以太网交换特征Quidway NetEngine 20 系列高端多业务路由器面向运行商、行业网及企业网高性能第五代多业务路由器;采取NP硬件技术实现,含有卓越转发性能;包含NE20-8、NE20-4、NE20-2三款产品。u 采取了业界高性能网络处理器技术实现高速接口包文集中转发,有机地结合了软件灵活性和硬件高性能,提供线速转发性能。u 提供高品质、安全和多层次MPLS VPN处理方案
27、,支持MPLS TE,能够作为高性价比MPLS PE设备使用。u 支持多个方法VPN(L2TP、GRE、MPLS VPN等),含有丰富NAT功效,提供以太网/VLAN、PPP/MP、PPPoE、Frame Relay、HDLC、ATM、X.25、HDLC和LAPB等丰富互联功效,支持备份中心,并提供对语音、组播等业务支持。Quidway NetEngine 16E/08E/05 系列高端路由器 面向电信级运行网络和企业级关键网络,有强大专线接入及VPN业务能力,提供丰富业务功效,含有完善QOS和安全特征,适适用于运行商、政府、教育、金融、电力、企业内部网和业务网,包含NE16E、NE08E、N
28、E05三款产品。u 采取分布式体系结构,主控板冗余设计,主备倒换实现零丢包率;2+1或11电源热备份;接口备份、端口捆绑实现了链路高可靠性。u 支持分布式NAT,含有策略和安全管理功效,能够预防恶意用户对NAT连接攻击,提供完善安全日志。u 支持包过滤防火墙及动态防火墙ASPF,支持用户认证和路由协议验证, 支持标准协议IPSEC和IKE,支持ISPKeeper DOS防御系统。u 支持L2TP、GRE、IPSEC、EOIP、MPLS VPN等VPN业务,提供隧道融合和VPN互通,提供安全和多层次MPLS VPN处理方案。中低端路由器:产品型号特征Quidway NetEngine 5000
29、系列关键路由器 面向IP网国家骨干网络节点、各省网络出口节点和各网络之间互联中心节点关键路由器产品。u 全方面支持MPLS,能够支持L3 MPLS VPN、L2 MPLS VPN、CCC多种业务,胜任高性能P应用;支持大容量组播线速转发,能够和MPLS VPN、QoS等多种特征配合应用。u 采取高性能组件,能够在全部接口上为IP/MPLS业务提供线速转发性能;整机交换容量400Gbps/1.28T,无阻塞交换;整机转发性能500Mpps/1600Mpps。u 关键硬件组件全部提供全方面冗余,全部组件含有热插拔功效。提升运行商级不间断路由转发功效,确保业务不会中止。当主用主控板发生故障时,能够切
30、换到备用主控板,不会发生包丢失,也不会影响对端路由器。Quidway NetEngine 80关键路由器关键应用在IP骨干网、IP城域网骨干层和多种大型IP网络关键位置。u 作为分布式第五代路由器采取了业界高性能网络处理器技术,充足继承了第四代全分布式硬件处理架构,有机地结合了软件灵活性和硬件高性能,又含有快速良好业务升级和扩展能力。u 高品质QoS能力,是网络业务关键技术基础。NE80实现智能业务感知,提供优异队列调度算法、SARED拥塞控制算法,正确确保不一样业务带宽、时延和抖动,满足不一样用户、不一样业务等级“区分服务”要求。u 基于分布式硬件处理,含有高性能网络业务能力,胜任高性能P/
31、PE应用,提供高品质、安全和多层次MPLS VPN处理方案;提供高性能组播能力;提供千兆线速NAT等多种业务。u 支持IPv4/IPv6、MPLS分布式转发。路由能力强大,支持高达170万条大路由表,支持丰富路由协议包含RIP、OSPF、IS-IS、BGP4和多播路由协议。 Quidway NetEngine 40 系列通用交换路由器 充足继承了NE80关键路由器设计理念和关键技术,面向大型企业网、行业网、IP城域网和IP骨干网高端网络产品,包含NE408、NE404和NE402三款型号。u 作为分布式第五代路由器采取了业界高性能网络处理器技术,基于分布式硬件处理,含有高性能业务能力,胜任高性
32、能P/PE应用,提供高品质、安全和多层次MPLS VPN处理方案;提供高性能组播能力;提供千兆线速NAT等多种业务。u 拥有从64k到10G速率接口,支持RPR环网技术,提供丰富协议功效,能够应对多种复杂组网,满足IP城域网、骨干网、运行支撑网组网需求。u 各关键部件包含路由处理系统、交换网系统、时钟系统、电源、管理总线全部为冗余热备份,实现基于状态热切换u 支持丰富L2/L3以太网交换特征Quidway NetEngine 20 系列高端多业务路由器面向运行商、行业网及企业网高性能第五代多业务路由器;采取NP硬件技术实现,含有卓越转发性能;包含NE20-8、NE20-4、NE20-2三款产品
33、。u 采取了业界高性能网络处理器技术实现高速接口包文集中转发,有机地结合了软件灵活性和硬件高性能,提供线速转发性能。u 提供高品质、安全和多层次MPLS VPN处理方案,支持MPLS TE,能够作为高性价比MPLS PE设备使用。u 支持多个方法VPN(L2TP、GRE、MPLS VPN等),含有丰富NAT功效,提供以太网/VLAN、PPP/MP、PPPoE、Frame Relay、HDLC、ATM、X.25、HDLC和LAPB等丰富互联功效,支持备份中心,并提供对语音、组播等业务支持。Quidway NetEngine 16E/08E/05 系列高端路由器 面向电信级运行网络和企业级关键网络
34、,有强大专线接入及VPN业务能力,提供丰富业务功效,含有完善QOS和安全特征,适适用于运行商、政府、教育、金融、电力、企业内部网和业务网,包含NE16E、NE08E、NE05三款产品。u 采取分布式体系结构,主控板冗余设计,主备倒换实现零丢包率;2+1或11电源热备份;接口备份、端口捆绑实现了链路高可靠性。u 支持分布式NAT,含有策略和安全管理功效,能够预防恶意用户对NAT连接攻击,提供完善安全日志。u 支持包过滤防火墙及动态防火墙ASPF,支持用户认证和路由协议验证, 支持标准协议IPSEC和IKE,支持ISPKeeper DOS防御系统。u 支持L2TP、GRE、IPSEC、EOIP、M
35、PLS VPN等VPN业务,提供隧道融合和VPN互通,提供安全和多层次MPLS VPN处理方案。第2章 华为路由器交换机物理安全管理2.1 定时检验机房温度和湿度数据通信设备长久稳定运行是需要一个良好环境,为确保路由器正常工作和延长使用寿命,机房内需维持一定温度和湿度。若机房内长久湿度过高,易造成绝缘材料绝缘不良甚至漏电,有时也易发生材料机械性能改变、金属部件锈蚀等现象;若相对湿度过低,绝缘垫片会干缩而引发紧固螺丝松动,同时在干燥气候环境下,易产生静电,危害路由器上CMOS电路;温度过高则危害更大,它会使路由器可靠性大大降低,长久高温还会影响其寿命,过高温度将加速绝缘材料老化过程。影响设备稳定
36、运行。所以提议天天检验机房内温度和湿度,假如发觉机房空调损坏,要立即修理,降低设备在不良环境下工作时间。我们要求机房温湿度情况达成以下标准:温度相对湿度长久工作条件短期工作条件长久工作条件短期工作条件153004540%65%10%90%注意:l路由器机房内工作环境温度、湿度测量点,指在路由器机架前后没有保护板时测量,距地板以上1.5m和距路由器架前方0.4m处测量数值;l短期工作条件指连续不超出48小时和每十二个月累计不超出15天;2.2 定时检验机房电源输入是否完好电源稳定对于设备稳定运行至关关键,电压波动过大,使设备部分器件常常工作在高电压或低电压,造成设备寿命下降,器件工作不稳定,对于
37、设备运行造成较大影响,提议定时(提议六个月或十二个月一次)检验机房电源输入是否正常,电压波动是否在正常范围内,电压波动范围见各个产品输入电压,假如发觉不在正常范围内,立即对电源进行整改。提议定时检验UPS等备用电源是否能够正常工作,功率能否满足设备需要,因为这些备用电源长久不用,所以发生故障后不易被维护人员立即觉察,同时机房设备逐步增加,可能造成UPS等备用电源输出功率不能满足机房设备需求,这些备用电源完好是否,功率是否满足需要需要进行定时检验,确保在主用输入电源中止后,设备仍然能够正常工作。2.3 定时检验设备接地电阻是否正常良好接地系统是路由器稳定可靠运行基础,是路由器防雷击、抗干扰和防静
38、电关键保障。用户必需为路由器提供良好接地系统,接地电阻假如不正常,会对设备防雷、抗干扰,防静电造成很大影响,对于各个器件全部会产生不良影响,甚至损坏关键器件。提议定时(每六个月或十二个月一次)检验接地线是否完好,接地电阻是否正常,接地标准见各个产品接地要求,在检验时,对于设备接地,机柜接地,地线腐蚀情况,地排腐蚀情况全部要进行全方面检验。2.4 定时检验设备相关线缆是否完好提议定时(每12月检验一次)检验设备电源线、尾纤、接地线缆是否完好,有没有被腐蚀,有没有被鼠咬,以确保业务不会因为线缆损坏而受到影响。2.5 定时检验设备风扇是否运行正常设备风扇假如运行不正常,会造成设备内温度快速上升,它会
39、使路由器可靠性大大降低,长久高温还会影响其寿命,过高温度将加速绝缘材料老化过程,造成设备器件损坏,提议天天注意观察设备风扇是否产生告警,同时能够使用相关命令来查询风扇是否在位。假如风扇框上防尘网上积累了过多灰尘,或风扇运转不顺畅,全部会影响风扇通风排热效果,提议每个月检验一次设备风扇运转是否良好,是否有隐患,风扇框上防尘网是否积累了过多灰尘。第3章 华为路由器交换机数据安全配置3.1 分级设置用户口令华为企业数据设备登录口令分为4级:参观级、监控级、配置级、管理级,不一样等级所能做操作全部不相同。参观级:网络诊疗工具命令(ping、tracert)、从本设备出发访问外部设备命令(包含:Teln
40、et用户端、SSH用户端、RLOGIN)等,该等级命令不许可进行配置文件保留操作。监控级:用于系统维护、业务故障诊疗等,包含display、debugging命令,该等级命令不许可进行配置文件保留操作。配置级:业务配置命令,包含路由、各个网络层次命令,这些用于向用户提供直接网络服务。管理级:关系到系统基础运行,系统支撑模块命令,这些命令对业务提供支撑作用,包含文件系统、FTP、TFTP、XModem下载、配置文件切换命令、电源控制命令、备板控制命令、用户管理命令、等级设置命令、系统内部参数设置命令(非协议要求、非RFC要求)等。提议分级设置登录口令,方便于对于不一样维护人员提供不一样口令。【配
41、置实例】CON口对应优先级缺省为3,其它用户界面优先级缺省为0。# 比如,设置CON口优先级为3,从VTY 0优先级为2。Quidway-ui-console0 user privilege level 3Quidway-ui-vty0 user privilege level 23.2 对任何方法用户登录全部进行认证提议对于多种登录设备方法(经过TELNET、CONSOLE口、AUX口)全部进行认证。在默认情况下,对于华为设备,CONSOLE口是不进行认证,在使用时提议对于CONSOLE口登录配置上认证。对于安全等级通常设备,提议认证方法采取当地认证,认证时候要求对用户名和密码全部进行认证,
42、配置密码时候要采取密文方法。用户名和密码要求足够强壮。对于安全等级比较高设备,提议采取AAA方法到RADIUS去认证。本部实施是加强设备访问和提供服务安全性管理。设置设备标题文本Header设置要求对远程登录Header设置要求必需包含非授权用户严禁登录字样。【配置实例】# 配置会话建立标题。Quidway header login %Enter TEXT message. End with the character %.LOGIN : Hello! Welcome use Quidway LAN Switch!If you are not authorited user, please e
43、xit!%对CON和AUX端口安全要求针对Console口和Aux口安全控制要求,能够为Console口配置增强登录口令认证特征,还能够禁用不需要Aux口使得不能经过Aux端口对设备进行访问。远程登录安全要求华为全线以太网交换机设备提供远程管理能力,用户能够经过远程登录方法对设备进行管理。华为以太网交换机提供强大远程登录安全管理能力,包含:严禁远程用户登录、启用安全远程登录,设置连接超时时间、设置登录尝试次数限制、设置并发用户数目,设置依据源地址登录用户过滤机制。密码管理密码是网络设备用来预防非授权访问关键手段,是设备安全关键部分。最好密码处理方法是将其保留在TACACS+或RADIUS认证服
44、务器上。对于特权模式,应该采取enable secret命令设置强壮密码,而不要采取enable password设置密码,enable secret 命令用于设定含有管理员权限口令,而enable password采取加密算法比较弱。而要采取enable secret命令设置。而且要启用Service password-encryption,这条命令用于对存放在配置文件中全部口令和类似数据(如CHAP)进行加密。避免配置文件被不怀好意者看见,从而取得这些数据明文。同时,不要认为加密了就能够放心了,最好方法就是选择一个长口令字(大于8个字符),避免配置文件被外界得到。RADIUS认证设置RAD
45、IUS(Remote access Dial-In user service)能够提供远程用户认证机制,为远程登录用户提供统一认证手段。【配置实例】# 配置Radius服务器模板。Quidway radius-server template shiva# 配置Radius 主认证、计费服务器和端口。Quidway-radius-shiva radius-server authentication 129.7.66.66 1812 Quidway-radius-shiva radius-server accounting 129.7.66.66 1813# 配置Radius 备认证、计费服务器和
46、端口。Quidway-radius-shiva radius-server authentication 129.7.66.67 1812 secondaryQuidway-radius-shiva radius-server accounting 129.7.66.67 1813 secondary# 配置Radius服务器密钥、重传次数。Quidway-radius-shiva radius-server shared-key this-is-my-secretQuidway-radius-shiva radius-server retransmit 2# 进入AAA视图。Quidwayaaa# 配置认证方案,认证方法为radius。Quidwayaaaauthentication-scheme radiusQuidway-aaa-authen-radius authentication-mode radius# 配置计费方案,计费方法为radius。Quidwayaaaaccounting-scheme radiusQuidwayaaa-accountingaccounting-mode radius # 配置huawei域,在域下采取radius认证方案、radius计费方案、shivaradius模板
浙ICP备2021020529号-1 | 浙B2-20240490 
