08-安全配置指导

00-前言

前言

H3C S5500-EI-D系列以太网交换机配置指导共分为十本手册，介绍了S5500-EI-D系列以太网交换机Release2210软件版本各软件特性的原理及其配置方法，包含原理简介、配置任务描述和配置举例。《安全配置指导》主要介绍了各种安全业务特性的原理及配置方法，包括AAA、802.1X、MAC地址认证、Portal认证等接入认证特性，以及IP Source Guard、ARP攻击防御等安全防御特性。

前言部分包含如下内容：

读者对象

本手册主要适用于如下工程师：

l 网络规划人员

l 现场技术支持与维护人员

l 负责网络配置和维护的网络管理员

新增及修改特性说明

本手册对应S5500-EI-D系列交换机的Release2210软件版本，该版本与Release2208版本相比，新增及修改了部分特性，具体请参见下表。

配置指导	新增及修改特性
AAA配置	新增特性： l 配置本地用户的生效时间 l 可授权本地用户为来宾用户或来宾管理员 l 配置用户组的来宾可选属性 l 配置本地用户可以使用的服务类型为Web l 配置RADIUS/HWTACACS认证、授权、计费报文的共享密钥以密文显示
802.1X配置	新增特性：配置802.1X支持的域名分隔符
MAC地址认证配置	无
Portal配置	无
Triple认证配置	无
端口安全配置	新增特性： l 配置安全地址的老化方式为无流量老化 l 将Sticky MAC地址设置为动态类型的安全MAC地址
User Profile配置	无
Password Control配置	无
HABP配置	无
公钥管理配置	无
PKI配置	无
IPsec配置	无
SSH2.0配置	新增特性：SSH和SFTP客户端与IPv6服务器建立连接时对VPN实例的支持
SSL配置	新增特性：配置SSL客户端弱认证功能
TCP攻击防御配置	无
IP Source Guard配置	修改特性：IP Source Guard配置形式变更
ARP攻击防御配置	无
ND攻击防御配置	无
URPF配置	新增特性：松散型URPF检查
SAVI配置	SAVI配置为本版本新增特性
黑名单配置	配置黑名单功能为本版本新增特性

本书约定

1.命令行格式约定

格式	意义
粗体	命令行关键字（命令中保持不变、必须照输的部分）采用加粗字体表示。
斜体	命令行参数（命令中必须由实际值进行替代的部分）采用斜体表示。
[ ]	表示用“[ ]”括起来的部分在命令配置时是可选的。
{ x \| y \| ... }	表示从两个或多个选项中选取一个。
[ x \| y \| ... ]	表示从两个或多个选项中选取一个或者不选。
{ x \| y \| ... } *	表示从两个或多个选项中选取多个，最少选取一个，最多选取所有选项。
[ x \| y \| ... ] *	表示从两个或多个选项中选取多个或者不选。
&<1-n>	表示符号&前面的参数可以重复输入1～n次。
#	由“#”号开始的行表示为注释行。

2.图形界面格式约定

格式	意义
< >	带尖括号“< >”表示按钮名，如“单击<确定>按钮”。
[ ]	带方括号“[ ]”表示窗口名、菜单名和数据表，如“弹出[新建用户]窗口”。
/	多级菜单用“/”隔开。如[文件/新建/文件夹]多级菜单表示[文件]菜单下的[新建]子菜单下的[文件夹]菜单项。

3.各类标志

本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：

	该标志后的注释需给予格外关注，不当的操作可能会对人身造成伤害。
	提醒操作中应注意的事项，不当的操作可能会导致数据丢失或者设备损坏。
	为确保设备配置成功或者正常工作而需要特别关注的操作或信息。
	对操作内容的描述进行必要的补充和说明。
	配置、操作、或使用设备的技巧、小窍门。

4.图标约定

本书使用的图标及其含义如下：

	该图标及其相关描述文字代表一般网络设备，如路由器、交换机、防火墙等。
	该图标及其相关描述文字代表一般意义下的路由器，以及其他运行了路由协议的设备。
	该图标及其相关描述文字代表二、三层以太网交换机，以及运行了二层协议的设备。