• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

07-安全配置指导

目录

00-前言

本章节下载 00-前言  (189.75 KB)

00-前言

前  言

H3C S3100V2系列以太网交换机配置指导共分为九本手册,介绍了S3100V2系列以太网交换机各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例。《安全配置指导》主要介绍了各种安全业务特性的原理及配置方法,包括AAA、802.1X、MAC地址认证、Portal认证等接入认证特性,以及IP Source Guard、ARP攻击防御等安全防御特性。

前言部分包含如下内容:

·     读者对象

·     新增及修改特性说明

·     本书约定

·     产品配套资料

·     资料获取方式

·     技术支持

·     资料意见反馈

读者对象

本手册主要适用于如下工程师:

·     网络规划人员

·     现场技术支持与维护人员

·     负责网络配置和维护的网络管理员

新增及修改特性说明

本手册对应S3100V2系列以太网交换机的Release 5203P12软件版本,各版本间特性差异如下:

·     Release 5203P12与Release 5203P05版本相比,新增、修改了部分特性,具体请参见表1

·     Release 5203P05与Release 5103版本相比,新增、修改了部分特性,具体请参见表2

表1 Release 5203P12与Release 5203P05版本间特性差异

配置指导

新增及修改特性

802.1x

新增特性:

·     配置Voice VLAN

·     配置802.1x认证的MAC地址绑定功能

修改特性:配置802.1X认证超时定时器

MAC地址认证

新增特性:配置MAC地址认证重认证定时器

SSL

新增特性:关闭SSL3.0功能

 

表2 Release 5203P05与Release 5103版本间特性差异

配置指导

新增及修改特性

AAA

新增特性:

l     配置ISP域优先级

l     配置用户组的来宾可选属性

l     配置本地用户的生效时间

l     配置RADIUS报文的DSCP优先级

l     本地用户的授权属性为来宾用户或来宾管理员

l     本地用户可以使用的服务类型为Web类型

l     配置主/从RADIUS认证/授权服务器状态探测功能

l     RADIUS/HWTACACS认证、授权、计费报文的共享密钥支持以密文方式配置

l     指定与RADIUS客户端通信的共享密钥支持以密文方式配置

l     支持多备份HWTACACS服务器

修改特性:

l     设置用户闲置切断功能

l     设置RADIUS服务器恢复激活状态的时间

l     设置本地用户密码

删除特性:设置本地用户密码的显示方式

802.1X

新增特性:

l     配置802.1X认证的Critical VLAN

l     配置802.1X支持的域名分隔符

l     支持VLAN组下发

l     配置MAC地址认证用户进行802.1X认证的最大尝试次数

l     配置端口发送802.1X协议报文不带Tag

MAC地址认证

新增特性:

·     配置MAC地址认证的Critical VLAN

·     配置MAC地址认证延时时间

·     配置MAC地址认证支持多VLAN模式

修改特性:配置MAC地址认证下线检测定时器的时间

Portal

新增特性:

·     配置Potal认证支持IPv6功能

·     支持明文和密文配置与Portal服务器通信需要的共享密钥

修改特性:Portal免认证规则支持配置TCP或UDP端口号

Triple认证

端口安全

新增特性:

·     配置安全地址的老化方式为无流量老化

·     配置Sticky MAC地址为动态类型的安全MAC地址

User Profile

Password Control

Password Control为本版本新增特性

HABP

公钥管理

PKI

用明文或密文方式配置吊销证书时使用的密码

SSH2.0

新增特性:

·     配置SCP功能

·     配置SSH服务器发送报文的DSCP优先级

·     配置Stelnet客户端发送报文的DSCP优先级

·     配置SFTP客户端发送报文的DSCP优先级

l     SSH支持配置多个公钥

·     配置SCP客户端的用户名和密码

SSL

新增特性:配置SSL客户端弱认证功能

TCP攻击防御

IP Source Guard

新增特性:

·     基于802.1X认证的IP Source Guard动态表项获取功能

修改特性:

·     配置IPv4/IPv6绑定功能命令行变更

·     配置IPv4/IPv6静态绑定表项命令行变更

·     配置IPv4/IPv6绑定表项数目的最大值命令行变更

·     显示绑定表项信息命令行变更

ARP攻击防御

新增特性:

·     配置用户合法性检查的规则

·     ARP Detection日志功能

ND攻击防御

SAVI配置

新增特性:配置SAVI绑定表项延迟时间

FIPS配置

FIPS相关配置为本版本新增特性

IPsec配置

IPsec相关配置为本版本新增特性

 

本书约定

1. 命令行格式约定

格    式

意    义

粗体

命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示。

斜体

命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示。

[ ]

表示用“[ ]”括起来的部分在命令配置时是可选的。

{ x | y | ... }

表示从多个选项中仅选取一个。

[ x | y | ... ]

表示从多个选项中选取一个或者不选。

{ x | y | ... } *

表示从多个选项中至少选取一个。

[ x | y | ... ] *

表示从多个选项中选取一个、多个或者不选。

&<1-n>

表示符号&前面的参数可以重复输入1~n次。

#

由“#”号开始的行表示为注释行。

 

2. 图形界面格式约定

格    式

意    义

< >

带尖括号“< >”表示按钮名,如“单击<确定>按钮”。

[ ]

带方括号“[ ]”表示窗口名、菜单名和数据表,如“弹出[新建用户]窗口”。

/

多级菜单用“/”隔开。如[文件/新建/文件夹]多级菜单表示[文件]菜单下的[新建]子菜单下的[文件夹]菜单项。

 

3. 各类标志

本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:

警告

该标志后的注释需给予格外关注,不当的操作可能会对人身造成伤害。

注意

提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏。

提示

为确保设备配置成功或者正常工作而需要特别关注的操作或信息。

说明

对操作内容的描述进行必要的补充和说明。

窍门

配置、操作、或使用设备的技巧、小窍门。

 

4. 图标约定

本书使用的图标及其含义如下:

该图标及其相关描述文字代表一般网络设备,如路由器、交换机、防火墙等。

该图标及其相关描述文字代表一般意义下的路由器,以及其他运行了路由协议的设备。

该图标及其相关描述文字代表二、三层以太网交换机,以及运行了二层协议的设备。

该图标及其相关描述文字代表无线控制器、无线控制器业务板和有线无线一体化交换机的无线控制引擎设备。

该图标及其相关描述文字代表无线接入点设备。

该图标及其相关描述文字代表无线Mesh设备。

该图标代表发散的无线射频信号。

该图标代表点到点的无线射频信号。

该图标及其相关描述文字代表防火墙、UTM、多业务安全网关、负载均衡等安全设备。

该图标及其相关描述文字代表防火墙插卡、负载均衡插卡、NetStream插卡、SSL VPN插卡、IPS插卡、ACG插卡等安全插卡。

 

5. 端口编号示例约定

本手册中出现的端口编号仅作示例,并不代表设备上实际具有此编号的端口,实际使用中请以设备上存在的端口编号为准。

产品配套资料

H3C S3100V2系列以太网交换机的配套资料包括如下部分:

大类

资料名称

内容介绍

产品知识介绍

产品彩页

帮助您了解产品的主要规格参数及亮点

技术白皮书

帮助您了解产品和特性功能,对于特色及复杂技术从细节上进行介绍

硬件描述与安装

安全兼容性手册

列出产品的兼容性声明,并对兼容性和安全的细节进行说明

H3C 设备防雷安装指导手册

帮助您了解防雷接地设计和工程安装方法,以保证交换机具有良好的抗雷击性能

快速入门

指导您对设备进行初始安装,通常针对最常用的情况,减少您的检索时间

安装指导

帮助您详细了解设备硬件规格和安装方法,指导您对设备进行安装

RPS电源用户手册

帮助您了解产品支持的RPS电源的外观、功能、规格

H3C低端系列以太网交换机RPS电源选购指南

帮助您了解各种RPS电源适用的交换机产品型号及RPS电源配套电缆的相关规格

H3C光模块手册

帮助您了解产品支持的光模块类型、外观和规格

H3C可插拔SFP[SFP+][XFP]模块安装指南

帮助您掌握SFP/SFP+/XFP模块的正确安装方法,避免因操作不当而造成器件损坏

业务配置

配置指导

帮助您掌握设备软件功能的配置方法及配置步骤

命令参考

详细介绍设备的命令,相当于命令字典,方便您查阅各个命令的功能

典型配置举例

帮助您了解产品的典型应用和推荐配置,从组网需求、组网图、配置步骤几方面进行介绍

运行维护

故障处理手册

指导您快速定位并处理软件故障

版本说明书

帮助您了解产品版本的相关信息(包括:版本配套说明、兼容性说明、特性变更说明、技术支持信息)及软件升级方法

 

资料获取方式

您可以通过H3C网站(www.h3c.com.cn)获取最新的产品资料:

H3C网站与产品资料相关的主要栏目介绍如下:

·     [服务支持/文档中心]:可以获取硬件安装类、软件升级类、配置类或维护类等产品资料。

·     [产品技术]:可以获取产品介绍和技术介绍的文档,包括产品相关介绍、技术介绍、技术白皮书等。

·     [解决方案]:可以获取解决方案类资料。

·     [服务支持/软件下载]:可以获取与软件版本配套的资料。

技术支持

用户支持邮箱:service@h3c.com

技术支持热线电话:400-810-0504(手机、固话均可拨打)

网址:http://www.h3c.com.cn

资料意见反馈

如果您在使用过程中发现产品资料的任何问题,可以通过以下方式反馈:

E-mail:info@h3c.com

感谢您的反馈,让我们做得更好!

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们