VSF配置

vsf domain 5 (vsf域配置)
vsf member 1 (vsf编号配置)
vsf priority 32 (vsf优先级配置)
vsf port-group 1 (vsf组配置)
vsf port-group Interface Ethernet1/0/27
vsf port-group Interface Ethernet1/0/28

MSTP配置

spanning-tree mst configuration ( mstp域配置)
name 10 (域名称)
instance 0 vlan 1-3
instance 10 vlan 4 ( 实例对应的vlan)
instance 20 vlan 40 (实例对应的vlan)
spanning-tree (启动生成树)
spanning-tree mst 0 priority 0 ( 设备在对应实例的优先级)
spanning-tree mst 10 priority 0 (设备在对应实例的优先级)

VRRP配置

router vrrp 6 (配置vrrp)
virtual-ip 10.1.10.126 ( 配置VRIP)
interface Vlan6 (绑定对应的vlan)
priority 120 (设置优先级)
advertisement-interval 5 ( 设置报文通告间隔时间)
enable (启动VRRP)

SNMP配置

配置简单网络管理协议,计划启用V3 版本,V3 版本在安全性方面做了极大的扩充。配置引擎号为62001;创建认证用户为DCN2021,采用3des 算法进行加密,密钥为:Dcn20212021,哈希算法为 SHA,密钥为:Dcn20212021;加入组 DCN,采用最高安全级别;配置组的读、写视图分别为:Dcn2021_R、Dcn2021_W当设备有异常时,需要使用本地的环回地址 Loopback2 发送 Trap 消息至集团网管服务器 10.50.15.120、2001:10:50:15::120,采用最高安全级别当MAC地址发生变化时,也要立即通知网管发生的变化,每35s发送一次当人力部门对应的用户接口发生UP/DOWN 事件时禁止发送 trap 消息至上述集团网管服务器
snmp-server enable
snmp-server sourceip 10.20.251.1
snmp-server engineid 62001
snmp-server user DCN2021 DCN authPriv 3des Dcn20212021 auth sha DCn20212021
snmp-server group DCN authpriv read Dcn2021_R write DCn2021_W
snmp-server host 10.20.50.120 v3 authpriv DCN2021
snmp-server host 2001:10:50:15::120 v3 authpriv DCN2021
snmp-server enable traps
snmp-server enable traps mac-notification
mac-address-table notification
mac-address-table notification interval 35
interface ethernet 1/0/13-14
no switchport updown notification enable

CPU安全配置

配置相关特性实现报文上送设备 CPU 的前端整体上对攻击报文进行拦截,开启日志记录功能,采样周期 10s 一次,恢复周期为 2 分钟,从而保障 CPU 稳定运行
cpu-protect enable
cpu-protect log enable
cpu-protect interval 10
cpu-protect recovery-time 60

端口安全配置

每个端口只允许的最大安全 MAC 地址数为 1,当超过设定 MAC 地址数量的最大值,不学习新的MAC、丢弃数据包、发 snmp trap、同时在 syslog 日志中记录,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保留;
mac-address-learning cpu-control
Interface Ethernet1/0/11
switchport port-security
switchport port-security maximum 1
switchport port-security violation restrict
switchport port-security aging type inactivity

链路聚合配置

Port-group 1
Interface Ethernet1/0/11-12
Port-group 1 mode passtive

防止ARP扫描配置

为防止网络内用ARP攻击,要求在SW-3的所有业务接口上开防ARP扫描功能,并且针对每个IP的检测为10个每秒,针对每个端口检测为120个每秒,超过检测数值的IP或者端口进行阻断及关闭端口,并且在180秒后恢复。
anti-arpscan enable
anti-arpscan recovery time 180
anti-arpscan port-based threshold 120
anti-arpscan ip-based threshold 10

路由隔离(VRF)配置

Ip vrf Internet
Intface vlan 1000
ip vrf forwarding Internet
ip address 202.10.1.2 255.255.255.252

端口速率配置

核心交换机 SW-1 和核心交换机 SW-2 针对人力业务网段的每个物理接口限制收、发数据占用的带宽分别为 120Mbps、80Mbps;针对财务业务网段的每个物理接口限制所有报文最大收包速率为 100packets/s,如果超过了设置交换机端口的报文最大收包速率则关闭此端口,10 分钟后再恢复此端口,来保证交换机对其他业务的正常处理。
SW-1
Interface Ethernet1/0/1-4
bandwidth control 81916 transmit
bandwidth control 122880 receive
Interface Ethernet1/0/5-7
rate-violation all 100
rate-violation control shutdown recovery 600
SW-2
Interface Ethernet1/0/1-4
bandwidth control 81916 transmit
bandwidth control 102400 receive
Interface Ethernet1/0/5-7
rate-violation all 100
rate-violation control shutdown recovery 600

环路检测配置

为保证集团网络稳定在SW-1上产品部门面开启环路检测功能,并设置端口有环路检测时间为35s;无环路检测时间为15s;端口控制模式为shutdown;shutdown自动恢复时间为300s。
loopback-detection interval-time 35 15
loopback-detection control-recovery timeout 300
Interface Ethernet1/0/3-4
loopback-detection control shutdown

端口镜像配置

SW-1设置开启端口镜像功能,将SW-1与FW1互连的全部流量信息映射到E1/0/20端口
monitor session 1 source interface Ethernet1/0/22 tx
monitor session 1 source interface Ethernet1/0/22 rx
monitor session 1 destination interface Ethernet1/0/20