一、基础安全配置(前提)
1. 配置管理IP
system-viewinterfaceVlanif100ipaddress192.168.100.10255.255.255.0quit
2. 配置默认网关
iproute-static0.0.0.00.0.0.0192.168.100.13. 禁用不安全服务
undo telnet serverenableundo stelnet serverdisable# 确保SSH是唯一远程方式
二、SSH 公钥认证(第一因子:私钥)
实现管理员通过 SecureCRT/Xshell 免密登录
1. 生成本地RSA密钥(用于SSH服务)
rsalocal-key-paircreate输入长度:2048
2. 启用SSH服务器
stelnet serverenablessh serverenable
3. 创建管理员用户(仅允许SSH)
aaalocal-useradmin privilege level3local-useradmin service-type sshlocal-useradmin password cipher MyStrongPass!2024quit
4. 配置VTY仅允许SSH
user-interface vty04authentication-mode aaaprotocolinbound sshidle-timeout5quit
5. 配置公钥认证(绑定用户)
(1) 在 SecureCRT 生成密钥,获取公钥内容(如ssh-rsa AAAAB3Nza…)
(2) 在交换机导入公钥
public-key peerAdminKeyrsapublic-key-codebeginssh-rsaAAAAB3NzaC1yc2EAAAABIwAAAQEAr... admin@dev# 一行完整public-key-codeendpeer-public-keyend
(3) 绑定公钥到用户
ssh user admin authentication-typepublickeyAdminKey✅ 此时可禁用密码登录(更安全):
undo ssh user admin authentication-typepassword三、SNMPv3 配置(第二因子:认证+加密)
用于网管系统(如Zabbix、iMC、SolarWinds)安全采集数据
1. 创建SNMPv3用户(带认证和加密)
snmp-agentsnmp-agent sys-info version v3
2. 配置SNMPv3用户(推荐使用 SHA + AES)
snmp-agent usm-userv3 snmpadmingroupv3groupsnmp-agent usm-userv3 snmpadmin authentication-mode sha MyAuthPass!123snmp-agent usm-userv3 snmpadmin privacy-mode aes128 MyEncrPass!456
参数说明:
-
snmpadmin:SNMP用户名
-
sha:认证算法(比MD5更安全)
-
aes128:加密算法(防止窃听)
-
MyAuthPass!123:认证密码
-
MyEncrPass!456:加密密码
3. 创建用户组(可选,用于权限控制)
snmp-agentgroupv3 v3group privacy read-viewallview write-viewallview notify-viewallview4. 配置MIB视图(限制访问范围)
snmp-agent mib-viewincluded allview iso5. 允许网管主机访问(ACL限制)
aclnumber2000rule5permit source192.168.100.1000 # 仅允许网管服务器IPrule10denyquitsnmp-agent acl2000
四、安全审计增强配置
1. 开启日志记录
info-centerenableinfo-center loghost 192.168.100.200# 发送日志到日志服务器info-centersourcedefault channel loghost level warning
2. 记录用户操作命令
aaacommandauthorizationenablecommandaccountingenablequit
3. 设置登录失败锁定
aaalocal-aaa-userfail-logintimes3local-aaa-userlock-time5quit
3次失败后锁定5分钟
4. 设置会话超时
user-interface vty04idle-timeout5autocommitinterval60 # 自动保存配置(可选)
五、验证配置(审计检查项)
|
审计项 |
验证命令 |
预期结果 |
|---|---|---|
|
SSH 是否启用 |
display ssh server status |
Server : enabled |
|
SNMPv3 是否启用 |
display snmp-agent sys-info version |
Version: v3 |
|
用户权限是否最小化 |
display local-user |
admin level=3 |
|
是否禁用Telnet |
display telnet server status |
Disabled |
|
是否启用ACL限制 |
display acl 2000 |
仅允许指定IP |
|
日志是否开启 |
display info-center |
loghost 已配置 |
安全建议(满足等保2.0/三级要求)
|
项目 |
建议配置 |
|---|---|
|
密码策略 |
使用强密码(大小写+数字+符号,>8位) |
|
密钥长度 |
RSA 2048位,SNMP使用SHA/AES |
|
访问控制 |
ACL限制SSH/SNMP源IP |
|
日志留存 |
配置日志服务器,保留≥6个月 |
|
账号管理 |
禁用默认账户,定期更换密码 |
|
配置备份 |
定期备份配置文件(加密存储) |
附:SNMPv3 客户端配置示例(Zabbix / iMC)
|
字段 |
值 |
|---|---|
|
版本 |
SNMPv3 |
|
用户名 |
snmpadmin |
|
认证协议 |
SHA |
|
认证密码 |
MyAuthPass!123 |
|
加密协议 |
AES |
|
加密密码 |
MyEncrPass!456 |
|
安全级别 |
AuthPriv |
✅ 双因子安全架构
-
远程管理安全:SSH + 公钥认证(私钥+用户绑定)
-
网管监控安全:SNMPv3 + SHA/AES(认证+加密)
-
访问控制:ACL + 最小权限原则
-
审计合规:日志+命令记录+失败锁定
发表回复