01 先讲个真事
某金融客户半夜被通报:核心交换机被人删了VLAN,却找不到是谁干的。
痛点总结三句话:
-
账号公用,无法定位真人
-
操作无录像,事后扯皮
-
合规检查,当场傻眼
于是他们把200+ 台华为交换机统统接进 JumpServer,问题秒解。
今天就把这套“官方实战”拆给你,照抄就能过等保。
02 一张图看懂对接逻辑
┌-------------┐ SSH 22 ┌-------------┐│ 华为交换机 │◀-----------------│ JumpServer ││ │ 账号/密钥/审计 │ 统一运维 │└-------------┘ └-------------┘▲ ││ ▼日志同步运维/审计/告警
03 七步落地,30 分钟完活
Step 1 网络&时间打底
clocktimezone CST add8ntp server192.168.100.100# 填 JumpServer 或 NTP
时间不一致,审计日志会“穿越”,等保直接打回。
Step 2 给 JumpServer 开个“专属身份证”
aaalocal-userjumpserver password cipher YourSecurePass!2024local-userjumpserver service-type sshlocal-userjumpserver level3
一个交换机一个账号,也能批量脚本下发,JumpServer 自动改密。
Step 3 打开 SSH 大门
rsalocal-key-pair createstelnetserver enablesshserver enableuser-interface vty04authentication-mode aaaprotocolinbound sshidle-timeout5
idle-timeout 5 —— 5 分钟无操作自动踢人,防“人走茶不凉”。
Step 4(可选)RADIUS 集中认证
JumpServer 装个 radius 插件,就能复用 AD/LDAP,一套账号走遍全网。
配置模板放文末,按需领取。
Step 5 把交换机“登记入库”
登录JumpServer → 资产管理 → 新建
-
IP:交换机管理地址
-
平台:Network Device → Huawei
-
账号:刚才建的jumpserver
30 秒搞定,支持 Excel 批量导入,200 台也就 5 分钟。
Step 6 授权 → 审计 → 告警
-
谁可以看?→ 用户组授权
-
谁要审批?→ 命令黑名单+工单
-
事后追溯?→ 录像+指令 100% 回放,支持 2 倍速/关键词定位。
Step 7 安全加固“三板斧”
1.来源限制:只允许JumpServer 登录
acl2001rule permit source192.168.100.1000user-interface vty04acl2001inbound
2.账号定期改密:JumpServer“改密计划”一键批量
3.日志外送:
info-center loghost192.168.100.101# SIEM 或日志审计04 效果验收清单(拿这个去签字)
|
等保要求 |
实现方式 |
是否满足 |
|---|---|---|
|
身份鉴别 |
独立账号/RADIUS |
✅ |
|
权限分离 |
多级授权+命令过滤 |
✅ |
|
安全审计 |
全程录像+指令日志 |
✅ |
|
数据完整 |
录像SHA-256 防篡改 |
✅ |
05 常见翻车 Q&A
Q1 老设备不支持 SSH?
→ 先升 VRP 版本,实在不能升就用 Telnet+ACL 限定来源,临时过渡。
Q2 想沿用现有 AD 账号?
→ JumpServer 开 LDAP/AD 认证,再配 RADIUS,账号密码不用二次维护。
Q3 命令黑名单怎么配?
→ Web 界面→安全中心→命令过滤器,输入reset saved-configuration|delete|format直接拦截并告警。
“没有审计的权限,都是定时炸弹。”
把交换机接进JumpServer,不只是过等保,更是给运维人一份“不在场证明”。
今天下班前,照文敲一遍,明天领导问“谁删的 VLAN?”
你直接把录像甩给他——
发表回复