WLC-Series Documentation 1.26
Дерево страниц

Сравнение версий

Старая версия 2

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

по сравнению с

Новая версия 3

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Настраиваем хранение syslog-сообщений в файле:

Блок кода
esrwlc(config)# syslog file tmpsys:syslog/default info

Настраиваем ограничение размера и ротацию файлов:

Блок кода
esrwlc(config)# syslog max-files 3
esrwlc(config)# syslog file-size 512

...

Настраиваем передачу сообщений на внешний сервер:

Блок кода
esrwlc(config)# syslog host mylog 192.168.1.2 info udp 514

Включаем нумерацию сообщений syslog:

Блок кода
esrwlc(config)# syslog sequence-numbers

...

Включаем запрос на смену пароля по умолчанию для пользователя admin:

Блок кода
esrwlc(config)# security passwords default-expired

Устанавливаем время жизни пароля 30 дней и запрет на использование предыдущих 12 паролей:

Блок кода
esrwlc(config)# security passwords lifetime 30
esrwlc(config)# security passwords history 12

Устанавливаем ограничения на длину пароля:

Блок кода
esrwlc(config)# security passwords min-length 16
esrwlc(config)# security passwords max-length 24

...

Устанавливаем ограничения по минимальному количеству символов соответствующих типов:

Блок кода
esrwlc(config)# security passwords upper-case 3
esrwlc(config)# security passwords lower-case 5
esrwlc(config)# security passwords special-case 2
esrwlc(config)# security passwords numeric-count 4
esrwlc(config)# security passwords symbol-types 4

...

Создаем локального пользователя local-operator с уровнем привилегий 8:

Блок кода
esrwlc(config)# username local-operator
esrwlc(config-user)# password Pa$$w0rd1
esrwlc(config-user)# privilege 8 
esrwlc(config-user)# exit

Задаём локальный ENABLE-пароль:

Блок кода
esrwlc(config)# enable password $6e5c4r3e2t!

Понижаем привилегии пользователя admin:

Блок кода
esrwlc(config)# username admin
esrwlc(config-user)# privilege 1 
esrwlc(config-user)# exit

Настраиваем связь с двумя RADIUS-серверами, основным 192.168.1.11 и резервным 192.168.2.12:

Блок кода
esrwlc(config)# radius-server host 192.168.1.11
esrwlc(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF
esrwlc(config-radius-server)# priority 100 esrwlc(config-radius-server)# exit
esrwlc(config)# radius-server host 192.168.2.12
esrwlc(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF
esrwlc(config-radius-server)# priority 150
esrwlc(config-radius-server)# exit

Настраиваем политику ААА:

Блок кода
esrwlc(config)# aaa authentication login CONSOLE radius local 
esrwlc(config)# aaa authentication login SSH radius 
esrwlc(config)# aaa authentication enable default radius enable
esrwlc(config)# aaa authentication mode break
esrwlc(config)# line console
esrwlc(config-line-console)# login authentication CONSOLE 
esrwlc(config-line-console)# exit esrwlc(config)# line ssh 
esrwlc(config-line-ssh)# login authentication SSH 
esrwlc(config-line-ssh)# exit

Настраиваем логирование:

Блок кода
esrwlc(config)# logging userinfo 
esrwlc(config)# logging aaa
esrwlc(config)# syslog cli-commands

...

Отключаем удаленное управление по протоколу telnet:

Блок кода
esrwlc(config)# no ip telnet server

...

Отключаем устаревшие и не криптостойкие алгоритмы:

Блок кода
esrwlc(config)# ip ssh server
esrwlc(config)# ip ssh authentication algorithm md5 disable
esrwlc(config)# ip ssh authentication algorithm md5-96 disable
esrwlc(config)# ip ssh authentication algorithm ripemd160 disable
esrwlc(config)# ip ssh authentication algorithm sha1 disable
esrwlc(config)# ip ssh authentication algorithm sha1-96 disable
esrwlc(config)# ip ssh authentication algorithm sha2-256 disable
esrwlc(config)# ip ssh encryption algorithm 3des disable
esrwlc(config)# ip ssh encryption algorithm aes128 disable
esrwlc(config)# ip ssh encryption algorithm aes128ctr disable
esrwlc(config)# ip ssh encryption algorithm aes192 disable
esrwlc(config)# ip ssh encryption algorithm aes192ctr disable
esrwlc(config)# ip ssh encryption algorithm aes256 disable
esrwlc(config)# ip ssh encryption algorithm arcfour disable
esrwlc(config)# ip ssh encryption algorithm arcfour128 disable
esrwlc(config)# ip ssh encryption algorithm arcfour256 disable
esrwlc(config)# ip ssh encryption algorithm blowfish disable
esrwlc(config)# ip ssh encryption algorithm cast128 disable
esrwlc(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable
esrwlc(config)# ip ssh key-exchange algorithm dh-group1-sha1 disable
esrwlc(config)# ip ssh key-exchange algorithm dh-group14-sha1 disable
esrwlc(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp256 disable
esrwlc(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp384 disable
esrwlc(config)# ip ssh key-exchange algorithm ecdh-sha2-nistp521 disable
esrwlc(config)# ip ssh host-key algorithm dsa disable
esrwlc(config)# ip ssh host-key algorithm ecdsa256 disable
esrwlc(config)# ip ssh host-key algorithm ecdsa384 disable
esrwlc(config)# ip ssh host-key algorithm ecdsa521 disable
esrwlc(config)# ip ssh host-key algorithm ed25519 disable

Генерируем новые ключи шифрования:

Блок кода
esr#wlc# update ssh-host-key rsa
esr#wlc# update ssh-host-key rsa 2048

...

Включаем защиту от ip spoofing и логирование механизма защиты:

Блок кода
esrwlc(config)# ip firewall screen spy-blocking spoofing
esrwlc(config)# logging firewall screen spy-blocking spoofing

Включаем защиту от TCP-пакетов с неправильно выставленными флагами и логирование механизма защиты:

Блок кода
esrwlc(config)# ip firewall screen spy-blocking syn-fin
esrwlc(config)# logging firewall screen spy-blocking syn-fin
esrwlc(config)# ip firewall screen spy-blocking fin-no-ack
esrwlc(config)# logging firewall screen spy-blocking fin-no-ack
esrwlc(config)# ip firewall screen spy-blocking tcp-no-flag
esrwlc(config)# logging firewall screen spy-blocking tcp-no-flag
esrwlc(config)# ip firewall screen spy-blocking tcp-all-flags
esrwlc(config)# logging firewall screen spy-blocking tcp-all-flags

Включаем защиту от фрагментированных ICMP-пакетов и логирование механизма защиты:

Блок кода
esrwlc(config)# ip firewall screen suspicious-packets icmp-fragment
esrwlc(config)# logging firewall screen suspicious-packets icmp-fragment

Scroll Pagebreak
Включаем защиту от ICMP-пакетов большого размера и логирование механизма защиты:

Блок кода
esrwlc(config)# ip firewall screen suspicious-packets large-icmp
esrwlc(config)# logging firewall screen suspicious-packets large-icmp

Включаем защиту от незарегистрированных IP-протоколов и логирование механизма защиты:

Блок кода
esrwlc(config)# ip firewall screen suspicious-packets unknown-protocols
esrwlc(config)# logging firewall screen suspicious-packets unknown-protocols

...