Сравнение версий

Старая версия 11

changes.mady.by.user Филатов Илья Олегович

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  • Рекомендуется всегда отключать неиспользуемые физические интерфейсы с помощью команды shutdown. Команда подробно описана в разделе Конфигурирование и мониторинг интерфейсов справочника команд CLI.
  • Рекомендуется всегда настраивать синхронизацию системных часов с доверенными источниками сетевого времени (NTP). Алгоритм  Алгоритм настройки NTP приведен в разделе разделе Настройка NTP настоящего  настоящего руководства. Подробная информация о командах для настройки NTP приведена в разделе Управление системными часами справочника команд CLI.
  • Рекомендуется отключать NTP broadcast client, включенный по умолчанию в заводской конфигурации.
  • Рекомендуется использовать ACL для ограничения доступа к консольному серверу и устройствам, непосредственно подключенным к устройству. Алгоритм настройки списков доступа приведён в разделе Управление безопасностью настоящего руководства.

Scroll Pagebreak

...

Настроить хранение сообщений о событиях уровня info и выше в файл syslog на устройстве и настроить передачу этих событий на внешний syslog-сервер. Ограничить файл размером 512 кБ. Включить ротацию 3 файлов. Включить нумерацию сообщений syslog.

...

Блок кода
scs(config)# syslog file tmpsys:syslog/default
scs((config-syslog-file)# severity info
scs((config-syslog-file)# exit

Настраиваем ограничение размера и ротацию файлов:

Блок кода
scs(config)# syslog max-files 3
scs(config)# syslog file-size 512

Scroll Pagebreak

Настраиваем передачу сообщений на внешний сервер:

Блок кода
scs(config)# syslog host mylog 
scs(config-syslog-host)# remote-address 92192.1680.12.2
scs(config-syslog-host)# transport udp
scs(config-syslog-host)# port 514
scs(config-syslog-host)# severity info
scs(config-syslog-host)# exit

Включаем нумерацию сообщений syslog:

Блок кода
scs(config)# syslog sequence-numbers

...

Блок кода
scs(config)# security passwords default-expired

Устанавливаем время жизни пароля 30 дней и запрет на использование предыдущих 12 паролей:

Блок кода
scs(config)# security passwords lifetime 30
scs(config)# security passwords history 12

Устанавливаем ограничения на длину пароля:

Блок кода
scs(config)# security passwords min-length 16
scs(config)# security passwords max-length 24

...

Блок кода
scs(config)# security passwords upper-case 3
scs(config)# security passwords lower-case 5
scs(config)# security passwords special-case 2
scs(config)# security passwords numeric-count 4
scs(config)# security passwords symbol-types 4

Настройка политики AAA

Алгоритмы настройки политики ААА приведены в разделе Настройка ААА настоящего руководства.

...

  • Встроенную учётную запись admin удалить нельзя, только отключить авторизацию для неё командой no admin login enable.
  • Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды пользователь admin не будет отображаться в конфигурации.
  • Команда no password для password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin перестает отображаться в конфигурации и становится ‘password'.
  • Перед отключением авторизации для пользователя admin в конфигурацию устройства необходимо настроить пользователя с уровнем привилегий 15 или задать ENABLE-пароль для уровня привилегий 15.
    Scroll Pagebreak

...

Решение:

Создаем локального пользователя localпользователя local-operator с уровнем привилегий 8:

Блок кода
scs(config)# username local-operator
scs(config-user)# password Pa$$w0rd1
scs(config-user)# privilege 8 
scs(config-user)# exit

Задаём локальный ENABLE-пароль:

Блок кода
scs(config)# enable password $6e5c4r3e2t!

Далее необходимо отключить авторизацию у пользователя admin:

Блок кода
scs(config)# no admin login enable

...

Блок кода
scs(config)# radius-server host 192.168.1.11
scs(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF
scs(config-radius-server)# priority 100 scs(config-radius-server)# exit
scs(config)# radius-server host 192.168.2.12
scs(config-radius-server)# key ascii-text encrypted 8CB5107EA7005AFF
scs(config-radius-server)# priority 150
scs(config-radius-server)# exit

Scroll Pagebreak

Настраиваем политику ААА:

Блок кода
scs(config)# aaa authentication login CONSOLE radius local 
scs(config)# aaa authentication login SSH radius 
scs(config)# aaa authentication enable default radius enable
scs(config)# aaa authentication mode break
scs(config)# line console
scs(config-line-console)# login authentication CONSOLE 
scs(config-line-console)# exit scs(config)# line ssh 
scs(config-line-ssh)# login authentication SSH 
scs(config-line-ssh)# exit

Настраиваем логирование:

Блок кода
scs(config)# logging userinfo 
scs(config)# logging aaa
scs(config)# syslog cli-commands

...