网络设备也是网络边界很重要的设备,是整个数据中心的主干道,不能有任何闪失,这两天对Nexus网络设备进行了简单的安全加固,对主要的操作进行了下总结,如下:
1、 在Nexus建立了一个只读帐号,如要用来查看配置和查看一下其他的信息。由于Nexus有较好且易于操作的RBAC控制机制,这个较好实现。
A、首先建立一个名为maintain的role,并确定可执行的命令
N7K(config)#rolename maintain
N7K(config)#rule1 permit command show running-config
N7K(config)#rule2 permit command show mac address-table
N7K(config)#rule3 permit command show access-lists
B、建立一个帐号属于maintain的帐号,maintainonly
N7K(config)#usernamemaintainonly secret 0 xxxxxx role maintain
C、使用maintainonly登录,确认一下
N7K# ? ……这里用问号试了下,并没有show命令
end Go to exec mode
exit Exit from command interpreter
N7K# show run ……这里直接执行是这可以的
!Command: show running-config
!Time: Thu Sep 4 13:35:522014
version 6.1(2)
switchname N7K
.
.
.N7K# show int ……没有允许查看interface,现实permissiondenied。
% Permission deniedfor the role
2、 给交换机增加bannermotd警告提示,未授权的人不允许登录设备。
3、 设备改为ssh登录
Feather ssh
No feather telnet
4、 给vty增加access-class访问控制,并设置登录空闲超时时间为10min.
建立一个acl:
Ip access-listlogin_auth
1 permit ip 172.10.10.0/24 any
然后调用在vty下面
Line vty
Access-class login_auth in
Exec-timeout 10
5、 在一些必要的接口上启用根防护
spanning-tree guard root
6、 启用一些其他的安全防护特性
no ip redirects
no ip unreachables
no ip proxy-arp
先总结这么多,下次继续进行。