網絡裝置也是網絡邊界很重要的裝置,是整個資料中心的主幹道,不能有任何閃失,這兩天對Nexus網絡裝置進行了簡單的安全加強,對主要的操作進行了下總結,如下:
1、 在Nexus建立了一個隻讀帳号,如要用來檢視配置和檢視一下其他的資訊。由于Nexus有較好且易于操作的RBAC控制機制,這個較好實作。
A、首先建立一個名為maintain的role,并确定可執行的指令
N7K(config)#rolename maintain
N7K(config)#rule1 permit command show running-config
N7K(config)#rule2 permit command show mac address-table
N7K(config)#rule3 permit command show access-lists
B、建立一個帳号屬于maintain的帳号,maintainonly
N7K(config)#usernamemaintainonly secret 0 xxxxxx role maintain
C、使用maintainonly登入,确認一下
N7K# ? ……這裡用問号試了下,并沒有show指令
end Go to exec mode
exit Exit from command interpreter
N7K# show run ……這裡直接執行是這可以的
!Command: show running-config
!Time: Thu Sep 4 13:35:522014
version 6.1(2)
switchname N7K
.
.N7K# show int ……沒有允許檢視interface,現實permissiondenied。
% Permission deniedfor the role
2、 給交換機增加bannermotd警告提示,未授權的人不允許登入裝置。
3、 裝置改為ssh登入
Feather ssh
No feather telnet
4、 給vty增加access-class通路控制,并設定登入空閑逾時時間為10min.
建立一個acl:
Ip access-listlogin_auth
1 permit ip 172.10.10.0/24 any
然後調用在vty下面
Line vty
Access-class login_auth in
Exec-timeout 10
5、 在一些必要的接口上啟用根防護
spanning-tree guard root
6、 啟用一些其他的安全防護特性
no ip redirects
no ip unreachables
no ip proxy-arp