HUAWEI新装交换机做开局配置(基于安全方面)

办公区的交换机为了防止常见的各种arp、ip攻击，以及禁止同一vlan的电脑相互通信(比如自建smb、ftp服务器传输文件等)，参考华为的安全配置指南总结如下：

场景：公司每台电脑与可网管交换机一对一连接，且电脑位置相对固定不会有频繁变动

进入系统视图

system-view

使能bpdu保护

stp bpdu-protection

使能icmp流量抑制功能

icmp rate-limit enable

使能基于ipv4的dhcp snooping、探测非法dhcp服务器、自动备份dhcp snooping绑定表

dhcp enable

dhcp snooping enable ipv4

dhcp server detect

dhcp snooping user-bind autosave flash:/dhcp_snooping_autobackup.tbl

创建临时端口组

interface range GigabitEthernet 0/0/1 to GigabitEthernet 0/0/48

以下基于临时端口组进行配置

创建端口隔离组

port-isolate enable group 1

使能端口安全

port-security enable

配置端口学习到的最大mac数量为1

port-security max-mac-num 1

使能端口的dhcp snooping功能

dhcp snooping enable

使能IP源防护及报警功能

ipv4 source check user-bind enable

ip source check user-bind alarm enable

使能ARP检测及报警功能

arp anti-attack check user-bind enable

arp anti-attack check user-bind alarm enable

使能ARP报文限速及报警功能

arp anti-attack rate-limit enable

arp anti-attack rate-limit alarm enable

使能dhcp request报文防护及报警功能

dhcp snooping check dhcp-request enable

dhcp snooping alarm dhcp-request enable

使能dhcp chaddr报文防护及报警功能

dhcp snooping check dhcp-chaddr enable

dhcp snooping alarm dhcp-chaddr enable

使能dhcp报文泛洪防护及报警功能

dhcp snooping check dhcp-rate enable

dhcp snooping alarm dhcp-rate enable

丢弃dhcp giaddr非零报文

dhcp snooping check dhcp-giaddr enable

配置每个端口的dhcp client为1

dhcp snooping max-user-number 1

设置为边缘端口，用于bpdu保护

stp edged-port enable

抑制广播流量、未知组播流量、未知单播流量、已知组播流量、已知单播流量，百分比值为80%

broadcast-suppression 80

multicast-suppression 80

unicast-suppression 80

known-multicast-suppression 80

known-unicast-suppression 80

控制广播风暴、未知组播风暴、未知单播风暴，配置控制动作为阻塞报文，使能日志记录功能，配置检测时间

storm-control broadcast min-rate 1000 max-rate 2000

storm-control multicast min-rate 1000 max-rate 2000

storm-control unicast min-rate 1000 max-rate 2000

storm-control action block

storm-control enable log

storm-control interval 90

接入层交换机连接核心交换机的接口会配置为dhcp snooping可信端口

来源： 华为企业社区