新买H3C三层交换机怎么设置本地console口登陆用户名和密码，远程Telnet登陆用户名和密码

开启telnet
#
telnet server enable
#
local-user admin --用户名
password cipher $c$3$rs2s4LN>H3C交换机安全配置基线H3C交换机安全配置基线（Version 10）2012年12月1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)71 账号管理 (3)711 运维账号共享管理 (3)712 删除与工作无关账号 (3)72 口令管理 (4)721 静态口令加密 (4)722 静态口令运维管理 (4)73 认证管理 (5)731 RADIUS认证（可选） (5)74 日志审计 (6)741 RADIUS记账（可选） (6)742 启用信息中心 (6)743 远程日志功能 (7)744 日志记录时间准确性 (7)75 协议安全 (7)751 BPDU防护 (8)752 根防护 (8)753 VRRP认证 (8)76 网络管理 (9)761 SNMP协议版本 (9)762 修改SNMP默认密码 (9)763 SNMP通信安全（可选） (10)77 设备管理 (10)771 交换机带内管理方式 (10)772 交换机带内管理通信 (11)773 交换机带内管理超时 (11)774 交换机带内管理验证 (12)775 交换机带内管理用户级别 (12)776 交换机带外管理超时 (13)777 交换机带外管理验证 (13)78 端口安全 (13)781 使能端口安全 (13)782 端口MAC地址数 (14)783 交换机VLAN划分 (14)79 其它 (15)791 交换机登录BANNER管理 (15)792 交换机空闲端口管理 (15)793 禁用版权信息显示 (16)附录A 安全基线配置项应用统计表 (17)附录B 安全基线配置项应用问题记录表 (19)
附录C 中国石油NTP服务器列表 (20)1 引言本文档规定了中国石油使用的H3C系列交换机应当遵循的交换机安全性设置标准，是中国石油安全基线文档之一。本文档旨在对信息系统的安全配置审计、加固 *** 作起到指导性作用。本文档主要起草人：靖小伟、杨志贤、张志伟、滕征岑、裴志宏、刘磊、叶铭、王勇、吴强。2 适用范围本文档适用于中国石油使用的H3C系列交换机，明确了H3C系列交换机在安全配置方面的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。3 缩略语TCP Transmission Control Protocol 传输控制协议UDP User Datagram Protocol 用户数据报协议SNMP Simple Network Management Protocol 简单网络管理协议ARP Address Resolution Protocol 地址解析协议VLAN Virtual LAN 虚拟局域网STP Spanning Tree Protocol 生成树协议RSTP Rapid Spanning Tree Protocol 快速生成树协议MSTP Multiple Spanning Tree Protocol 多生成树协议BPDU Bridge Protocol Data Unit 桥接协议数据单元VRRP Virtual Router Redundancy Protocol 虚拟路由器冗余协议NTP Network Time Protocol 网络时间协议AAA Authentication，Authorization，Accounting 认证，授权，记账GCC General Computer Controls 信息系统总体控制SBL Security Base Line 安全基线4 安全基线要求项命名规则安全基线要求项是安全基线的最小单位，每一个安全基线要求项对应一个基本的可执行
的安全规范明细，安全基线要求项命名规则为“安全基线–一级分类–二级分类–类型编号–明细编号”，如SBL-Switch-H3C-01-01，代表“安全基线–交换机– H3C –账号类–运维账号共享管理“。5 文档使用说明1> 随着信息技术发展，路由器与交换机在功能上逐渐融合，具有共同点，部分路由器上配有交换板卡，可以实现服务器与终端计算机接入；部分交换机配有路由引擎，可以实现路由功能。虽然两者具有一定共同点，但从路由器与交换机在生产环境中的应用定位出发，本系列文档分为路由器安全基线（侧重于路由协议等）和交换机安全基线（侧重于局域网交换与端口安全等）。2> H3C交换机可以通过命令行、Web、NMS等多种方式管理，本文档中涉及的 *** 作，均在命令行下完成。3> 命令行中需要用户定义的名称与数值，文档中均以<>标出，用户根据需要自行定义。例如local-user ，表示创建账号名称为name1的本地用户，password cipher < password1>，表示本地用户name1的密码为passowrd1。4> 由于各信息系统对于H3C系列交换机的要求不尽相同，因此对于第7章安全配置要求中的安全基线要求项，各信息系统根据实际情况选择性进行配置，并填写附录A《安全基线配置项应用统计表》。5> 在第7章安全配置要求中，部分安全基线要求项提供了阈值，如“交换机带内管理设置登录超时，超时时间不宜设置过长，参考值为5分钟。”，此阈值为参考值，通过借鉴GCC、中国石油企标、国内外大型企业信息安全最佳实践等资料得出。各信息系统如因业务需求无法应用此阈值，在附录A《安全基线配置项应用统计表》的备注项进行说明。6 注意事项由于H3C系列交换机普遍应用于重要生产环境，对于本文档中安全基线要求项，实施前需要在测试环境进行验证后应用。在应用安全基线配置项的过程中，如遇到技术性问题，填写附录B《安全基线配置项应用问题记录表》。在应用安全基线配置前需要备份交换机的配置文件，以便出现故障时进行
回退。7 安全配置要求71 账号管理711 运维账号共享管理安全基线编号SBL-Switch- H3C-01-01安全基线名称运维账号共享安全基线要求项安全基线要求按照用户分配账号，避免不同用户间共享运维账号检测 *** 作参考[Switch]dis current | i local-user安全判定依据1）网络管理员列出交换机运维人员名单；2）查看dis current | i local-user结果：local-userlocal-userlocal-user3）对比命令显示结果与运维人员账号名单，如果运维人员之间不存在共享运维账号，表明符合安全要求。基线配置项重要度高中低 *** 作风险评估高中低712 删除与工作无关账号安全基线编号SBL- Switch- H3C-01-02安全基线名称账号整改安全基线要求项安全基线要求删除与工作无关的账号，提高系统账号安全检测 *** 作参考[Switch]dis current | i local-user安全判定依据1）网络管理员列出交换机运维人员的账号名单；2）查看dis current | i local-user结果：local-userlocal-userlocal-user3）对比显示结果与账号名单，如果发现与运维无关的账号，表明不符合安全要求。备注无关账号主要指测试账号、共享账号、长期不用账号（半年以上）等。基线配置项重要度高中低 *** 作风险评估高中低72 口令管理721 静态口令加密安全基线编号SBL- Switch- H3C-02-01安全基线名称静态口令加密安全基线要求项安全基线要求1）配置本地用户口令使用“cipher”关键字2）配置super口令使用“cipher”关键字检测 *** 作参考1）[Switch]dis current | b local-user2）[Switch]dis current | i super password
安全判定依据如果显示“cipher”关键字，如：1）local-userpassword cipher <密文password>2）super password level cipher <密文password> 表明符合安全要求。基线配置项重要度高中低 *** 作风险评估高中低722 静态口令运维管理安全基线编号SBL- Switch- H3C-02-02安全基线名称静态口令运维管理安全基线要求项安全基线要求1）采用静态口令认证技术的设备，口令最小长度不少于8个字符2）采用静态口令认证技术的设备，口令生存期最长为90天基线配置项重要度高中低73 认证管理731 RADIUS认证（可选）安全基线编号SBL- Switch- H3C-03-01安全基线名称RADIUS认证安全基线要求项安全基线要求配置RADIUS认证，确认远程用户身份，判断访问者是否为合法的网络用户检测 *** 作参考1）[Switch]dis current | b radius scheme 2）[Switch]dis current | b domain3）[Switch]dis current | b user-interface vty安全判定依据如果显示类似：1）配置RADIUS方案radius schemeprimary authenticationkey authenticationuser-name-format without-domain2）配置域domainauthentication login radius-scheme local 3）配置本地用户user-interface vty 0 4protocol inbound sshauthentication-mode scheme表明符合安全要求。基线配置项重要度高中低 *** 作风险评估高中低74 日志审计741 RADIUS记账（可选）
安全基线编号SBL- Switch- H3C-04-01安全基线名称RADIUS记账安全基线要求项安全基线要求与记账服务器配合，设备配置日志功能：1）对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址；2）对用户设备 *** 作进行记录，如账号创建、删除和权限修改，口令修改等，记录需要包含用户账号， *** 作时间， *** 作内容以及 *** 作结果。检测 *** 作参考1）[Switch]dis current | b radius scheme2）[Switch]dis current | b domain安全判定依据如果显示类似：1）配置RADIUS方案radius schemeprimary accountingkey accountinguser-name-format without-domain2）配置域domainaccounting login radius-scheme local 表明符合安全要求。基线配置项重要度高中低 *** 作风险评估高中低742 启用信息中心安全基线编号SBL- Switch- H3C-04-02安全基线名称信息中心启用安全基线要求项安全基线要求启用信息中心，记录与设备相关的事件检测 *** 作参考[Switch]dis info-center安全判定依据如果显示类似：Information Center: enabled 表明符合安全要求。基线配置项重要度高中低 *** 作风险评估高中低743 远程日志功能安全基线编号SBL- Switch- H3C-04-03安全基线名称远程日志功能安全基线要求项安全基线要求配置远程日志功能，使设备日志能通过远程日志功能传输到日志服务器检测 *** 作参考[Switch]dis current | i info-center loghost安全判定依据如果显示类似：info-center loghost 表明符合安全要求。
￥
5
百度文库VIP限时优惠现在开通,立享6亿+VIP内容
立即获取
H3C交换机安全配置基线
H3C交换机安全配置基线
H3C交换机安全配置基线（Version 10）
2012年12月
1 引言 (1)
2 适用范围 (1)
3 缩略语 (1)
4 安全基线要求项命名规则 (2)
5 文档使用说明 (2)
6 注意事项 (3)
7 安全配置要求 (3)

添加华三交换机终端配置用户的步骤如下：1 首先，在U2000中添加用户，并设置相应的接入权限；2 然后，在交换机或网管上进行端口配置；3 最后，将终端接入到指定的端口，并为其配置IP地址，即可完成添加。

console线通过console口或者COM口直接配置，
telnet远程 要打开相应端口才行 ，
WEB界面 输入网关地址 验证帐号密码进去配置。
1。首先，我们进入H3C防火墙接口，然后进入web将接口更改为layer-2模式。2将第二层接口转移到信任安全域。三。单击界面左侧快捷菜单栏中的防火墙选项。4配置安全策略，如图所示。5将其他网段配置为仅访问其中的服务器。6DHCP希望启用DHCP中继，因此配置完成。

登录 云服务器控制台。
具体方法：
1、登录 云服务器控制台。
2、在实例列表中，选择需要登录的 Windows 云服务器，单击登录。
3、在腾讯云d出的登录Windows实例窗口中，选择使用 RDP 文件登录，单击下载RDP文件，将 RDP 文件下载到本地。
远程管理能够使用计算机控制手机。可以 *** 纵鼠标，让左/中/右单击，拖动和下降等等。
使用所有按键，包括但不限于CTRL，ALT ， DEL ，移位， ESC， F1，F2 ， F3等输入到计算机 远程传输文件到手机。

华三防火墙不支持外网远程登录。配置none验证方式，system-viewtelnetserver，enableuser-interfacevty04，配置vty用户界面视图的验证方式authenitication-modenone|password|scheme，设置用户登录以后的级别，userprivilege级别第二种password验证方式配置：setauthenticationpasswordsimlie|密文第三种scheme配置，设置本地用户：local-user用户名设置用户口令：passwordsimlie设置用户类型为telnet：service-type，telnet设置用户等级：authentication-attributelevel3

开启远程桌面功能：鼠标右击桌面上的“计算机”图标，选择“属性”，在d出的窗口中选择“远程设置”，在接下来d出的窗口中“远程桌面”区域选择“允许运行任意版本远程桌面的计算机连接”或“只允许运行带网络级身份验证的远程桌面的计算机连接”，这里我们选择“允许运行任意版本远程桌面的计算机连接”项，如下图。(注意：要为windows登录用户设置密码，否则无法实现远程登录)
更改远程桌面默认的端口号（1）：点击桌面左下角“开始”，在搜索框中输入“regedit”，回车打开注册表，进入以下注册表项“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp”，在右侧找到PortNamber，可以看见其默认值是3389，修改成所希望的端口(2000-65535间选择)即可，这里我们以34567为例，注意使用十进制。见下图：
更改远程桌面默认的端口号（2）：再打开[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp]，将PortNumber的值修改成端口34567，注意使用十进制。
到此，端口号修改完成，重启电脑 或 右键“计算机”，点击“管理”，d出的窗口左侧选“服务和应用程序”-->"服务"，找到“Remote Desktop Services”，右击，选择“重新启动”，即可使更改后的端口生效。
如果用户计算机的防火墙是关闭的，那么现在就可以在另外一台电脑上通过远程桌面连接电脑了，但是通常为了安全，都会保留防火墙的开启状态。因此还需要修改防火墙的入站规则。进入windows“开始”，点击右侧“控制面板”，右上角查看方式选择为“小图标”，点击下面的“windows 防火墙”，此时防火墙处于开启状态。点击右侧“高级设置”-->“入站规则”，将滚动条到底，即可看见名称为“远程桌面(TCP-In)”的入站规则，可以看见其默认端口还是“3839”（如下图），而没有我们刚改过的“34567”的规则。需要将“3839”改成“34567”，但是这里无法直接更改，需要到注册表进行更改。
同样通过regedit命令，进入注册表编辑器，并找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/SharedAccess/Defaults/FirewallPolicy/FirewallRules项，将RemoteDesktop-In-TCP的值中包含3389的数据改成34567。
再进入HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/SharedAccess/Parameters/FirewallPolicy/FirewallRules，将RemoteDesktop-In-TCP的值中包含3389的数据改成34567。
现在再进入防火墙的入站规则（注意：需要把之前的窗口关闭，重新进入控制面板，进入防火墙，并进入入站规则）或点击刚才入站规则窗口的菜单“ *** 作”-->“刷新”，可以看见“远程桌面(TCP-In)”的入站规则的端口号已经变成34567了。
到此理论上应该可以使用新的端口进行远程连接该电脑了，但是还要注意两个问题：（1）查看刚才的入站规则“远程桌面(TCP-In)”是否为灰色状态，若为灰色状态，表示该规则没有启动，必须右键启用规则，此时变为彩色的启动状态。（2）右键入站规则“远程桌面(TCP-In)”，点击“属性”，选择“高级”选项卡，查看下面的配置文件区域，把“域”、“专用”和“公用”几个复选框都选上，以保证对所有网络连接类型都适用。到此远程左面端口修改+防火墙设置已经完美解决。在另外一台电脑打开远程桌面软件，在“计算机”一栏输入“<IP>:34567”进行连接，其中<IP>是指要连接的电脑的IP

具体远程登陆命令如下，用户名密码（PassWORD）要根据需求改动。开启Telnet 服务telnet server enable 创建用户local-user adminpassWORD simple admin level 3 service-type telnet 设置验证模式user-interface vty 0 4authentication-mode scheme

---