范文一:贝尔交换机常用加固命令参考
-------------------------------------------------------------------------------
1、帐号权限细分
-------------------------------------------------------------------------------#查 看 所 有 的 用 户 信 息 show running-config |include username #
#新建 admin 帐号 password[非加密 0/加密 7]不支持加密,默认不填数字为 0限制 单点登录 #
#047538783E3B3E234D ##停用不必要的帐号 user1#
conf
username admin password 0Admin123maxlinks 1
no username user1
show running-config |include username
#设置 enable 密码不加密(交换机不支持自动编译密文) 0为不加密 权限为 15级 # enable password 0admin2015level 15
-------------------------------------------------------------
------------------
2、修改设备缺省 banner 语
-------------------------------------------------------------------------------
#欢迎界面、提示符等不包含敏感信息 通过 console 或远程登录即可查看提示信息 # #show running-config |include banner #
aaa authentication banner
-------------------------------------------------------------------------------
3、用 IP 协议进行远程维护的设备使用 SSH 等加密协议
-------------------------------------------------------------------------------
不支持
-------------------------------------------------------------------------------
4、日志安全
-------------------------------------------------------------------------------
#查看日志信息(查看服务是否开启)设置日志缓存大小 4096k show running | include logging #
#开启 NTP 服务(与时间服务器同步) 需要提供时间服务器的地址 查看 NTP 信息
show running |include sntp/ntp#
#配置远程日志的日志服务器地址,设置发送日志的级别,最下命令设置 notifications #
#配置模式 #设置 ntp 服务器 部份可能为 sntp server 10.111.1.11#
#警告级别 7级 #
alerts --需要马上行动
critical --临界情况
debugging --调试信息
emergencies --系统不可用
errors --错误情况
informational --报告性信息
notifications --正常但很重要的情况
rate-limit --设置日志输出速率
warnings --警告情况
time-range --设置 日志时间范围
Logging on
Logging 10.181.109.172
logging buffered 4096
logging monitor notifications
sntp server 10.111.1.11
-------------------------------------------------------------------------------
5、设置定时账户自动登出、配置 console 口密码保护功能
-------------------------------------------------------------------------------
#设置 Telnet 、 ssh 、 console 登录连接超时退出 三分钟无操作自动退出部分设备以秒计 算 #
#设置 console 口密码为 Admin1230为明文传输 (由于 7不支持自动加密且无法支持 加密) #
line con 0
password 0Admin123
exec-timeout 180
exit
line vty 04
exec-timeout 180
exit
-------------------------------------------------------------------------------
6、 SNMP 的 Community 默认通行字口令强度
-------------------------------------------------------------------------------
#SNMP 协议的 community 团体字, 与北塔联动 查看 snmp 信息 show snmp host # #Community 非默认,口令长度至少 8位,数字、小写、大写字母和特殊符号 4类中至 少 2类。 NJ-xx@public1#
#10.181.108.115北塔地址 #
snmp-server community NJ-xx@public1ro
-------------------------------------------------------------------------------
7、关闭未使用的接口 (请勿随便关闭,该项需确认好)
-------------------------------------------------------------------------------
#需确认该网口是否不使用,不使用关闭 查看端口命令 dis cur 看到端口状态 shutdown 为关闭 #
interface GigabitEthernet1/0/10
shutdown
#进入每一个端口禁用端口代理 arp (低端交换机可能不存在该选项) #
no arp inspection trust
#进入每一个端口预防源地址伪造攻击 (低端交换机可能不存在该选项) # urpf strict allow-default-route
-------------------------------------------------------------------------------
8、关闭不必要的网络服务 (某些交换机可能不支持以下命令功能 )
-------------------------------------------------------------------------------#关闭 DHCP 服务 #
no dhcp disable
#关闭 DNS 服务 #
no dns disable
#关闭 FTP 服务 #
no ftp disable
-------------------------------------------------------------------------------
9、 ACL 白名单
-------------------------------------------------------------------------------
ip access-list extended banprot
deny udp any any eq 69log
deny tcp any any eq 88log
deny udp any any eq 88log
deny tcp any any eq 135log
deny udp any any eq 135log
deny udp any any eq 137log
deny tcp any any eq 138log
deny udp any any eq 138log
deny tcp any any eq 139log
deny udp any any eq 139log
deny tcp any any eq 445log
deny udp any any eq 445log
deny tcp any any eq 593log
deny udp any any eq 593log
deny tcp any any eq 4444log
deny udp any any eq 5554log
deny tcp any any eq 9995log
deny tcp any any eq 9996log
deny udp any any eq 1434log
permit ip any any
exit
#端口应用 先查看端口分别有哪些 在进入端口应用 acl 规则 # #range 批量进入端口,某些型号不支持,只能挨个口进入应用 # int range g0/41-45
ip access-group banprot egress
#交换机差别应用 out/egress#
#贝尔不支持 vty 设置 acl #
ip access-list extended manage
permit ip 10.0.0.0255.0.0.0any
范文二:上海贝尔交换机配置手册目录
目录 ●第 01章 系统基础
●第 02章 系统配置及管理
●第 03章 端口基本配置
●第 04章 VLAN 配置
●第 05章 MAC 地址表管理配置
●第 06章 链路汇聚配置
●第 07章 MSTP 配置
●第 08章 Vlan dot1q tunnel配置
●第 09章 L2 protocol control配置
●第 10章 二层组播配置
●第 11章 802.1x 配置
●第 12章 DHCP Snooping配置
●第 13章 Dynamic ARP Inspection配置 ●第 14章 端口安全配置
●第 15章 端口隔离配置
●第 16章 攻击检测
●第 17章 SPAN 配置
●第 18章 交换接口配置
●第 19章 网络协议
●第 20章 IPv4单播路由配置
●第 21章 ACL 配置
●第 22章 QoS 配置
●第 23章 AAA 配置
●第 24章 EIPS 配置
●第 25章 ULFD 配置
●第 26章 OAM 配置
●第 27章 LLDP 配置
●第 28章 SLA 配置
●第 29章 POE 配置
●第 30章 软件升级
●第 31章 网络测试和故障诊断 ●第 32章 域名解析服务配置 ●第 33章 Super-VLAN 配置 ●第 34章 IP Source Guard配置 ●第 35章 环回检测配置
●第 36章 高可靠性配置
●第 37章 ipv6路由配置
●第 38章 三层组播配置
●第 39章 MPLS 配置
●第 40章 IPv6网络协议配置 ●第 41章 GRE 隧道配置 ●第 42章 过渡技术配置
●第 43章 DHCPv6配置
●第 44章 DHCP 配置
●第 45章 NTP 配置
●第 46章 IPFIX 配置
●第 47章 GVRP 配置
●第 48章 Track 配置
●第 49章 Private VLAN配置 ●第 50章 Voice VLAN配置 ●第 51章 MFF 配置
●第 52章 CPU 协议报文管理配置 ●第 53章 ULPP 配置
●第 54章 VST 配置
●第 55章 MAD 配置
●第 56章 Vlan mapping配置 ●第 57章 sFlow 配置
范文三:贝尔S1240交换机人机终端安全管理方案
【摘要】 承钢通信中心采用的S1240交换机系统,是全分散控制方式的程控制的电话交换机。交换机数据系统庞大,涉及很多重要数据,如何实现交换系统的安全,是交换机维护人员必须密切关注的问题。本文就建立独立系统和通过分级管理系统实现重要数据的安全管理两种方案进行具体分析。 【关键词】 命令区域 区域维护 模块 一、应用分析 在企业固话网中,应用s1240交换机外设终端对交换系统进行实时管理。对于交换机数据中包括中继、信令、链路、关系等重要数据,更改或者删除必须绝对正确,否则可能因为误操作导致全局呼叫障碍甚至全局瘫痪。为了有效避免这种情况的发生,结合S1240交换机的实际,考虑使用建立专用通路和终端分级管理两种方案实现建立保证重要数据绝对安全的机制,保证重要数据命令的维护工作万无一失。 二、项目方案内容 方案一、建立模块专用通路实现数据命令分级管理 交换机通过模块处理单元MCUG通过串口通信功能实现人机交互命令,创建指定模块的人机交互终端,建立专用的链路连接指定模块,限制该人机维护终端的中继、关系、数字准备等模块的访问权,从而保证专用人机维护终端的操作人员无法改动重要底层数据,保证数据系统安全高效管理。 方案二、建立终端分级管理机制,对不同的用户分配不同的命令数据区域,通过划分人机命令区域区分出不同级别的操作者具有的权限,对低级别用户可操作命令进行限制,实现数据安全。 三、项目分析 建立专用通路的方案,需要在交换机和维护终端间建立专用的通路,安全性能稳定性高,但是必须有专用的计算机实现人机交互,增加了工程量和资金投入。 而通过分级管理实现重要数据命令的安全管理方式,需要命令数据分类完善软件功能可以实现,并且通过高级管理员实现对系统安全性的有效补充可以低成本高效率解决系统的安全管理问题。综合比较,最终决定采用第二种方案,即分级管理的方法进行交换机数据的安全管理。 四、项目方案实现 在同一个终端进行操作,可赋给每一个操作人员不同的用户名和密码,通过区分出不同的用户名对应不同的用户组,对不同用户组定义可进入的命令区域和固定的权限。在系统产生的人机命令报告中能看到是哪一个USERID进行的操作,通过控制命令的执行权保证交换机的安全。具体实施过程如下: 首先,人机命令共划分为128个区域。目前的交换机人机命令主要集中在56区域以前,可根据需要调整。通过显示的就是命令所在的命令区域后, 修改人机命令对应的命令区域,把45号人机命令调整到30命令区域中。 然后,对人机命令的访问权限进行划分,通过管理某一外设终端所能进入的命令区域。访问R_DEV_ACCA和R_ DEV7AREA关系表。 显示某一外设终端所能执行的命令区域。 SHANMENGXIA LAST REPORT 046742. 修改某一外设终端所能使用的命令区域。使VDU 1不能使用AREA=3命令区域中的人机命令。 使某一外设终端不能使用人机命令。 最后,限制不同操作人员的使用命令权限。维护终端和用户名及密码不变,只将用户对应的重要命令区域设置为不可用。关闭重要命令区,将不会对交换机运行产生威胁的显示类人机命令设置为放开状态。 结束语;通过选择对承钢的交换机系统实现分级管理实现数据命令的安全管理功能的实现,最低成本实现了承钢交换系统的数据管理系统安全高效运行,为交换机长周期稳定运行奠定了坚实基础。 参 考 文 献 [1] 程控电话呼叫处理 [2] S12 系统结构
范文四:贝尔S1240程控交换机维护探索
贝尔S1240程控交换机维护探索 科技论坛民营科技
2011年第1O期
贝尔S1240程控交换机维护探索
马明岩
(中国联合网络通信有限公司四平市分公司,吉林四平136000) 摘要:现代社会,通信网络的稳定性以及安全性愈发重要,作为核心环节的程控交换机的维护也随之受到重视.现对国内比较常见的贝尔
S1240程控交换机进行了介绍,从机房以及设备自身故障的排除等发明阐述了S1240程控交换机的维护.
关键词:程控交换机;机房;设备维护
1s1240交换机的基本概况
世界上大容量数字程控交换系统中,贝尔S1240程控交换机首次使 用了全分布控制方式.国内多年的应用实践证明了它的优越性以及稳定 性,能够承担极大的话务负荷而不用担心系统崩溃,还可以方便的进行 扩容.由于它的优秀表现,在国内受到通信企业的喜爱,在国内的使用十 分的广泛.更值得称道的是,S1240程控交换机在设计之初就充分的考 虑了系统的操作和维护的简便性,配套开发了一系列用于对系统进行维 护的软件以及硬件lT具,极大的提高了S1240程控交换机维护的简易 性.S1240程控交换机与其他程控交换机的维护一样,分为机房维护和 设备自身的维护.
2S1240交换机机房维护
对于S1240程控交换机机房的维护主要体现在以下几个方面: 2.1电气环境要求.静电以及静电干扰是危害S1240程控交换机电气 环境的两个主要因素.
2.1.1静电.室内的装潢材料,设备的布置情况以及室外的高压输电线, 闪电等都容易产生静电感应.静电虽然在日常生活中随处可见,微不足
道,但是其瞬间电压往往高达万伏,这对于脆弱的半导体元件来说是毁 灭性的威胁,可以轻易的烧毁设备内部精密的器件,导致S1240交换机 的电路故障,开关错乱以及软件方面的问题.程控交换机的各个零件都 有可能受到经典的损坏,从而导致交换机运行异常,甚至造成大面积的 通讯中断,造成巨大的损失.
因此,要采取有效的措施预防静电的危害,具体措施有:第一,室内 地板可以采用支架接地的方式,实现防静电的功能,同时,设备自身要做 好接地工作.第二,室内墙壁应该选择防静电涂料,室内不能有化纤类的 材料.第三,工作人员在进入机房之前必须除去自身静电,穿防静电服. 第四,为防止活动的零部件摩擦引起静电,平时应注意将交换机的门等 关严.
2.1.2电磁干扰.S1240交换机的电磁干扰主要来自室外附近的高压输 电线路的辐射以及其他用电设备造成的干扰.虽然S1240交换机有一定 的抗干扰能力,但是如果外部环境的干扰很强,仍然会对其正常运作产 生不良的影响,使系统工作异常,产生错误.如果电磁干扰达到一定的程 度,甚至会损坏交换机的硬件设备.
必须采取积极有效的措施来防止交换机的电磁干扰.第一,在安装 交换机的时候,要实现和周围的高压电线以及大功率的用电设备保持一 定的距离.第二,如果无法避免干扰源,那么应该采取屏蔽措施.第三,交 换机在布线时应该避嫌和火线并行,应该交错通过.
2.2温度,湿度要求.环境温度对于S1240程控交换机的影响相对较 大,加换机在运行过程中自身会产生一定的热量,需要采取相应措施进 行散热,交换机_T作的理想温度为l8,25摄氏度之间.如果散热不好导 致交换机自身温度过高,会导致机器运行不稳定,严重时还会造成设备 烧毁,造成事故.
另外,程控交换机对于室内的湿度也有一定的要求.湿度过大,会造 成交换机的零部件潮湿腐蚀,使各个元件之间的绝缘性降低,容易导致 设备短路.湿度过小,整个室内环境过于干燥,发生静电的概率大大增 加,对程控交换机来说也是一个威胁.程控交换机的环境湿度理想范围
应该保持在4O%,60%之间.
对于交换机房的环境温度以及湿度进行合理的控制,可以在室内安 装空调设备,维持室内四季恒温,并且安装加湿器以及干燥设备,加强对 机房环境的监控,即使调节温度和湿度.
2_3防尘要求.S1240程控交换机采用了大量的精密元件,这些元件一 旦有灰尘或者其他颗粒进入就容易导致接触不良或者线路短路,如果同 时环境空气湿度变大的话,灰尘还会引起设备漏电.在交换机维护实践 中,很多故障的发生都是由于灰尘造成的.特别是机房空气的湿度很低, 干燥的时候,由于静电的作用,大量灰尘会吸附在电子元件之上,从而引 起故障.
可以通过如下措施降低灰尘的危害.第一,保障门窗的密封性.第 二,工作人员进入机房之前要进行除尘,换干净的拖鞋.第三,适当增加 机房的空气湿度,减少静电造成的灰尘吸附.第四,对交换机的防尘网定 期更换.
3S1240交换机维护的基本功能和分类
3.1维护的基本功能.维护的任务是在最高服务层次上维护交换功能. S1240系统的维护可以分为以下几个基本功能.
3.1.1系统管理.S1240系统的维护可用多种故障检测方法中的一种对 系统进行监视,如果一个功能性故障被发现,应立即进行分析,以证实这 个故障,并识别出有关的那一个安全块(SBL).
3.1.2阻止故障扩散.当证实是故障时,有关安全块将自动停止工作.如 果有一个空闲的安全块可供使用,便把他投入服务,并进行组合. 3.1.3诊断测试.诊断测试用来对可疑的安全块进行测试,以证实是否 有故障,并对有故障的可替换件RIT定位.
3.1.4产生告警和故障报告.用可闻,可见告警信号来警告维护人员,并 用打印机,VDU等提供详细的故障报告.
3.2分类.完善的维护功能是使交换系统高质量运行的保证,它使在发 生软件,硬件故障时,交换机运行所受影响最小.维护包括预防性维护和 修正性维护两种.预防性维护担负故障发生前识别出潜在故障的任务,
一
般是定期执行的,具体的时间周期可根据St240交换机检测到的故障 数目,所保留的历次故障记录,及对故障的总结分析等因素综合考虑来具 体确定.
4s1240交换机的一般故障处理
4.1SI240交换机传输故障处理.传输故障表明外部2M线断,出现的 告警有AIS,LIS,RJA,RSA,SLIP.出现传输故障时的现象为:告警盘上传 输告警的灯亮,蜂鸣器响.处理步骤如下:第一,进入维护终端,方法同 上.第二,用人机命令查看当前的告警,命令为:"19:OPTION=ALL.".第 三,查电路资料本,确定局向的名称.第四,按先交换后传输,先本端后对 端的原则,查看本端模块是否有告警,如:CTLE,DTCL;若没有,则定位 为传输告警,通知传输班进行传输线路故障处理.
4.2S1240交换机NO.7信令故障处理.7号信令的特点之一是实现传 送控制信令的通道与传送语音的话路通道分开.其告警类型有:CCLD1: 到某一局向LINK全断;CCLS2:一个LINK链路组全断;CCLK3:某条 LINK状态不正常.
处理步骤:第一,查看当前的告警.第二,查看告警的局向及第几条 LINK告警.若附带有AIS,LIS,RSA,RJA等告警说明LINK的传输有告 警.第三,若仅是LINK状态不正常,可对该LINK做打死,软件自环,激 活测试.命令如下:
220:DEST=H101BD3&NAT,SLC=I,FUNCTION=6.对LINK打死 220:DEST=H101BD3&NAT,SLC=I,FUNCTION=30对LINK自环 220:DEST=H101BD3&NAT,SLC=1,FUNCTION=5对LINK激活 241:DEST=H101BD3&NAT,SLC=I,DETAIL=6.看HNK状态 4_3变电站行政小号无法接听的故障处理.通过传输设备向变电所放 行政小号时,会出现拨打该号码但电话震铃一下就自动挂机的现象.这 是由于交换机和传输马可尼设备脉冲信号不匹配的原因造成的.解决方 法是屏蔽该号码的脉冲信号,只保持双音多频信号.
具体处理步骤:第一,在维护终端上用<5291:DN=K'XXXX(用户号
码).获得该号码的LCEID和LAN的对应参数.第二,按ESC键,退出在 "
>"下,输入>:PCM该号码LAN值,该号码LCEID值. 参考文献
[1]邮电部电信总局.S1240程控交换设备维护手册[M].北京:人民邮电出 版社.1993.
[2】臧烈光.S1240交换机网络的维护fJ].成才之路,2009. f31刘晓彤,刘少春.S1240交换机交换网络的维护黑龙江通信技术, 2O00.
范文五:上海贝尔交换机配置
一、在属于vlan1的交换机端口下以web界面方式访问交换机,要把电脑的ip地址配置成和交换机的管理ip在同一个网段的地址。
二、配好ip后在ie浏览器中输入交换机的管理ip,每台交换机的管理ip地址为192.168.0.交换机号。
回车后弹出登陆界面,输入用户名和密码
回车后进入交换机的配置页面
要配置交换机的VLAN 点开Device Control 选项再点开VLAN选项后点VLAN Port Cfg. 在Port Number 中选择要配置的端口,在Port VID选项中填入要分给端口的VLAN id
要配置交换机的管理ip 点开Mgmt Setup 选项后再点开
Network Cfg.选项,再点开IP Cfg.
配置控制台
配置交换机的用户名和密码
另外,在配置VLAN的选项中还可以设
置是否把端口设置成tag和untag 在
VLAN Tagging选项中选择。
转载请注明出处范文大全网 » 贝尔交换机常用加固命令参考