问
交换机+问题
1天前提问
- 0关注
- 0收藏,72浏览
zhiliao_Gixe
二段
配置命令:
1. 启用登录失败处理功能(限制非法登录次数):
system-view
line console 0
authentication-mode scheme
line vty 0 63
authentication-mode scheme
quit
user-interface security-policy
login-attempt 5 exceed-lock-time 5
2. 启用登录连接超时自动退出功能:
system-view
user-interface console 0
idle-timeout 5 0
quit
user-interface vty 0 63
idle-timeout 5 0
quit
说明:
- `login-attempt 5 exceed-lock-time 5`:登录尝试失败5次后锁定用户5分钟。
- `idle-timeout 5 0`:设置空闲超时时间为5分钟0秒,超时后自动断开连接。
- 需确保已配置AAA认证(如`local-user`或RADIUS/TACACS+),上述`authentication-mode scheme`才生效。
1. 启用登录失败处理功能(限制非法登录次数):
system-view
line console 0
authentication-mode scheme
line vty 0 63
authentication-mode scheme
quit
user-interface security-policy
login-attempt 5 exceed-lock-time 5
2. 启用登录连接超时自动退出功能:
system-view
user-interface console 0
idle-timeout 5 0
quit
user-interface vty 0 63
idle-timeout 5 0
quit
说明:
- `login-attempt 5 exceed-lock-time 5`:登录尝试失败5次后锁定用户5分钟。
- `idle-timeout 5 0`:设置空闲超时时间为5分钟0秒,超时后自动断开连接。
- 需确保已配置AAA认证(如`local-user`或RADIUS/TACACS+),上述`authentication-mode scheme`才生效。
登录失败处理(限制非法登录次数)
方案一:Login攻击防范(推荐,适用于SSH/VTY)
这是H3C官方推荐的防暴力破解方案,通过攻击防范功能自动将失败次数超限的IP加入黑名单。
system-view
attack-defense login enable
# 配置登录失败的最大次数(默认3次)
attack-defense login max-attempt 5
# 配置失败后阻断时长(单位:分钟,默认1分钟)
attack-defense login block-timeout 30
# 开启全局黑名单功能
blacklist global enable
说明:该方案仅对通过IP访问的登录方式(SSH/Telnet/HTTP/HTTPS)生效,Console口因无法获取IP地址不受此限制。
方案二:Password Control(同时覆盖Console和VTY)
Password Control可以限制所有登录方式的失败次数,包括Console
system-view
password-control enable
# 配置最大登录失败次数(默认3次)
password-control login-attempt 5 lock-time 30
# 查看黑名单中的用户(认证失败被锁定的)
display password-control blacklist
# 手动解锁被锁定的IP
reset password-control blacklist ip 192.168.1.100
关键参数说明:
login-attempt 5:连续失败5次触发锁定lock-time 30:锁定30分钟后自动解锁如果只写
password-control login-attempt 5不加时间,则永久锁定直到管理员手动解锁
登录连接超时自动退出
配置Console口超时
system-view
# 配置超时时间(单位:分钟),30分钟无操作自动退出
idle-timeout 30
# 退出
quit
配置SSH/VTY线路超时
system-view
# 配置超时时间,30分钟无操作自动退出
idle-timeout 30
# 退出
quit
注意:idle-timeout参数格式为idle-timeout minutes [seconds],例如idle-timeout 10 30表示10分30秒。
完整配置示例(直接复制)
以下是同时满足SSH和Console安全加固的完整配置:
system-view
# 开启Login攻击防范(防SSH暴力破解)
attack-defense login enable
attack-defense login max-attempt 5
attack-defense login block-timeout 30
blacklist global enable
# 开启密码管理功能(防Console爆破)
password-control enable
password-control login-attempt 5 lock-time 30
# ========== 2. 登录超时自动退出 ==========
# Console超时
line aux 0
idle-timeout 30
quit
# SSH/VTY超时
line vty 0 63
idle-timeout 30
quit
# ========== 3. 可选:Web界面超时 ==========
# Web闲置超时(单位:分钟,默认10分钟)
web idle-timeout 30
验证配置
| 验证内容 | 命令 |
|---|---|
| 查看密码管理配置 | display password-control |
| 查看被锁定的用户/IP | display password-control blacklist |
| 查看Login攻击防范配置 | display attack-defense login |
| 查看黑名单 | display blacklist |
| 查看VTY超时配置 | display current-configuration | include idle-timeout |
暂无评论
华三交换机(Comware V7/V5)完全支持对 SSH、Console 登录 配置「登录失败次数限制」「超时自动退出」「非法登录锁定」,下面给你分 通用配置模板(适配绝大多数型号)、关键参数说明 和 验证方法,直接复制就能用。
一、完整配置脚本(Console + SSH 全覆盖)
plaintext
# 1. 进入系统视图
system-view
# ==================== 核心配置:登录失败处理 ====================
# 开启登录失败检测功能(全局)
login-failure detect enable
# 配置规则:累计5次登录失败 → 锁定10分钟(600秒)
# 适用范围:SSH/Telnet/Console/HTTP/HTTPS 所有登录方式
login-failure action block ip-address all times 5 period 600
# ==================== 核心配置:超时自动退出 ====================
# Console口超时:闲置5分钟(300秒)自动退出
user-interface con 0
idle-timeout 5 0 # 格式:分钟 秒(0表示0秒)
authentication-mode password # 可选:Console口先配密码(增强安全)
set authentication password simple Admin@123 # 替换为你的密码
# VTY虚拟终端(SSH/Telnet)超时:闲置3分钟(180秒)自动退出
user-interface vty 0 15
idle-timeout 3 0
protocol inbound ssh # 仅允许SSH登录(禁用Telnet,增强安全)
authentication-mode aaa # SSH建议用AAA认证(也可password)
# ==================== 可选:SSH增强配置(推荐) ====================
# 开启SSH服务(默认可能关闭)
ssh server enable
# SSH连接超时:握手阶段超时10秒
ssh server timeout 10
# SSH最大重试次数:3次(低于全局5次,更严格)
ssh server authentication-retries 3
# ==================== 保存配置 ====================
save
二、关键参数说明(按需调整)
表格
| 配置项 | 作用 | 建议值 |
|---|---|---|
login-failure times 5 | 累计登录失败次数 | 3-5 次(避免误锁) |
login-failure period 600 | 锁定时长(秒) | 300-1800 秒(5-30 分钟) |
con 0 idle-timeout 5 0 | Console 闲置超时 | 5 分钟(运维场景)/1 分钟(机房场景) |
vty 0 15 idle-timeout 3 0 | SSH 闲置超时 | 3 分钟(兼顾安全与操作) |
ssh server timeout 10 | SSH 握手超时 | 5-10 秒(防止暴力破解) |
三、不同版本适配(避坑)
1. Comware V5 交换机(如 S5120/S3100)
V5 命令略有差异,核心配置如下:
plaintext
system-view
# 登录失败锁定
password-control login-attempt 5 exceed lock-time 10
# Console超时
user-interface con 0
idle-timeout 5
# VTY(SSH)超时
user-interface vty 0 15
idle-timeout 3
protocol inbound ssh
2. Comware V7 交换机(如 S6850/S5560)
上面的通用模板完全适配,额外可加「锁定白名单」(避免管理员 IP 被误锁):
plaintext
# 放行管理员IP(192.168.1.100)不锁定
login-failure whitelist ip-address 192.168.1.100 0
四、验证配置是否生效
plaintext
# 1. 查看登录失败处理配置
display login-failure configuration
# 2. 查看Console/VTY超时配置
display user-interface
# 3. 查看SSH配置
display ssh server status
# 4. 查看当前锁定的IP(如有)
display login-failure block-list
五、解除误锁定(应急操作)
如果管理员 IP 被误锁,可手动解除:
plaintext
# 解除单个IP锁定(如192.168.1.200)
undo login-failure block ip-address 192.168.1.200
# 解除所有IP锁定
undo login-failure block ip-address all
总结
- 核心是通过
login-failure配置全局登录失败锁定规则,覆盖 SSH/Console 所有登录方式; - 分别给 Console(
con 0)和 VTY(vty 0 15)配置闲置超时,SSH 额外增强握手超时和重试次数; - V5/V7 版本命令略有差异,V7 可加白名单避免管理员 IP 误锁,V5 用
password-control实现失败锁定。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论