神马功能性配置（部分）

一、telnet

# 开启 telent 服务
telnet-server enable

telnet登录账户仅包含“ABC4321”，密码为明文“ABC4321”，

设置登录设备时输入enable密码为123456
# privilege：14 用户权限级别
# 0：密码为明文
username ABC4321 privilege 14 password 0 ABC4321

采用telnet方式登录设备时需要输入enable密码，密码设置为明文“12345”。

# 15：用户权限级别
# 0：密码为明文
enable password level 15 0 1234

---

二、加大设备之间带宽

尽可能加大总公司核心和出口BC之间的带宽

# 设置带宽
speed-duplex force1g-full
# 端口设置 access
switchport access vlan 25
# 聚合端口
port-group 2 mode on

#  speed-duplex：
#  full：全双工	
#  half：半双工
  auto         	 Auto-negotiate
  force10-full   10M full duplex
  force10-half   10M half duplex
  force100-full  100M full duplex
  force100-fx    100M FX mode 
  force100-half  100M half duplex
  force10g-full  10G full duplex
  force1g-full   1000M full duplex
  force1g-half   1000M half duplex

---

三、MAC地址限制

最多学习数量

switchport port-security

# 最大学习数量 5 个 mac 地址
switchport port-security maximum 5

# 限制措施
switchport port-security violation restrict

# switchport port-security violation 措施
protect   安全违规保护模式
recovery  违规操作恢复
restrict  安全违规限制模式
shutdown  安全违规关机模式

---

四、特定时间禁止访问

配置办公用户在上班时间（周一到周五9:00-17:00）禁止访问外网，内部网络正常访问。

# 设置时间范围规则名称
time-range t1
# 设置时间范围规则
periodic weekdays 09:00:00 to 17:00:00

# 创建标准访问控制列表 extended：标准	standard：扩展
ip access-list extended acl2

# 此处用户为 PC3 ，使用 ip 的方法
permit ip 源IP 源MAC反掩码 目的IP 目的MAC反掩码

# 规定一个ACL限定，使用名称为 t1 的时间范围规则
deny ip 源IP 源MAC反掩码 any-destination time-range t1

#  时间范围参数 periodic：
daily      每日
friday     周五
monday     周一
saturday   周六
sunday     周日
thursday   周四
tuesday    周二
wednesday  周三
weekdays   工作日，周一至周五
weekend    周末，周六和周日

---

五、安全机制

对SW上VLAN50开启以下安全机制

业务内部终端相互二层隔离

# 使端口隔离的配置应用于2层流量
isolate-port apply l2

# 将端口加入到 group 1 组
isolate-port group 1 switchport interface ethernet 1/0/13

14口启用环路检测，环路检测的时间间隔为10s，发现环路以后关闭该端口，恢复时间为30分钟。

# 环路检测的时间间隔为10s，第一个10环路检测时间；第二个10无环路检测时间
loopback-detection interval-time 10 10

# 发现环路以后关闭该端口，恢复时间为30分钟
loopback-detection control-recovery timeout 1800

如私设DHCP服务器关闭该端口，同时开启防止ARP网关欺骗攻击。

# 全局模式下配置
ip dhcp snooping enable

interface 端口

# 进入接口，启动端口环路检测功能
loopback-detection specified-vlan 50

# 发现端口环路将该端口down掉
loopback-detection control shutdown

# ARP ID
arp-guard ip 20.1.50.1

# 开启防止ARP网关欺骗攻击
ip dhcp snooping action shutdown

interface 端口
# 信任该端口

ip ip dhcp snooping trust 

---

六、最大学习限制-动态MAC地址、动态ARP地址、NEIGHBOR表项

# 进入端口
interface 端口

动态MAC地址

switchport mac-address dynamic maximum 20

动态ARP地址

switchport arp dynamic maximum 20  

NEIGHBOR表项

switchport nd dynamic maximum 20

---

七、收包速率；SW数据转发性能

收包速率超过30000则关闭此端口，恢复时间5分钟

interface 端口

# 检查所有类型数据包
rate-violation all 30000

# 设置控制模式为关闭此端口
rate-violation control shutdown 

为了更好地提高数据转发的性能，SW交换中的数据包大小指定为1600字节；

# 全局模式下
mtu 1600

---

九、在NETWORK下配置SSID

NETWORK 1下设置SSID ABC4321，VLAN10，加密模式为wpa-personal,其口令为43214321；

wireless
network 1
# 加密模式
security mode wpa-personal 

vlan 10

# 设置密码
wpa kay 43214321

# 启用
device-finger enable 

---

十、配置SSID GUEST每天早上0点到6点禁止终端接入; GUSET最多接入10个用户，并对GUEST网络进行流控，上行1M，下行2M；配置所有无线接入用户相互隔离；

wireless
network 2

# 开启配置无线网络客户端 QoS 参数
client-qos enable 

# 时间限制
time-limit from 00:00 to 06:00 weekday all 

# 最多接入 10 个用户
max-clients 10

# 留控
client-qos bandwidth-limit down 2048
client-qos bandwidth-limit up 1024

# 在同一 SSID 中启用站点隔离
station-isolation

---

十一、配置当AP上线，如果AC中储存的Image版本和AP的Image版本号不同时，会触发AP自动升级；配置AP发送向无线终端表明AP存在的帧时间间隔为2秒；配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时；

wireless

# 自动更新
ap auto-upgrade

# 配置AP故障状态的表项年龄（秒））
agetime ap-failure 2

# 为检测到的客户端状态配置表项年龄（秒）
agetime detected-clients 2

# 进入AP模板配置模式 1 = ID
ap profile 1
# 进入AP模板radio配置模式
radio 1
# 配置无线电的信标间隔
beacon-interval 2000

exit

radio 2
beacon-interval 2000

---

十二、通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源，检测到AP与AC在10分钟内建立连接5次就不再允许继续连接，两小时后恢复正常。

wireless
# AP 防洪间隔（分钟）
wireless ap anti-flood interval 10

# 配置 AP 防洪的最大链接次数
wireless ap anti-flood max-conn-count 5

# 配置 AP 防洪的 恢复时间（分钟）
wireless ap anti-flood agetime 120