等保基线核查——交换机

（一）身份鉴别

（a）身份标识和鉴别

1、询问并查看设备具有哪些登陆方式，登陆时是否需要通过验证账号和密码等方式进行鉴别
2、使用dis cu查看设备具有哪些账号，询问管理员并参考账户和权限清单，查看是否存在共用账号
3、使用dis cu查看用户配置信息或进行登陆测试账号是否不为空
4、询问并查看设备和管理员采用了哪些措施保证用户鉴别信息具有一定长度和组合并定期更换

（b）登陆失败处理等

1、通过dis cu查看设备是否配置并且启用了登陆失败处理功能
2、查看设备配置的限制非法登陆的具体技术实施
3、通过dis cu | inidle-timeout查看设备是否配置并启用了登陆连接超时及自动退出功能

（关于dis cu可以查看附录）

关于dis cu | inidle-timeout示例：

看起来您正在使用华为设备（Huawei设备）的命令行界面来查看登录连接超时和自动退出功能的配置。这个命令的作用是查看当前配置文件中与"idle-timeout"相关的内容。

下面是一个示例输出，显示了已配置并启用的登录连接超时和自动退出功能：

user-interface vty 0 4authentication-mode schemeprotocol inbound allidle-timeout 30 0sterm idle-timeout 60

在上面的示例中，我们可以看到以下内容：

1. user-interface vty 0 4 表示这是虚拟终端（VTY）线路的配置，通常用于远程SSH或Telnet登录。

2. idle-timeout 30 0 表示已配置空闲超时功能。30分钟是空闲连接的超时时间。"0"表示不会自动退出，即永远不会自动退出。

3. sterm idle-timeout 60 表示已配置了会话终端（sterm）的空闲超时，设置为60分钟。这也表示会话终端会在空闲60分钟后自动退出。

（c）远程管理措施

询问并查看设备有哪些远程管理方式，分别采取哪种方式进行远程连接

（d）口令，密码技术

1、询问并查看采取了哪些组合的鉴别技术对用户身份进行鉴别
2、查看是否必须使用密码技术进行身份鉴别

（二）访问控制

（a）登陆用户账户权限分配

1、查看设备是否具有并开启了账户权限分配和权限访问控制功能
2、查看是否已禁用默认或匿名账户，禁用默认和匿名账户的冗余权限

（b）默认账户配置

1、询问并查看是否有默认账户名
2、尝试使用默认密码登陆默认账户

（c）其余账户的配置

1、查看设备有哪些账户，询问各账户的用途及其用户
2、尝试使用被删除或停用的账户登陆

（d）角色划分

（e）访问控制策略配置

（目前待补充）

命令行附录

dis cpu

这是一个交换机的CPU使用情况报告，它提供了关于交换机CPU的一些关键信息。下面是报告中的主要部分的解释：

1. CPU Usage Stat. Cycle: 60 (Second)：CPU使用情况的统计周期为60秒，表示每隔60秒会报告一次CPU使用情况。

2. CPU Usage：当前的CPU使用率为15%。Max: 97% 表示CPU使用率的最高值曾经达到了97%。

3. CPU Usage Stat. Time：报告的时间戳，指示报告的生成时间为2023年10月22日15:44:26。

4. CPU utilization for five seconds: 15%: one minute: 11%: five minutes: 11%：CPU使用率的具体统计数据，分别表示过去5秒、1分钟和5分钟的CPU使用率。在这个示例中，过去5秒的CPU使用率为15%，过去1分钟和5分钟的平均CPU使用率为11%。

5. Max CPU Usage Stat. Time：CPU使用率达到最高值的时间戳，最高CPU使用率曾经出现在2017年11月13日12:03:17。

接下来是有关不同任务（TaskName）的CPU使用情况的详细信息：

• BOX：占用CPU的任务的名称，它的CPU使用率为0%，运行时间为0 CPU时钟滴答。这是与"BOX Output"相关的任务。

• _TIL：CPU使用率为0%，运行时间为0 CPU时钟滴答。这是一个无限循环事件任务。

• _EXC：CPU使用率为0%，运行时间为0 CPU时钟滴答。这是一个异常代理任务。

• VIDL：CPU使用率为85%，运行时间为8 CPU时钟滴答。这是一个与"DOPRA IDLE"相关的任务。

• TICK：CPU使用率为0%，运行时间为0 CPU时钟滴答。

• CLKI：CPU使用率为0%，运行时间为0 CPU时钟滴答。

• DEV：CPU使用率为0%，运行时间为0 CPU时钟滴答。这是一个设备管理任务。

• bcmRX：CPU使用率为1%，运行时间为0 CPU时钟滴答。这是一个与"bcmRX"相关的任务。

• CHAL：CPU使用率为0%，运行时间为0 CPU时钟滴答。

• BEAT：CPU使用率为0%，运行时间为0 CPU时钟滴答。

• FCAT：CPU使用率为0%，运行时间为0 CPU时钟滴答。这是用于捕获数据包的任务。

• FTS：CPU使用率为2%，运行时间为0 CPU时钟滴答。

• MOD：CPU使用率为0%，运行时间为0 CPU时钟滴答。这是一个模块管理任务。

• IPCR：CPU使用率为0%，运行时间为0 CPU时钟滴答。

• VPR：CPU使用率为0%，运行时间为0 CPU时钟滴答。

• VPS：CPU使用率为0%，运行时间为0 CPU时钟滴答。

这些信息可用于监视交换机的CPU性能，特别是哪些任务或进程占用了大部分CPU资源。如果CPU使用率过高，可能需要进一步分析和优化这些任务，以确保交换机的正常运行。

dis cu

这段文本是交换机配置的一部分，它包含了一些关键配置和参数。下面是文本中各部分的解释：

1. !Software Version V200R001C00SPC300：这行指示了交换机的软件版本，为V200R001C00SPC300。

2. sysname SMZX-HJ-S9306：这行定义了交换机的系统名称（sysname），它的名称是"SMZX-HJ-S9306"。

3. info-center loghost source LoopBack0：这行配置了日志记录的来源地址为LoopBack0接口。

4. info-center loghost：这行配置了三个远程日志主机的IP地址，用于日志记录。

   • 172.16.250.92
   • 172.16.251.31
   • 172.16.31.139

5. router id 192.168.202.3：这行指定了路由器的ID，为192.168.202.3。

6. vlan batch：这部分配置VLAN的批量设置，将多个VLAN ID放在同一行中。这里列出了多个VLAN的ID范围。

7. undo telnet server enable：这行禁用了Telnet服务器功能，增加了网络的安全性，因为Telnet是一种不安全的远程管理协议。

8. lldp enable：这行启用了LLDP（Link Layer Discovery Protocol），它用于交换设备之间的发现和邻居关系管理。

9. undo http server enable：这行禁用了HTTP服务器功能，以增强安全性，因为HTTP服务器可能会用于设备的管理和配置。

10. http server port 1080：这行指定了HTTP服务器的端口号，为1080。

11. http server load s9300-v200r001c00.001.web.zip：这行指定了HTTP服务器加载的Web文件，通常用于设备的Web管理界面。

12. undo nap slave enable：这行禁用了NAP（Network Access Protection）从设备的角度来看，这意味着该设备不会主动参与NAP服务。

这些配置部分描述了交换机的一些基本设置，包括系统信息、日志记录、VLAN配置、远程管理协议的启用和禁用，以及NAP服务的禁用。这些设置在网络管理和安全方面都起着重要的作用。

dis ver

这段文本提供了关于交换机的基本信息，包括软件版本、设备型号、设备的运行时间以及主控板和线卡的相关信息。以下是对每部分的解释：

1. Huawei Versatile Routing Platform Software：这行指示了使用的操作系统是华为的VRP（Versatile Routing Platform）路由平台软件。

2. VRP (R) software, Version 5.110 (S9300 V200R001C00SPC300)：这行包含了操作系统的版本信息。软件版本是VRP 5.110，设备型号为S9300，软件版本号为V200R001C00SPC300。

3. Copyright (C) 2000-2012 HUAWEI TECH CO., LTD：这是软件的版权声明，指出了该软件的版权归华为技术有限公司所有。

4. Quidway S9306 Terabit Routing Switch uptime is 309 weeks, 6 days, 3 hours, 43 minutes：这行提供了设备的运行时间信息。设备已经连续运行了309周、6天、3小时、43分钟。

5. BKP 0 version information：这部分提供了备用主控板（BKP）的版本信息和相关配置。

   • PCB Version：备用主控板的版本是"LE02BAKI VER.A"。
   • Support PoE：不支持PoE（Power over Ethernet）。
   • Board Type：主板类型是"LE0KS9306"。
   • MPU Slot Quantity：支持2个主控板插槽。
   • LPU Slot Quantity：支持6个线卡插槽。

6. MPU 7(Slave) : uptime is 235 weeks, 4 days, 6 hours, 40 minutes：这部分提供了主控板的信息，这是第7个主控板（Slave），其运行时间为235周、4天、6小时、40分钟。

   • SDRAM Memory Size：主控板的内存大小为1024兆字节（M bytes）。
   • Flash Memory Size：闪存内存大小为64兆字节。
   • NVRAM Memory Size：非易失性内存（NVRAM）大小为512千字节（K bytes）。
   • CF Card1 Memory Size：CF卡1的内存大小为497兆字节。

7. MPU version information：这部分提供了主控板的详细版本信息。

   • PCB Version：主控板的版本是"LE02SRUA VER.D"。
   • MAB Version：MAB的版本为3。
   • Board Type：主板类型是"LE0MSRUA"。
   • CPLD1 Version：CPLD1的版本是101。
   • BootROM Version：BootROM的版本是151。
   • BootLoad Version：BootLoad的版本是121。

这些信息提供了有关交换机硬件和软件的基本信息，包括设备型号、软件版本、主控板和线卡的配置以及设备的运行时间。这些信息对于设备管理和故障排除非常有用。

dis log

这段文本提供了有关交换机日志的信息，包括日志缓冲区配置和日志内容。以下是对每部分的解释：

1. Logging buffer configuration and contents : enabled：这行表示日志缓冲区已启用，允许记录日志消息。

2. Allowed max buffer size : 1024：允许的最大日志缓冲区大小为1024（单位未指定，通常是字节或消息数量）。

3. Actual buffer size : 512：实际的日志缓冲区大小为512，这意味着日志缓冲区可能没有充分利用允许的最大大小。

4. Channel number : 4 , Channel name : logbuffer：有4个通道可用于日志记录，其中通道名称为"logbuffer"。

5. Dropped messages : 0：还未丢弃任何日志消息，即没有由于缓冲区满而导致的消息丢失。

6. Overwritten messages : 1037416：已经覆盖了1037416条日志消息，这表示日志缓冲区曾经满过，旧的日志消息被新的消息替代。

7. Current messages : 512：当前在日志缓冲区中存在512条日志消息。

接下来是一些具体的日志条目，每个条目包括日期、时间、设备名称（SMZX-HJ-S9306）、日志级别（%%01LLDP/4/BAD_PACKET(l)）、消息编号（[0]、[1]、[2]、[3]、[4]）和描述：

• Oct 22 2023 15:51:04 SMZX-HJ-S9306 %%01LLDP/4/BAD_PACKET(l)[0]:7 invalid packets were received after latest notification. The last invalid packet came from interface XGigabitEthernet4/0/13.：这条日志消息记录了在2023年10月22日15:51:04时接收到了7个无效的LLDP数据包，并指出最后一个无效数据包来自接口XGigabitEthernet4/0/13。

dis cur

这段文本是关于交换机配置的输出，它列出了一系列配置命令和参数。下面是对其中每一部分的解释：

1. !Software Version V200R001C00SPC300：这行指示了交换机的软件版本，为V200R001C00SPC300。

2. sysname SMZX-HJ-S9306：这行定义了交换机的系统名称（sysname），它的名称是"SMZX-HJ-S9306"。

3. info-center loghost source LoopBack0：这行配置了日志记录的来源地址为LoopBack0接口。

4. info-center loghost：这行配置了三个远程日志主机的IP地址，用于日志记录。

   • 172.16.250.92
   • 172.16.251.31
   • 172.16.31.139

5. router id 192.168.202.3：这行指定了路由器的ID，为192.168.202.3。

6. vlan batch：这部分配置VLAN的批量设置，将多个VLAN ID放在同一行中。这里列出了多个VLAN的ID范围。

7. undo telnet server enable：这行禁用了Telnet服务器功能，增加了网络的安全性，因为Telnet是一种不安全的远程管理协议。

8. lldp enable：这行启用了LLDP（Link Layer Discovery Protocol），它用于交换设备之间的发现和邻居关系管理。

9. undo http server enable：这行禁用了HTTP服务器功能，以增强安全性，因为HTTP服务器可能会用于设备的管理和配置。

10. http server port 1080：这行指定了HTTP服务器的端口号，为1080。

11. http server load s9300-v200r001c00.001.web.zip：这行指定了HTTP服务器加载的Web文件，通常用于设备的Web管理界面。

12. undo nap slave enable：这行禁用了NAP（Network Access Protection）从设备的角度来看，这意味着该设备不会主动参与NAP服务。

这些配置设置涵盖了交换机的各种方面，包括系统名称、日志记录、VLAN配置、远程管理协议的启用和禁用，以及NAP服务的禁用。这些设置在网络管理和安全方面都非常重要。

dis info

这段文本提供了关于交换机的一些基本信息，包括日志配置、控制台、监视器、SNMP代理、日志缓冲区和陷阱缓冲区等方面的配置和状态。以下是对每部分的解释：

1. Information Center: enabled：信息中心已启用，这意味着交换机可以记录和管理各种信息和事件。

2. Log host：这部分列出了远程日志主机的配置。

   • the interface name of the source address: LoopBack0：使用LoopBack0接口作为远程日志的源地址。
   • 172.16.250.92, channel number 2, channel name loghost, language English, host facility local7：配置了一个远程日志主机，其IP地址为172.16.250.92，使用通道号2，通道名为"loghost"，使用英语作为日志语言，主机设施为local7。
   • 172.16.251.31, channel number 2, channel name loghost, language English, host facility local7：配置了另一个远程日志主机，具有类似的配置。
   • 172.16.31.139, channel number 2, channel name loghost, language English, host facility local7：配置了第三个远程日志主机，具有类似的配置。

3. Console：控制台的配置。

   • channel number: 0, channel name: console：控制台的通道号为0，通道名为"console"。

4. Monitor：监视器的配置。

   • channel number: 1, channel name: monitor：监视器的通道号为1，通道名为"monitor"。

5. SNMP Agent：SNMP代理的配置。

   • channel number: 5, channel name: snmpagent：SNMP代理的通道号为5，通道名为"snmpagent"。

6. Log buffer：日志缓冲区的配置和状态。

   • enabled, max buffer size 1024, current buffer size 512：日志缓冲区已启用，最大缓冲区大小为1024，当前缓冲区大小为512。
   • current messages 512, channel number: 4, channel name: logbuffer：当前日志消息数量为512，日志缓冲区的通道号为4，通道名为"logbuffer"。
   • dropped messages 0, overwritten messages 1037420：尚未丢失任何日志消息，但已经覆盖了1037420条日志消息，这意味着缓冲区曾经满过，旧的日志消息被新的消息替代。

7. Trap buffer：陷阱缓冲区的配置和状态。

   • enabled, max buffer size 1024, current buffer size 256：陷阱缓冲区已启用，最大缓冲区大小为1024，当前缓冲区大小为256。
   • current messages 256, channel number: 3, channel name: trapbuffer：当前陷阱消息数量为256，陷阱缓冲区的通道号为3，通道名为"trapbuffer"。
   • dropped messages 0, overwritten messages 784469：尚未丢失任何陷阱消息，但已经覆盖了784469条陷阱消息，这意味着缓冲区曾经满过，旧的陷阱消息被新的消息替代。

这些信息提供了关于日志和事件管理的配置和状态，包括远程日志主机、控制台、监视器、SNMP代理以及日志和陷阱缓冲区的设置。这些设置对于日志记录、监控和网络故障排除非常重要。

 dis mem

在华为交换机中，"dis mem" 是一个用于查看设备内存使用情况的命令。以下是一个示例输出，显示了交换机内存的一些关键信息：

<SMZX-HJ-S9306>dis mem
Memory Usage:                                 Total:     248207000 bytes (236.57MB)Free:      57481632 bytes (54.83MB)Used:      190725368 bytes (181.73MB)Shared:    0 bytes (0.00B)Buffers:   18564 bytes (0.02MB)

在这个示例中，"dis mem" 命令提供了以下信息：

• Total：总内存容量为 236.57MB。
• Free：可用内存为 54.83MB。
• Used：已使用的内存为 181.73MB。
• Shared：共享内存，此处为0。
• Buffers：用于缓冲的内存大小为0.02MB。

这些信息有助于管理员监视设备的内存使用情况，以确保不会出现内存不足的问题。根据不同的交换机型号和厂商，实际的输出格式和信息可能会有所不同。

其余一些命令