网络安全等级保护制度第三级（简称等保三级）对交换机的安全提出了严格要求，涵盖访问控制、安全审计、入侵防范等多个方面。以下以H3C交换机为例，结合实际配置实例进行说明。

一、访问控制要求

要求：限制非授权用户访问网络设备，控制管理权限。

配置实例

1. 限制管理接口访问IP范围

通过ACL限制仅允许特定IP通过SSH/Telnet登录交换机

# 创建ACL 2000，允许192.168.1.0/24网段访问

acl basic 2000

rule permit source 192.168.1.0 0.0.0.255

rule deny source any

# 将ACL应用到VTY（远程登录线路）

user-interface vty 0 4

acl 2000 inbound

protocol inbound ssh # 仅允许SSH

2. 端口安全（MAC地址绑定）

限制交换机端口允许接入的MAC地址数量，防止非法设备接入。

interface GigabitEthernet1/0/1

port-security enable

port-security max-mac-count 3 # 允许最多3个MAC地址

port-security mac-address sticky # 动态绑定合法MAC

二、安全审计要求

要求：记录所有用户操作日志，并定期审计。

配置实例

1. 配置日志服务器（Syslog）

将日志发送到中央日志服务器（假设服务器IP为192.168.1.100）。

info-center enable

info-center loghost 192.168.1.100 facility local6 # 指定日志服务器

info-center timestamp loghost date # 添加时间戳

2. 记录所有用户操作

开启操作日志记录功能。

user-interface vty 0 4

logging synchronous # 同步输出日志

command accounting # 记录所有用户输入的命令

三、入侵防范要求

要求：防范网络攻击（如ARP欺骗、MAC泛洪、DoS攻击）。

配置实例

1. 防MAC泛洪

启用端口MAC地址学习限制。

interface GigabitEthernet1/0/1

mac-address max-mac-count 10 # 限制每个端口最多学习10个MAC

2. 防ARP欺骗

启用ARP入侵检测功能。

arp detection enable # 全局启用ARP检测

arp detection trust interface GigabitEthernet1/0/1 # 标记信任端口（如上联口）

3. 防DoS攻击（风暴控制）

限制广播/组播流量

interface GigabitEthernet1/0/1

broadcast-suppression 20 # 限制广播流量不超过20%

multicast-suppression 20 # 限制组播流量

四、身份鉴别要求

要求：强制使用强密码、多因素认证或AAA认证。

配置实例

1. AAA本地认证

创建本地用户并强制使用SSH登录。

local-user admin

password simple StrongP@ssw0rd # 实际生产环境应使用密文密码

service-type ssh

authorization-attribute user-role network-admin

2. SSH密钥登录

配置SSH增强身份验证。

ssh server enable

ssh user admin authentication-type password # 密码认证

ssh user admin service-type stelnet # 启用STelnet（SSH）

五、安全通信要求

要求：管理流量加密，禁用明文协议（如Telnet）。

配置实例

1. 禁用HTTP/Telnet

强制使用HTTPS/SSH。

undo ip http enable # 关闭HTTP服务

undo telnet server enable # 关闭Telnet

2. 启用HTTPS

配置SSL证书管理。

ip https enable

ip https ssl-server-policy my_policy # 绑定SSL策略

六、其他增强配置

1. STP防护

防止生成树攻击。

stp bpdu-protection # 启用BPDU防护（边缘端口收到BPDU则关闭端口）

2. IP Source Guard

防止IP地址欺骗。

interface GigabitEthernet1/0/1

ip verify source ip-address mac-address # 绑定IP和MAC

3. 定期备份配置

通过FTP/TFTP备份配置文件。

tftp 192.168.1.200 put flash:/config.cfg # 备份到TFTP服务器

总结

等保三级要求交换机实现严格的访问控制、日志审计、入侵防御等功能。通过H3C交换机的ACL、端口安全、AAA认证、日志服务等配置，可以全面满足合规要求。实际部署时需结合网络拓扑调整策略（如信任端口标记、日志服务器地址等），并定期更新密码和固件以应对新威胁。