【正文】 作使用 show runningconfig 命令，如下例：routershow runningconfig…21 / 44accesslist 102accesslist 102 deny tcp any any eq 445 logaccesslist 102 deny tcp any any eq 5800 logaccesslist 102 deny tcp any any eq 5900 logaccesslist 102 deny udp any any eq 1434 log…3. 補(bǔ)充說明染備注 功能配置 功能禁用*安全基線項(xiàng)目名稱功能禁用安全基線要求項(xiàng)安全基線編號SBLCiscoRouter040201 安全基線項(xiàng)說明 功能禁用檢測操作步驟 1． 參考配置操作I. 禁用 IP 源路由Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) no ip sourcerouteII. 禁用 PROXY ARPRouter config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) interface eth 0/0Router(configif) no ip proxyarpRouter(configif) exit Router(config) interface eth 0/1Router(configif) no ip proxyarpRouter(configif) exit Router(config) interface eth 0/2Router(configif) no ip proxyarpRouter(configif) exit 22 / 44Router(config) interface eth 0/3Router(configif) no ip proxyarpRouter(configif) endIII. 禁用直播功能Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) interface eth 0/0Router(configif) no ip directedbroadcastRouter(configif) endIV. 禁用 IP 重定向Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) interface eth 0/0Router(configif) no ip redirectsRouter(configif) endV. 禁用 IP 掩碼響應(yīng)Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) interface eth 0/0Router(configif) no ip maskreplyRouter(configif) end2． 補(bǔ)充操作說明基線符合性判定依據(jù)1． 判定條件上述條目，在相應(yīng)版本 IOS 中是“no”掉的2． 檢測操作I. 禁用 IP 源路由no ip sourceroute…II. 禁用 PROXY ARPint s0/0no ip proxyarp…III. 禁用直播功能, 之后默認(rèn)int s0no ip directedbroadcast…IV. 禁用 IP 重定向int s023 / 44no ip unreachableno ip redirectsV. 禁用 IP 掩碼響應(yīng)no ip maskrepy3． 補(bǔ)充說明備注 根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。檢測操作步驟 1． 參考配置操作TACACS 服務(wù)器：Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config)tacacsserver host Router(config)tacacsserver key Ir31yh8nw9swDRouter(config)endRouterRADIUS 服務(wù)器：Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config) radiusserver host Router(config) radiusserver key i*Ma5inu9ps5wD2． 補(bǔ)充操作說明啟用 TACACS 服務(wù)器、RADIUS 服務(wù)器認(rèn)證基線符合性判定依據(jù)1． 判定條件I. 指定了服務(wù)器II. 設(shè)定了認(rèn)證 key24 / 442． 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfig…！TACACS 服務(wù)器：tacacsserver host acacsserver key Ir31yh8nw9swD…！RADIUS 服務(wù)器： radiusserver host radiusserver key i*Ma5inu9ps5wD3． 補(bǔ)充說明備注 根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。檢測操作步驟1． 參考配置操作I. 配置 Router1 和 Router2 間 Ospf 啟用 MD5 驗(yàn)證Router1 配置：Router1 config tEnter configuration mands, one per line. End with CNTL/Z.Router1(config) router ospf 1Router1(configrouter) work area 0 Router1(configrouter) area 0 authentication messagedigestRouter1(configrouter) exit Router1(config) int eth0/1Router1(configif) ip ospf messagedigestkey 1 md5 r0utes4allRouter1(configif) end Router1Router2 配置：Router2 config tEnter configuration mands, one per line. End with CNTL/Z.Router2(config) router ospf 1Router2(configrouter) area 0 authentication messagedigest25 / 44Router2(configrouter) work area 0 Router2(configrouter) work area 0 Router2(configrouter) exit Router2(config) int eth0 Router2(configif) ip ospf messagedigestkey 1 md5 r0utes4allRouter2(configif) end Router2II. 配置 Router1 和 Router2 間 EIGRP 啟用 MD5 驗(yàn)證Router1 配置：Router1 config tEnter configuration mands, one per with CNTL/Z.Router1(config) router eigrp 100Router1(configrouter) work Router1(configrouter) exit Router1(config) interface eth 0/1Router1(configif) ip authentication mode eigrp 100 md5Router1(configif) ip authentication keychain eigrp 100 Router1KCRouter1(configif) exit Router1(config) key chain Router1KCRouter1(configkeychain) key 1Router1(configkeychainkey) keystring mysecretkeyRouter1(configkeychainkey) sendlifetime 00:00:00 Oct 1 202200:00:00 Jan 1 2022 Router1(configkeychainkey) acceptlifetime 00:00:00 Oct 1 202200:00:00 Jan 7 2022Router1(configkeychainkey) endRouter1Router2 配置：Router2 config tEnter configuration mands, one per line. End with CNTL/Z.Router2(config) router eigrp 100Router2(configrouter) work Router2(configrouter) work Router2(configrouter) passiveinterface eth1Router2(configrouter) exit Router2(config) interface eth 0 Router2(configif) ip authentication mode eigrp 100 md5Router2(configif) ip authentication keychain eigrp 100 Router2KCRouter2(configif) exit Router2(config) key chain Router2KCRouter2(configkeychain) key 1Router2(configkeychainkey) keystring mysecretkeyRouter2(configkeychainkey) sendlifetime 00:00:00 Oct 1 202200:00:00 Jan 1 2022 26 / 44Router2(configkeychainkey) acceptlifetime 00:00:00 Oct 1 202200:00:00 Jan 7 2022Router2(configkeychainkey) endRouter22． 補(bǔ)充操作說明基線符合性判定依據(jù) 1． 判定條件有 ip rip(ospf、eigrp 等) md5 的字段2． 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfig…I. ！RIPV2router ripversion 2work int ether0/1ip rip authentication keychain xxxxip rip authentication mode md5…II. ！OSPFip ospf messagedigestkey 1 md5 xxxxx…III. ！EIGRPip authentication mode eigrp 1 md53． 補(bǔ)充說明備注 根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。檢測操作步驟Router(config) router bgp 27701Router(configrouter) neighbor remoteas 2662527 / 44Router(configrouter) bgp dampeningRouter(configrouter) end基線符合性判定依據(jù)1． 判定條件做了 bgp dampening 配置2． 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfig…router bgp 27701neighbor remoteas 26625bgp dampening3． 補(bǔ)充說明bgp dampening 使用來抑制一些頻繁浮動路由的，當(dāng)超過抑制閥值時就被抑制，從而防止 bgp 表的抖動。只發(fā)布所需的路由更新，防止路由信息