張大慶

（廣東省東莞市技師學(xué)院）

一、交換機(jī)配置方法

1.本地配置

用翻轉(zhuǎn)線將計(jì)算機(jī)COM 口與交換機(jī)的“Console”端口直接連接起來(lái)，在Windows XP 中打開(kāi)超級(jí)終端，新建連接，參數(shù)如右圖設(shè)置，單擊確認(rèn)后可通過(guò)命令方式對(duì)交換機(jī)進(jìn)行設(shè)置，這里要注意交換機(jī)的三種模式，即普通用戶模式、特權(quán)用戶模式、全局配置模式，各種模式的設(shè)置權(quán)限不一樣。

2.遠(yuǎn)程配置

遠(yuǎn)程配置可通過(guò)Telnet 或者Web 瀏覽器的方式實(shí)現(xiàn)的，如交換機(jī)IP 地址為192.168.1.1，Telnet 方式：在運(yùn)行框中輸入Telnet 192.168.1.1，確定后即可建立與遠(yuǎn)程交換機(jī)的連接；Web 方式：打開(kāi)Web 瀏覽器，在地址欄輸入交換機(jī)IP，按提示輸入用戶名和密碼，建立連接。然后，就可以根據(jù)實(shí)際需要對(duì)該交換機(jī)進(jìn)行相應(yīng)的配置和管理了。

二、交換機(jī)配置與網(wǎng)絡(luò)管理、故障檢測(cè)

1.配置交換機(jī)名稱

交換機(jī)名稱要在全局模式下進(jìn)行配置，使用命令hostname。在多交換機(jī)企業(yè)網(wǎng)絡(luò)環(huán)境中，為每臺(tái)交換機(jī)配置有意義且唯一的名稱是非常有必要的，我們常常需要在一臺(tái)計(jì)算機(jī)上通過(guò)Telnet 同時(shí)對(duì)多臺(tái)交換機(jī)進(jìn)行配置，獨(dú)特的名稱能夠方便的區(qū)分各交換機(jī)CLI 命令行界面，提高工作效率。

2.配置交換機(jī)IP 地址

交換機(jī)IP 地址要在全局模式下進(jìn)行配置，通過(guò)交換機(jī)管理地址，我們可以方便地利用網(wǎng)內(nèi)計(jì)算機(jī)通過(guò)Telnet 和Web 實(shí)現(xiàn)交換機(jī)的管理訪問(wèn)。如下命令可以配置交換機(jī)IP 地址為10.10.1.1，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)地址為10.10.1.254。

Interface vlan 1

Ip address 10.10.1.1 255.255.255.0

No shutdown

Ip default-gateway 10.10.1.254

3.配置交換機(jī)DNS

為了實(shí)現(xiàn)管理和排錯(cuò)的目的，在交換機(jī)上配置DNS 是非常不錯(cuò)的選擇，這樣能夠?qū)⒂蛎馕龀蒊P 地址。在全局模式下如下命令可以指定域名服務(wù)器為10.10.1.1 和10.10.1.2。

Ip domain-name hnsoft.com

Ip name-server 10.10.1.1 10.10.1.2

4.配置系統(tǒng)日志

在默認(rèn)情況下，交換機(jī)將關(guān)鍵信息記錄到本地緩沖區(qū)中，但眾所周知，將關(guān)鍵設(shè)備的狀態(tài)信息記錄到系統(tǒng)日志服務(wù)器中才是更好的選擇，這樣可以通過(guò)系統(tǒng)日志服務(wù)器集中監(jiān)控企業(yè)網(wǎng)絡(luò)中所有的交換機(jī)，并依據(jù)這些信息掌握設(shè)備的運(yùn)行狀況，及早發(fā)現(xiàn)問(wèn)題，及時(shí)進(jìn)行配置設(shè)定和排障，保障網(wǎng)絡(luò)安全穩(wěn)定地運(yùn)行。在全局模式下輸入命令logging 10.10.1.1 可以配置系統(tǒng)日志服務(wù)器為10.10.1.1。

5.配置交換機(jī)集群

在企業(yè)局域網(wǎng)中，由一臺(tái)交換機(jī)和若干計(jì)算機(jī)終端組成的局域網(wǎng)早已無(wú)法滿足企業(yè)信息化的需要，多交換機(jī)局域網(wǎng)應(yīng)運(yùn)而生。我們可以通過(guò)交換機(jī)級(jí)聯(lián)增加端口數(shù)量和拓展網(wǎng)絡(luò)覆蓋范圍，通過(guò)交換機(jī)堆棧增加背板帶寬，通過(guò)交換機(jī)集群管理技術(shù)實(shí)現(xiàn)交換機(jī)的集中管理、維護(hù)和網(wǎng)絡(luò)監(jiān)視。交換機(jī)集群管理配置只要配置主交換機(jī)即可，步驟如下：在命令方式下進(jìn)入（啟動(dòng)）集群視圖，先配置集群IP 地址池、設(shè)置集群名稱，然后設(shè)置自動(dòng)收集加入成員。在交換機(jī)集群環(huán)境下，只要對(duì)主交換機(jī)配置即可實(shí)現(xiàn)對(duì)集群所有交換機(jī)的配置，無(wú)須逐一配置每臺(tái)交換機(jī)，另外管理員通過(guò)集群管理套件利用Web 接口即可實(shí)現(xiàn)對(duì)集群交換機(jī)所有端口狀態(tài)信息的檢查，這樣能夠大大縮短故障發(fā)現(xiàn)和解決時(shí)間。

三、交換機(jī)配置與網(wǎng)絡(luò)安全

1.SNMP v3 和SSH 配置

安全網(wǎng)管SNMP v3 提出全新的體系結(jié)構(gòu)，將各版本的SNMP標(biāo)準(zhǔn)集中到一起，進(jìn)而加強(qiáng)網(wǎng)管安全性。SNMP v3 建議的安全模型是基于用戶的安全模型，即USM.USM 對(duì)網(wǎng)管消息進(jìn)行加密和認(rèn)證是基于用戶進(jìn)行的。具體地說(shuō)就是用什么協(xié)議和密鑰進(jìn)行加密和認(rèn)證均由用戶名稱（userNmae）和權(quán)威引擎標(biāo)識(shí)符（EngineID）來(lái)決定（推薦加密協(xié)議CBCDES，認(rèn)證協(xié)議HMAC-MD5-96 和HMACSHA-96），通過(guò)認(rèn)證、加密和時(shí)限提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)保密和消息時(shí)限服務(wù)，從而有效防止非授權(quán)用戶對(duì)管理信息的修改、偽裝和竊聽(tīng)。

Telnet 是以明文方式在管理平臺(tái)和交換機(jī)設(shè)備之間傳遞口令和數(shù)據(jù)，所以很容易被別有用心的人竊取口令，受到攻擊。但采用SSH 進(jìn)行通訊時(shí)，用戶名及口令均進(jìn)行了加密，有效防止了對(duì)口令的竊聽(tīng)，便于網(wǎng)管人員進(jìn)行遠(yuǎn)程的安全網(wǎng)絡(luò)管理。使用SSH 要求先配置用戶名和密碼，可以使用crypto key generate rsa 命令啟用SSH。

2.配置安全端口

在局域網(wǎng)內(nèi)部的不安全因素是非常多的，常見(jiàn)的有MAC 地址攻擊、ARP 攻擊、IP/MAC 地址欺騙等，我們可以通過(guò)配置交換機(jī)安全端口地址綁定、設(shè)置安全端口最大連接數(shù)來(lái)避免這些攻擊。在全局模式下switchport port-security mac-address 00do.f800.073c ipaddress 192.168.1.10 命令可以實(shí)現(xiàn)IP 地址192.168.1.10 與MAC地址00do.f800.073c 的綁定，防止網(wǎng)絡(luò)攻擊。

3.配置訪問(wèn)控制列表ACL

訪問(wèn)控制列表（ACL）是在三層交換機(jī)和路由器上經(jīng)常采用的一種流量控制技術(shù)，它可以在內(nèi)網(wǎng)部署安全策略，保證內(nèi)網(wǎng)安全權(quán)限的資源訪問(wèn)；可以在內(nèi)網(wǎng)訪問(wèn)外網(wǎng)時(shí)，進(jìn)行安全數(shù)據(jù)過(guò)濾；可以防止常見(jiàn)病毒、木馬攻擊對(duì)用戶的破壞。ACL 可以基于數(shù)據(jù)包源IP 地址、目的IP 地址、協(xié)議及端口號(hào)等信息來(lái)過(guò)濾流量。如下命令可以實(shí)現(xiàn)拒絕來(lái)自192.168.2.0 的流量通過(guò)，允許來(lái)自192.168.1.0的流量通過(guò)：

Ip access-list standard aaa

Deny 192.168.2.0 0.0.0.255

Permit 192.168.1.0 0.0.0.255

Exit

Ip access-group aaa out

4.其他技術(shù)

流量控制。交換機(jī)六種安全設(shè)置的流量控制可以預(yù)防因?yàn)閺V播數(shù)據(jù)包、組播數(shù)據(jù)包及因目的地址錯(cuò)誤的單播數(shù)據(jù)包數(shù)據(jù)流量過(guò)大造成交換機(jī)六種安全設(shè)置帶寬的異常負(fù)荷，并可提高系統(tǒng)的整體效能，保持網(wǎng)絡(luò)安全穩(wěn)定的運(yùn)行。

配置虛擬局域網(wǎng)（VLAN）。VLAN 的出現(xiàn)打破了傳統(tǒng)網(wǎng)絡(luò)的許多固有觀念，使網(wǎng)絡(luò)結(jié)構(gòu)變得更加靈活、方便和隨心所欲。在企業(yè)局域交換網(wǎng)維中，VLAN 可以不用考慮計(jì)算機(jī)終端的物理位置，而只根據(jù)功能、應(yīng)用等因素將計(jì)算機(jī)在邏輯上劃分為一個(gè)個(gè)功能相對(duì)獨(dú)立的工作組，并可以實(shí)現(xiàn)不同工作組之間的單向訪問(wèn)。如上圖是企業(yè)局域網(wǎng)拓?fù)鋱D，VLAN10與VLAN20 代表不同部門(mén)，它們可能分布在不同樓層，也可能分布在幾座樓之間，通過(guò)配置交換機(jī)，可以實(shí)現(xiàn)不同VLAN 間訪問(wèn)的任意控制，如VLAN10 間的計(jì)算機(jī)可以隨意互訪，但不能訪問(wèn)VLAN20 等。VLAN 在交換機(jī)上的實(shí)現(xiàn)方式可以是基于端口劃分的VLAN、基于MAC 地址劃分的VLAN、基于網(wǎng)絡(luò)層協(xié)議劃分的VLAN、基于IP 組播劃分的VLAN、基于策略劃分的VLAN、按用戶定義和非用戶授權(quán)劃分VLAN，形式相當(dāng)靈活，功能相當(dāng)好用。

通過(guò)交換機(jī)配置基本參數(shù)，能有效提高網(wǎng)絡(luò)管理效率，快速檢測(cè)、發(fā)現(xiàn)網(wǎng)絡(luò)故障點(diǎn)。而通過(guò)設(shè)置密碼、安全端口、ACL 等，能有效提高網(wǎng)絡(luò)安全系數(shù)。通過(guò)控制流量、劃分VLAN 等，可以滿足企業(yè)用戶更多的不同的要求。

參與文獻(xiàn)：

張國(guó)清.網(wǎng)絡(luò)設(shè)備配置與調(diào)試項(xiàng)目實(shí)訓(xùn)［M］.電子工業(yè)出版社，2012.