摘 要：在智能交換機(jī)相當(dāng)普及的今天，配置交換機(jī)似乎已多大必要，交換機(jī)配置對很多人來說成了一門高深的學(xué)問，也有很多網(wǎng)絡(luò)維護(hù)工作者疏于交換機(jī)配置。其實(shí)，交換機(jī)配置對于網(wǎng)絡(luò)管理、網(wǎng)絡(luò)故障檢測、網(wǎng)絡(luò)安全還是有相當(dāng)重要的作用，從配置方法及上述這幾方面探析交換機(jī)配置。

關(guān)鍵詞：交換機(jī)配置；網(wǎng)絡(luò)管理；故障檢測；網(wǎng)絡(luò)安全。

一、交換機(jī)配置方法

1.本地配置

用翻轉(zhuǎn)線將計(jì)算機(jī)COM口與交換機(jī)的“Console”端口直接連接起來，在Windows XP中打開超級終端，新建連接，參數(shù)如右圖設(shè)置，單擊確認(rèn)后可通過命令方式對交換機(jī)進(jìn)行設(shè)置，這里要注意交換機(jī)的三種模式，即普通用戶模式、特權(quán)用戶模式、全局配置模式，各種模式的設(shè)置權(quán)限不一樣。

2.遠(yuǎn)程配置

遠(yuǎn)程配置可通過Telnet或者Web瀏覽器的方式實(shí)現(xiàn)的，如交換機(jī)IP地址為192.168.1.1，Telnet方式：在運(yùn)行框中輸入Telnet 192.168.1.1，確定后即可建立與遠(yuǎn)程交換機(jī)的連接；Web方式：打開Web瀏覽器，在地址欄輸入交換機(jī)IP，按提示輸入用戶名和密碼，建立連接。然后，就可以根據(jù)實(shí)際需要對該交換機(jī)進(jìn)行相應(yīng)的配置和管理了。

二、交換機(jī)配置與網(wǎng)絡(luò)管理、故障檢測

1.配置交換機(jī)名稱

交換機(jī)名稱要在全局模式下進(jìn)行配置，使用命令hostname。在多交換機(jī)企業(yè)網(wǎng)絡(luò)環(huán)境中，為每臺交換機(jī)配置有意義且唯一的名稱是非常有必要的，我們常常需要在一臺計(jì)算機(jī)上通過Telnet同時對多臺交換機(jī)進(jìn)行配置，獨(dú)特的名稱能夠方便的區(qū)分各交換機(jī)CLI命令行界面，提高工作效率。

2.配置交換機(jī)IP地址

交換機(jī)IP地址要在全局模式下進(jìn)行配置，通過交換機(jī)管理地址，我們可以方便地利用網(wǎng)內(nèi)計(jì)算機(jī)通過Telnet和Web實(shí)現(xiàn)交換機(jī)的管理訪問。如下命令可以配置交換機(jī)IP地址為10.10.1.1，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)地址為10.10.1.254。

Interface vlan 1

Ip address 10.10.1.1 255.255.255.0

No shutdown

Ip default-gateway 10.10.1.254

3.配置交換機(jī)DNS

為了實(shí)現(xiàn)管理和排錯的目的，在交換機(jī)上配置DNS是非常不錯的選擇，這樣能夠?qū)⒂蛎馕龀蒊P地址。在全局模式下如下命令可以指定域名服務(wù)器為10.10.1.1和10.10.1.2。

Ip domain-name hnsoft.com

Ip name-server 10.10.1.1 10.10.1.2

4.配置系統(tǒng)日志

在默認(rèn)情況下，交換機(jī)將關(guān)鍵信息記錄到本地緩沖區(qū)中，但眾所周知，將關(guān)鍵設(shè)備的狀態(tài)信息記錄到系統(tǒng)日志服務(wù)器中才是更好的選擇，這樣可以通過系統(tǒng)日志服務(wù)器集中監(jiān)控企業(yè)網(wǎng)絡(luò)中所有的交換機(jī)，并依據(jù)這些信息掌握設(shè)備的運(yùn)行狀況，及早發(fā)現(xiàn)問題，及時進(jìn)行配置設(shè)定和排障，保障網(wǎng)絡(luò)安全穩(wěn)定地運(yùn)行。在全局模式下輸入命令logging 10.10.1.1可以配置系統(tǒng)日志服務(wù)器為10.10.1.1。

5.配置交換機(jī)集群

在企業(yè)局域網(wǎng)中，由一臺交換機(jī)和若干計(jì)算機(jī)終端組成的局域網(wǎng)早已無法滿足企業(yè)信息化的需要，多交換機(jī)局域網(wǎng)應(yīng)運(yùn)而生。我們可以通過交換機(jī)級聯(lián)增加端口數(shù)量和拓展網(wǎng)絡(luò)覆蓋范圍，通過交換機(jī)堆棧增加背板帶寬，通過交換機(jī)集群管理技術(shù)實(shí)現(xiàn)交換機(jī)的集中管理、維護(hù)和網(wǎng)絡(luò)監(jiān)視。交換機(jī)集群管理配置只要配置主交換機(jī)即可，步驟如下：在命令方式下進(jìn)入（啟動）集群視圖，先配置集群IP地址池、設(shè)置集群名稱，然后設(shè)置自動收集加入成員。在交換機(jī)集群環(huán)境下，只要對主交換機(jī)配置即可實(shí)現(xiàn)對集群所有交換機(jī)的配置，無須逐一配置每臺交換機(jī)，另外管理員通過集群管理套件利用Web接口即可實(shí)現(xiàn)對集群交換機(jī)所有端口狀態(tài)信息的檢查，這樣能夠大大縮短故障發(fā)現(xiàn)和解決時間。

三、交換機(jī)配置與網(wǎng)絡(luò)安全

1.SNMP v3和SSH配置

安全網(wǎng)管SNMP v3 提出全新的體系結(jié)構(gòu)，將各版本的SNMP 標(biāo)準(zhǔn)集中到一起，進(jìn)而加強(qiáng)網(wǎng)管安全性。SNMP v3 建議的安全模型是基于用戶的安全模型，即USM.USM對網(wǎng)管消息進(jìn)行加密和認(rèn)證是基于用戶進(jìn)行的。具體地說就是用什么協(xié)議和密鑰進(jìn)行加密和認(rèn)證均由用戶名稱（userNmae）和權(quán)威引擎標(biāo)識符（EngineID）來決定（推薦加密協(xié)議CBCDES，認(rèn)證協(xié)議HMAC-MD5-96 和HMAC-SHA-96），通過認(rèn)證、加密和時限提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)保密和消息時限服務(wù)，從而有效防止非授權(quán)用戶對管理信息的修改、偽裝和竊聽。

Telnet是以明文方式在管理平臺和交換機(jī)設(shè)備之間傳遞口令和數(shù)據(jù)，所以很容易被別有用心的人竊取口令，受到攻擊。但采用SSH進(jìn)行通訊時，用戶名及口令均進(jìn)行了加密，有效防止了對口令的竊聽，便于網(wǎng)管人員進(jìn)行遠(yuǎn)程的安全網(wǎng)絡(luò)管理。使用SSH要求先配置用戶名和密碼，可以使用crypto key generate rsa命令啟用SSH。

2.配置安全端口

在局域網(wǎng)內(nèi)部的不安全因素是非常多的，常見的有MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等，我們可以通過配置交換機(jī)安全端口地址綁定、設(shè)置安全端口最大連接數(shù)來避免這些攻擊。在全局模式下switchport port-security mac-address 00do.f800.073c ip-address 192.168.1.10命令可以實(shí)現(xiàn)IP地址192.168.1.10與MAC地址00do.f800.073c的綁定，防止網(wǎng)絡(luò)攻擊。

3.配置訪問控制列表ACL

訪問控制列表（ACL）是在三層交換機(jī)和路由器上經(jīng)常采用的一種流量控制技術(shù)，它可以在內(nèi)網(wǎng)部署安全策略，保證內(nèi)網(wǎng)安全權(quán)限的資源訪問；可以在內(nèi)網(wǎng)訪問外網(wǎng)時，進(jìn)行安全數(shù)據(jù)過濾；可以防止常見病毒、木馬攻擊對用戶的破壞。ACL可以基于數(shù)據(jù)包源IP地址、目的IP地址、協(xié)議及端口號等信息來過濾流量。如下命令可以實(shí)現(xiàn)拒絕來自192.168.2.0的流量通過，允許來自192.168.1.0的流量通過：

Ip access-list standard aaa

Deny 192.168.2.0 0.0.0.255

Permit 192.168.1.0 0.0.0.255

Exit

Ip access-group aaa out

4.其他技術(shù)

流量控制。交換機(jī)六種安全設(shè)置的流量控制可以預(yù)防因?yàn)閺V播數(shù)據(jù)包、組播數(shù)據(jù)包及因目的地址錯誤的單播數(shù)據(jù)包數(shù)據(jù)流量過大造成交換機(jī)六種安全設(shè)置帶寬的異常負(fù)荷，并可提高系統(tǒng)的整體效能，保持網(wǎng)絡(luò)安全穩(wěn)定的運(yùn)行。

配置虛擬局域網(wǎng)（VLAN）。VLAN的出現(xiàn)打破了傳統(tǒng)網(wǎng)絡(luò)的許多固有觀念，使網(wǎng)絡(luò)結(jié)構(gòu)變得更加靈活、方便和隨心所欲。在企業(yè)局域交換網(wǎng)維中，VLAN可以不用考慮計(jì)算機(jī)終端的物理位置，而只根據(jù)功能、應(yīng)用等因素將計(jì)算機(jī)在邏輯上劃分為一個個功能相對獨(dú)立的工作組，并可以實(shí)現(xiàn)不同工作組之間的單向訪問。如上圖是企業(yè)局域網(wǎng)拓?fù)鋱D，VLAN10與VLAN20代表不同部門，它們可能分布在不同樓層，也可能分布在幾座樓之間，通過配置交換機(jī)，可以實(shí)現(xiàn)不同VLAN間訪問的任意控制，如VLAN10間的計(jì)算機(jī)可以隨意互訪，但不能訪問VLAN20等。VLAN在交換機(jī)上的實(shí)現(xiàn)方式可以是基于端口劃分的VLAN、基于MAC地址劃分的VLAN、基于網(wǎng)絡(luò)層協(xié)議劃分的VLAN、基于IP組播劃分的VLAN、基于策略劃分的VLAN、按用戶定義和非用戶授權(quán)劃分VLAN，形式相當(dāng)靈活，功能相當(dāng)好用。

通過交換機(jī)配置基本參數(shù)，能有效提高網(wǎng)絡(luò)管理效率，快速檢測、發(fā)現(xiàn)網(wǎng)絡(luò)故障點(diǎn)。而通過設(shè)置密碼、安全端口、ACL等，能有效提高網(wǎng)絡(luò)安全系數(shù)。通過控制流量、劃分VLAN等，可以滿足企業(yè)用戶更多的不同的要求。

參與文獻(xiàn)：

張國清.網(wǎng)絡(luò)設(shè)備配置與調(diào)試項(xiàng)目實(shí)訓(xùn)[M].電子工業(yè)出版社，2012.

編輯 李 姣