引言： 單位網(wǎng)管員在管理維護(hù)網(wǎng)絡(luò)的時候，總需要接觸到交換機(jī)設(shè)備，該設(shè)備是局域網(wǎng)中的核心設(shè)備，它的可靠性和安全性直接決定著整個網(wǎng)絡(luò)的運(yùn)行穩(wěn)定性。所以有效地管理配置好交換機(jī)，是確保單位局域網(wǎng)運(yùn)行安全和可靠的關(guān)鍵。

單位網(wǎng)管員在管理維護(hù)網(wǎng)絡(luò)的時候，總需要接觸到交換機(jī)設(shè)備，該設(shè)備是局域網(wǎng)中的核心設(shè)備，它的可靠性和安全性直接決定著整個網(wǎng)絡(luò)的運(yùn)行穩(wěn)定性。所以有效地管理配置好交換機(jī)，是確保單位局域網(wǎng)運(yùn)行安全和可靠的關(guān)鍵。然而，面對著風(fēng)起云涌的黑客入侵和瘋狂肆虐的病毒攻擊，交換機(jī)自身的安全性正變得越來越脆弱。現(xiàn)在本文就從配置著手，來增強(qiáng)交換機(jī)的安全運(yùn)行性能，從而讓其發(fā)揮保護(hù)網(wǎng)絡(luò)的作用。

配置密碼保護(hù)

大家知道，管理員通過交換機(jī)管理網(wǎng)絡(luò)時，常常會從Console連接端口登錄該設(shè)備后臺系統(tǒng)。默認(rèn)狀態(tài)下，交換機(jī)后臺系統(tǒng)不會要求用戶輸入登錄密碼的，這顯然是非常不安全的。為了保護(hù)交換機(jī)后臺系統(tǒng)用戶界面的登錄安全，我們應(yīng)該為Console連接配置登錄驗(yàn)證密碼。例如，要為思科交換機(jī)的Console端口配置密碼保護(hù)時，可以在后臺系統(tǒng)依次執(zhí)行“l(fā)ine con 0”、“password xxx”、“l(fā)ogin”等命令即可。這種方法只能設(shè)置明文密碼，別人在后臺系統(tǒng)執(zhí)行“show run”命令，可以查看到“password”的具體內(nèi)容。為了讓密碼保護(hù)更加安全，建議大家可以使用“service passwordencryption”命令，對明文密碼內(nèi)容執(zhí)行加密操作，甚至可以使用“enable secret yyy”命令，啟用強(qiáng)加密的特權(quán)密碼。為了改善配置效率，不少網(wǎng)管員也會通過telnet命令對交換機(jī)進(jìn)行遠(yuǎn)程配置。當(dāng)然，要是啟用了telnet登錄功能后，一些惡意用戶或許會趁機(jī)利用該功能，悄悄登錄進(jìn)入交換機(jī)后臺系統(tǒng)，對局域網(wǎng)中的許多關(guān)鍵配置進(jìn)行惡意修改，引起網(wǎng)絡(luò)不能穩(wěn)定工作或發(fā)生安全事故。為此，我們應(yīng)該加強(qiáng)用戶界面的登錄驗(yàn)證配置，強(qiáng)制用戶在telnet登錄交換機(jī)時進(jìn)行身份驗(yàn)證，具體操作命令包括“l(fā)inevty 04”、“password xxx”、“l(fā)ogin”等。

對于H3C系列交換機(jī)來說，它們支持password、scheme等加密認(rèn)證方式。比方說，要強(qiáng)制管理員以telnet方式管理交換機(jī)必須進(jìn)行登錄認(rèn)證時，比方先在交換機(jī)后臺系統(tǒng)全局模式下，通過“user-interface vty0”命令切換到vty0用戶界面視圖狀態(tài)，繼續(xù)輸入“authentication password”命令，開啟遠(yuǎn)程登錄認(rèn)證功能。當(dāng)成功啟用了該功能后，還需要使用“set authentication password simple xxx”命令來指定登錄密碼，這里的“xxx”為具體的明文口令內(nèi)容，比方說輸入“set authentication password simple 123456”命令，就意味著將遠(yuǎn)程登錄認(rèn)證口令設(shè)置成“123456”。倘若強(qiáng)制telnet用戶同時進(jìn)行用戶名和口令驗(yàn)證時，必須在用戶界面視圖模式狀態(tài)下，執(zhí)行“authenticationmode scheme”命令，來將遠(yuǎn)程用戶名和口令認(rèn)證功能啟用起來，這樣日后從vty0用戶界面登錄配置交換機(jī)時，系統(tǒng)就會強(qiáng)制用戶輸入具有合法權(quán)限的用戶名和密碼。例如，要強(qiáng)制遠(yuǎn)程telnet用戶從vty0用戶界面登錄交換機(jī)，一定要使用“123”賬號、“456”口令時，不妨在交換機(jī)后臺系統(tǒng)全局模式狀態(tài)下依次執(zhí)行如下命令：

配置環(huán)路保護(hù)

圖1 未配置回路監(jiān)測

為了改善傳輸穩(wěn)定性，不少單位網(wǎng)絡(luò)都采用了冗余連接，對物理線路進(jìn)行備份。然而，這種連接方式從物理連接角度來看，已經(jīng)在單位網(wǎng)絡(luò)中構(gòu)成了物理環(huán)路，該環(huán)路在stp協(xié)議的支撐下，不會影響網(wǎng)絡(luò)信號的正確傳輸；不過，在長時間工作過程中，單位網(wǎng)絡(luò)會受到工作環(huán)境、人為操作、設(shè)備質(zhì)量等因素影響，或許會發(fā)生網(wǎng)絡(luò)環(huán)路故障，而從平時的實(shí)踐工作來看，這種環(huán)路故障很容易出現(xiàn)在交換機(jī)調(diào)整的位置。要是物理環(huán)路真的構(gòu)成網(wǎng)絡(luò)回路，那么交換機(jī)端口很快會被大流量信號堵塞，單位網(wǎng)絡(luò)的運(yùn)行自然就會受到嚴(yán)重影響。為了保護(hù)交換機(jī)安全，改善網(wǎng)絡(luò)傳輸穩(wěn)定性，我們不妨配置啟用交換機(jī)的環(huán)路保護(hù)功能，讓其智能識別特定端口下出現(xiàn)的網(wǎng)絡(luò)回路現(xiàn)象，同時自動停用出現(xiàn)網(wǎng)絡(luò)回路的交換端口，并且及時上報相關(guān)日志內(nèi)容，日后我們根據(jù)設(shè)備日志內(nèi)容就能快速找到故障原因，讓單位網(wǎng)絡(luò)迅速恢復(fù)到正常狀態(tài)。

以H3C系列交換機(jī)為例，在配置環(huán)路保護(hù)功能時，只要在交換機(jī)后臺系統(tǒng)的全局視圖模式下，輸入“interface e0/26”之 類的命令，進(jìn)入目標(biāo)交換端口視圖模式，使用“display loopback-detection”命令，先查看指定交換端口在當(dāng)前有沒有配置端口回路監(jiān)測功能（如圖1所示），而且該命令還能查出該端口下有沒有回路現(xiàn)象存在。倘若看到網(wǎng)絡(luò)回路監(jiān)測功能還沒有被開啟時，不妨輸入“l(fā)oopbackdetection enable” 命令，來達(dá)到開啟目的。日后要是想臨時關(guān)閉這項(xiàng)功能時，可以再使用一次“undo loopback-detection enable”命令。

在缺省狀態(tài)下，配置好的交換端口環(huán)路保護(hù)功能只會對當(dāng)前端口下面的默認(rèn)VLAN有效，要想對當(dāng)前端口下的所有VLAN都有效時，必須要執(zhí)行“l(fā)oopbackdetection per-vlan enable”命令，讓網(wǎng)絡(luò)環(huán)路保護(hù)功能自動檢查當(dāng)前端口下的所有VLAN。此外，指定交換端口要是處于Access工作模式，那么網(wǎng)絡(luò)環(huán)路保護(hù)功能即使掃描到了當(dāng)前端口下的網(wǎng)絡(luò)回路，也不會向交換機(jī)后臺系統(tǒng)自動報告日志信息，只是簡單地關(guān)閉當(dāng)前交換端口的工作狀態(tài)，避免網(wǎng)絡(luò)回路影響到整個單位網(wǎng)絡(luò)的正常運(yùn)行。要是交換端口工作在Trunk、Hybrid模式，那么網(wǎng)絡(luò)環(huán)路保護(hù)功能掃描到當(dāng)前端口下存在網(wǎng)絡(luò)回路時，立即會以日志形式向系統(tǒng)報警，但不會關(guān)閉當(dāng)前端口的工作狀態(tài)，倘若要關(guān)閉交換端口運(yùn)行狀態(tài)時，只要輸入“l(fā)oopback-detection control enable”命令，配置好網(wǎng)絡(luò)回路監(jiān)測受控功能即可。

配置服務(wù)保護(hù)

交換機(jī)的許多功能都是以服務(wù)形式存在，開啟的服務(wù)越多，表示交換機(jī)可以支持的網(wǎng)絡(luò)功能越多。但對特定用戶來說，并不是交換機(jī)的功能越多越好，因?yàn)槟切┢綍r很少用到的網(wǎng)絡(luò)功能，不但會消耗交換機(jī)后臺系統(tǒng)的寶貴資源，而且會容易引起安全麻煩，從而影響整個單位網(wǎng)絡(luò)的運(yùn)行穩(wěn)定性。因此，我們可以及時關(guān)閉不需要的服務(wù)，確保交換機(jī)只使用有限的幾個網(wǎng)絡(luò)功能。

圖2 進(jìn)入后臺系統(tǒng)

例如，在Cisco交換機(jī)環(huán)境下，如果不希望用戶通過網(wǎng)頁瀏覽方式，遠(yuǎn)程查看交換機(jī)后臺管理配置頁面時，只要在后臺系統(tǒng)配置狀態(tài)下，執(zhí)行字符串命令“no ip http server”即可。這時，惡意程序?qū)o法不停地向局域網(wǎng)交換機(jī)發(fā)送HTTP請求，那么交換機(jī)就用不著不停地消耗系統(tǒng)資源進(jìn)行應(yīng)答，自然也不會引起交換機(jī)發(fā)生癱瘓現(xiàn)象，局域網(wǎng)上網(wǎng)將會始終安全穩(wěn)定。如果不希望交換機(jī)使用Chargen、Discard、Echo之類小的udp服務(wù)時，可以執(zhí)行“no service udpsmall-servers”字符串命令，來臨時關(guān)閉小udp服務(wù)的運(yùn)行狀態(tài)。同樣地，使用“no service tcp-small-servers”命令，可以讓交換機(jī)臨時關(guān)閉 Daytime、Chargen、Discard、Echo之類小的tcp服務(wù)。為了避免網(wǎng)絡(luò)中的惡意程序進(jìn)行路由欺騙攻擊，管理人員可以執(zhí)行“no ip source-route”命令，暫時關(guān)閉交換機(jī)中的IP源路由功能，以便強(qiáng)制其丟棄帶源路由選項(xiàng)標(biāo)記的數(shù)據(jù)包。

配置流量保護(hù)

在單位網(wǎng)絡(luò)環(huán)境中，因?yàn)榻K端用戶任意下載，引起網(wǎng)絡(luò)帶寬資源被過度消耗的現(xiàn)象經(jīng)常發(fā)生。為了避免這類現(xiàn)象的不斷發(fā)生，管理員可以通過配置交換機(jī)的流量控制功能，來對網(wǎng)絡(luò)流量的使用進(jìn)行保護(hù)，一旦看到當(dāng)前交換端口下面存在異常網(wǎng)絡(luò)流量現(xiàn)象，流量控制功能就會智能向當(dāng)前交換端口發(fā)送報警消息，通知遠(yuǎn)端上網(wǎng)端口暫時不要繼續(xù)向當(dāng)前交換端口發(fā)送數(shù)據(jù)信息，以防止網(wǎng)絡(luò)流量進(jìn)一步堵塞交換機(jī)現(xiàn)象。而對端上網(wǎng)端口要是接收到報警信息后，會臨時暫停向當(dāng)前交換端口發(fā)送數(shù)據(jù)，這么一來就能有效避免數(shù)據(jù)信息發(fā)生丟失現(xiàn)象了。

以H3C交換機(jī)為例，在將當(dāng)前交換端口的流量控制功能配置起來時，一定要先登錄交換機(jī)后臺系統(tǒng)，輸入“system-view”命令，進(jìn)入后臺系統(tǒng)全局視圖模式狀態(tài)（如圖2所示），接著通過“interface e0/2”之類命令，進(jìn)入當(dāng)前交換端口的視圖模式狀態(tài)，繼續(xù)輸入“flowcontrol”命令并回車，那么當(dāng)前端口的流量保護(hù)功能就被配置成功了。當(dāng)然，默認(rèn)狀態(tài)下，交換機(jī)下的所有網(wǎng)絡(luò)端口并沒有開啟流量控制功能，管理員必須依照實(shí)際情況來使用這種功能。如果日后某個交換端口不需要進(jìn)行流量保護(hù)時，只要進(jìn)入該交換端口視圖模式狀態(tài)，輸入“undo flow-control”字符串命令，再保存設(shè)置操作，關(guān)閉流量管理功能就OK了。

配置VTP協(xié)議保護(hù)

大家知道，VTP協(xié)議是思科交換機(jī)獨(dú)有的一種網(wǎng)絡(luò)協(xié)議，其中文名稱為虛擬局域網(wǎng)中繼協(xié)議，它的功能主要是向單位網(wǎng)絡(luò)中的所有交換機(jī)，自動廣播虛擬局域網(wǎng)配置數(shù)據(jù)，確保網(wǎng)絡(luò)運(yùn)行維護(hù)更加快捷方便。就該網(wǎng)絡(luò)協(xié)議來說，交換機(jī)能分成VTP客戶端、VTP服務(wù)器這兩大類，其中VTP客戶端主要用來接受來自服務(wù)端的各種聲明和通知，VTP服務(wù)器主要用來發(fā)送所有的虛擬局域網(wǎng)配置數(shù)據(jù)。當(dāng)管理人員每次調(diào)整VTP服務(wù)器的配置信息時，例如修改VLAN屬性信息，甚至直接刪除或添加VLAN時，VTP配置版本號就會自動加1，借助大小不一的配置版本號，VTP客戶端可以實(shí)現(xiàn)與VTP服務(wù)器配置信息的同步。利用這個特點(diǎn)，惡意用戶常常會偽造一臺配置版本號大的VTP服務(wù)器，連接到單位網(wǎng)絡(luò)中，這時網(wǎng)絡(luò)中其他的VTP客戶端在發(fā)現(xiàn)偽造VTP服務(wù)器的“身影”后，會智能用虛假配置數(shù)據(jù)直接覆蓋原先正確的配置數(shù)據(jù)，這樣單位網(wǎng)絡(luò)就會受到非法攻擊。

為了防止惡意用戶使用VTP協(xié)議攻擊網(wǎng)絡(luò)，在組網(wǎng)規(guī)模大的環(huán)境下，管理人員可以停用交換機(jī)的VTP協(xié)議，也可以啟用MD5驗(yàn)證方式，加密保護(hù)所有的VTP配置數(shù)據(jù)，確保其他VTP客戶端不同步VTP配置數(shù)據(jù)，要是配置數(shù)據(jù)中包含的加密信息不正確時，其他VTP客戶端自然不能與VTP服務(wù)器同步。要為網(wǎng)絡(luò)的VTP服務(wù)器配置加密保護(hù)時，不妨先切換到特定Vlan視圖模式，在該模式下逐一輸入“vtp domainxxxxxx”、“apply”、“exit”等命令即可，這里的“xxxxxx”就是VTP域的保護(hù)密碼。完成上述設(shè)置任務(wù)后，惡意用戶日后就不能進(jìn)行VTP協(xié)議攻擊，將所有非默認(rèn)的VLAN從VLAN數(shù)據(jù)庫中刪除掉了。

配置Root地位保護(hù)

正常情況下，普通生成樹根橋和備份交換機(jī)要同處相同域中，但對內(nèi)部生成樹來說，生成樹根橋和備份交換機(jī)往往會被管理人員放置在核心域內(nèi)。這時網(wǎng)絡(luò)要是遭遇到惡意攻擊，或者管理人員工作失誤，網(wǎng)絡(luò)中的有效根交換機(jī)就容易接受到更高優(yōu)先級的廣播配置消息，這樣有效根交換機(jī)Root地位將會自動喪失，從而引起整個網(wǎng)絡(luò)組網(wǎng)結(jié)構(gòu)發(fā)生錯誤變化。這時，本來應(yīng)該從主干網(wǎng)上傳輸?shù)木W(wǎng)絡(luò)流量，會被自動牽引到普通傳輸鏈路上，最終造成整個網(wǎng)絡(luò)傳輸通道堵塞現(xiàn)象。

為了防止單位網(wǎng)絡(luò)出現(xiàn)這種不穩(wěn)定變化，H3C Quidway S8500核心交換機(jī)允許組網(wǎng)用戶配置Root保護(hù)功能，來維持根交換機(jī)的地位。當(dāng)某個交換端口配置了Root保護(hù)功能后，日后對應(yīng)端口在所有實(shí)例上的端口角色，都會被智能選擇為當(dāng)前端口；倘若這種類型交換端口從單位網(wǎng)絡(luò)中接受到更高訪問級別的配置消息時，它的端口角色仍然是當(dāng)前端口，只是它的工作狀態(tài)會調(diào)整為偵聽狀態(tài)，不再支持?jǐn)?shù)據(jù)報文轉(zhuǎn)發(fā)功能。在保持一段時間后，如果這種類型交換端口一直沒有從單位局域網(wǎng)中，接受到更高訪問級別的配置消息時，它的工作狀態(tài)就會被自動恢復(fù)到缺省狀態(tài)。

在缺省狀態(tài)下，S8500核心交換機(jī)端口沒有配置Root保護(hù)功能。如果要為特定交換端口配置這項(xiàng)功能時，不妨先切換到交換機(jī)后臺系統(tǒng)，通過“systemview”命令，進(jìn)入系統(tǒng)視圖模式，再在該狀態(tài)下使用“interface xxx”命令進(jìn)入指定交換端口視圖（“xxx”為特定交換端口），在該視圖模式下輸入“stp rootprotection”字符串命令即可。日后不想使用Root保護(hù)功能配置時，只要簡單地輸入“undo stp root-protection”命令就行。

如果想提高操作效率，將多個交換端口配置成Root保護(hù)時，只要通過“stp interface interface-type interface-number[to interface-number]}&<1-10> root-protection”命令即可。