交換機(jī)安全由配置把關(guān)

引言：面對著風(fēng)起云涌的黑客入侵和瘋狂肆虐的病毒攻擊，交換機(jī)自身的安全性正變得越來越脆弱?，F(xiàn)在本文就從配置著手，來增強(qiáng)交換機(jī)的安全運(yùn)行性能，從而讓其發(fā)揮保護(hù)網(wǎng)絡(luò)的作用。

單位網(wǎng)管員在管理維護(hù)網(wǎng)絡(luò)的時(shí)候，總需要接觸到交換機(jī)設(shè)備，它的可靠性和安全性直接決定著整個(gè)網(wǎng)絡(luò)的運(yùn)行穩(wěn)定性。所以有效地管理配置好交換機(jī)，是確保單位局域網(wǎng)運(yùn)行安全和可靠的關(guān)鍵。

現(xiàn)在本文就從配置著手，來增強(qiáng)交換機(jī)的安全運(yùn)行性能，從而讓其發(fā)揮保護(hù)網(wǎng)絡(luò)的作用。

配置密碼保護(hù)

為了保護(hù)交換機(jī)后臺系統(tǒng)用戶界面的登錄安全，我們應(yīng)為Console連接配置登錄驗(yàn)證密碼。例如，要為思科交換機(jī)的Console端口配置密碼保護(hù)時(shí)，可以在后臺系統(tǒng)依次執(zhí)行“l(fā)ine con 0”、“password xxx”、“l(fā)ogin”等命令即可。這種方法只能設(shè)置明文密碼，別人在后臺系統(tǒng)執(zhí)行“show run”命令，可以查看到“password”的具體內(nèi)容。為讓密碼保護(hù)更加安全，大家可使用“service password-encryption”命令，對明文密碼內(nèi)容執(zhí)行加密操作，甚至可以使用“enable secret yyy”命令，啟用強(qiáng)加密的特權(quán)密碼。

為改善配置效率，不少網(wǎng)管員也會通過telnet命令對交換機(jī)進(jìn)行遠(yuǎn)程配置。但是啟用telnet登錄功能會讓一些惡意用戶有機(jī)可乘，引起網(wǎng)絡(luò)不能穩(wěn)定工作或發(fā)生安全事故。為此，我們應(yīng)加強(qiáng)用戶界面的登錄驗(yàn)證配置，強(qiáng)制用戶在telnet登錄交換機(jī)時(shí)進(jìn)行身份驗(yàn)證，具體操作命令包括“l(fā)ine vty 0 4”、“password xxx”、“l(fā)ogin”等。

對于H3C系列交換機(jī)來說，它們支持password、scheme等加密認(rèn)證方式。先在交換機(jī)后臺系統(tǒng)全局模式下，通過“user-interface vty0”命令切換到vty0用戶界面視圖狀態(tài)，繼續(xù)輸入“authentication password”命令，開啟遠(yuǎn)程登錄認(rèn)證功能。

當(dāng)成功啟用了該功能后，還需要使 用“set authentication password simple xxx”命令來指定登錄密碼，這里的“xxx”為具體的明文口令內(nèi)容，比方說輸入“set authentication password simple 123456”命令，就意味著將遠(yuǎn)程登錄認(rèn)證口令設(shè)置成“123456”。

倘若強(qiáng)制telnet用戶同時(shí)進(jìn)行用戶名和口令驗(yàn)證時(shí)，必須在用戶界面視圖模式狀態(tài)下，執(zhí)行“authentication-mode scheme”命令，來將遠(yuǎn)程用戶名和口令認(rèn)證功能啟用起來，這樣日后從vty0用戶界面登錄配置交換機(jī)時(shí)，系統(tǒng)就會強(qiáng)制用戶輸入具有合法權(quán)限的用戶名和密碼。

例如，要強(qiáng)制遠(yuǎn)程telnet用戶從vty0用戶界面登錄交換機(jī)，一定要使用“123”賬號、“456”口令時(shí)，不妨在交換機(jī)后臺系統(tǒng)全局模式狀態(tài)下依次執(zhí)行如下命令：

配置環(huán)路保護(hù)

不少單位網(wǎng)絡(luò)都采用了冗余連接，對物理線路進(jìn)行備份。然而，這種連接方式從物理連接角度來看，已經(jīng)在單位網(wǎng)絡(luò)中構(gòu)成了物理環(huán)路，該環(huán)路雖然在stp協(xié)議的支撐下，不會影響網(wǎng)絡(luò)信號的正確傳輸，但在長時(shí)間工作過程中，單位網(wǎng)絡(luò)會受到工作環(huán)境、人為操作、設(shè)備質(zhì)量等因素影響，或許會發(fā)生網(wǎng)絡(luò)環(huán)路故障。

從實(shí)踐工作來看，這種環(huán)路故障很容易出現(xiàn)在交換機(jī)調(diào)整的位置。要是物理環(huán)路真的構(gòu)成網(wǎng)絡(luò)回路，那么交換機(jī)端口很快會被大流量信號堵塞，單位網(wǎng)絡(luò)的運(yùn)行自然就會受到嚴(yán)重影響。

圖1 交換端口視圖模式

為了保護(hù)交換機(jī)安全，改善網(wǎng)絡(luò)傳輸穩(wěn)定性，我們不妨配置啟用交換機(jī)的環(huán)路保護(hù)功能，讓其智能識別特定端口下出現(xiàn)的網(wǎng)絡(luò)回路現(xiàn)象，同時(shí)自動停用出現(xiàn)網(wǎng)絡(luò)回路的交換端口，并且及時(shí)上報(bào)相關(guān)日志內(nèi)容，日后我們根據(jù)設(shè)備日志內(nèi)容就能快速找到故障原因，讓單位網(wǎng)絡(luò)迅速恢復(fù)到正常狀態(tài)。

以H3C系列交換機(jī)為例，在配置環(huán)路保護(hù)功能時(shí)，只要在交換機(jī)后臺系統(tǒng)的全局視圖模式下，輸入“interface e0/26”之 類的命令，進(jìn)入目標(biāo)交換端口視圖模式，使用“display loopback-detection”命令，就可查看指定交換端口在當(dāng)前是否配置端口回路監(jiān)測功能（如圖1所示），而且該命令還能查出該端口下有沒有回路現(xiàn)象存在。

倘若看到網(wǎng)絡(luò)回路監(jiān)測功能還沒有被開啟時(shí)，不妨輸 入“l(fā)oopback-detection enable”命令，來達(dá)到開啟目的。日后要想臨時(shí)關(guān)閉這項(xiàng)功能時(shí)，可以再使用一次“undo loopback-detection enable”命令。在缺省狀態(tài)下，配置好的交換端口環(huán)路保護(hù)功能只會對當(dāng)前端口下面的默認(rèn)VLAN有效。

要想對當(dāng)前端口下的所有VLAN都有效時(shí)，必須要執(zhí) 行“l(fā)oopback-detection per-vlan enable”命令，讓網(wǎng)絡(luò)環(huán)路保護(hù)功能自動檢查當(dāng)前端口下的所有VLAN。

此外，指定交換端口要是處于Access工作模式，那么網(wǎng)絡(luò)環(huán)路保護(hù)功能即使掃描到了當(dāng)前端口下的網(wǎng)絡(luò)回路，也不會向交換機(jī)后臺系統(tǒng)自動報(bào)告日志信息，只是簡單地關(guān)閉當(dāng)前交換端口的工作狀態(tài)，避免網(wǎng)絡(luò)回路影響到整個(gè)單位網(wǎng)絡(luò)的正常運(yùn)行。

如果交換端口工作在Trunk、Hybrid模式，則網(wǎng)絡(luò)環(huán)路保護(hù)功能掃描到當(dāng)前端口下存在網(wǎng)絡(luò)回路的時(shí)候，即會以日志形式向系統(tǒng)報(bào)警，但不會關(guān)閉當(dāng)前端口的工作狀態(tài)。若要關(guān)閉交換端口運(yùn)行狀態(tài)時(shí)，只需要輸 入“l(fā)oopback-detection control enable”命令，配置好網(wǎng)絡(luò)回路監(jiān)測受控功能即可。