交換機安全由配置把關

引言：面對著風起云涌的黑客入侵和瘋狂肆虐的病毒攻擊，交換機自身的安全性正變得越來越脆弱。現在本文就從配置著手，來增強交換機的安全運行性能，從而讓其發揮保護網絡的作用。

單位網管員在管理維護網絡的時候，總需要接觸到交換機設備，它的可靠性和安全性直接決定著整個網絡的運行穩定性。所以有效地管理配置好交換機，是確保單位局域網運行安全和可靠的關鍵。

現在本文就從配置著手，來增強交換機的安全運行性能，從而讓其發揮保護網絡的作用。

配置密碼保護

為了保護交換機后臺系統用戶界面的登錄安全，我們應為Console連接配置登錄驗證密碼。例如，要為思科交換機的Console端口配置密碼保護時，可以在后臺系統依次執行“line con 0”、“password xxx”、“login”等命令即可。這種方法只能設置明文密碼，別人在后臺系統執行“show run”命令，可以查看到“password”的具體內容。為讓密碼保護更加安全，大家可使用“service password-encryption”命令，對明文密碼內容執行加密操作，甚至可以使用“enable secret yyy”命令，啟用強加密的特權密碼。

為改善配置效率，不少網管員也會通過telnet命令對交換機進行遠程配置。但是啟用telnet登錄功能會讓一些惡意用戶有機可乘，引起網絡不能穩定工作或發生安全事故。為此，我們應加強用戶界面的登錄驗證配置，強制用戶在telnet登錄交換機時進行身份驗證，具體操作命令包括“line vty 0 4”、“password xxx”、“login”等。

對于H3C系列交換機來說，它們支持password、scheme等加密認證方式。先在交換機后臺系統全局模式下，通過“user-interface vty0”命令切換到vty0用戶界面視圖狀態，繼續輸入“authentication password”命令，開啟遠程登錄認證功能。

當成功啟用了該功能后，還需要使 用“set authentication password simple xxx”命令來指定登錄密碼，這里的“xxx”為具體的明文口令內容，比方說輸入“set authentication password simple 123456”命令，就意味著將遠程登錄認證口令設置成“123456”。

倘若強制telnet用戶同時進行用戶名和口令驗證時，必須在用戶界面視圖模式狀態下，執行“authentication-mode scheme”命令，來將遠程用戶名和口令認證功能啟用起來，這樣日后從vty0用戶界面登錄配置交換機時，系統就會強制用戶輸入具有合法權限的用戶名和密碼。

例如，要強制遠程telnet用戶從vty0用戶界面登錄交換機，一定要使用“123”賬號、“456”口令時，不妨在交換機后臺系統全局模式狀態下依次執行如下命令：

配置環路保護

不少單位網絡都采用了冗余連接，對物理線路進行備份。然而，這種連接方式從物理連接角度來看，已經在單位網絡中構成了物理環路，該環路雖然在stp協議的支撐下，不會影響網絡信號的正確傳輸，但在長時間工作過程中，單位網絡會受到工作環境、人為操作、設備質量等因素影響，或許會發生網絡環路故障。

從實踐工作來看，這種環路故障很容易出現在交換機調整的位置。要是物理環路真的構成網絡回路，那么交換機端口很快會被大流量信號堵塞，單位網絡的運行自然就會受到嚴重影響。

圖1 交換端口視圖模式

為了保護交換機安全，改善網絡傳輸穩定性，我們不妨配置啟用交換機的環路保護功能，讓其智能識別特定端口下出現的網絡回路現象，同時自動停用出現網絡回路的交換端口，并且及時上報相關日志內容，日后我們根據設備日志內容就能快速找到故障原因，讓單位網絡迅速恢復到正常狀態。

以H3C系列交換機為例，在配置環路保護功能時，只要在交換機后臺系統的全局視圖模式下，輸入“interface e0/26”之 類的命令，進入目標交換端口視圖模式，使用“display loopback-detection”命令，就可查看指定交換端口在當前是否配置端口回路監測功能（如圖1所示），而且該命令還能查出該端口下有沒有回路現象存在。

倘若看到網絡回路監測功能還沒有被開啟時，不妨輸 入“loopback-detection enable”命令，來達到開啟目的。日后要想臨時關閉這項功能時，可以再使用一次“undo loopback-detection enable”命令。在缺省狀態下，配置好的交換端口環路保護功能只會對當前端口下面的默認VLAN有效。

要想對當前端口下的所有VLAN都有效時，必須要執 行“loopback-detection per-vlan enable”命令，讓網絡環路保護功能自動檢查當前端口下的所有VLAN。

此外，指定交換端口要是處于Access工作模式，那么網絡環路保護功能即使掃描到了當前端口下的網絡回路，也不會向交換機后臺系統自動報告日志信息，只是簡單地關閉當前交換端口的工作狀態，避免網絡回路影響到整個單位網絡的正常運行。

如果交換端口工作在Trunk、Hybrid模式，則網絡環路保護功能掃描到當前端口下存在網絡回路的時候，即會以日志形式向系統報警，但不會關閉當前端口的工作狀態。若要關閉交換端口運行狀態時，只需要輸 入“loopback-detection control enable”命令，配置好網絡回路監測受控功能即可。