引言： 单位网管员在管理维护网络的时候，总需要接触到交换机设备，该设备是局域网中的核心设备，它的可靠性和安全性直接决定着整个网络的运行稳定性。所以有效地管理配置好交换机，是确保单位局域网运行安全和可靠的关键。

单位网管员在管理维护网络的时候，总需要接触到交换机设备，该设备是局域网中的核心设备，它的可靠性和安全性直接决定着整个网络的运行稳定性。所以有效地管理配置好交换机，是确保单位局域网运行安全和可靠的关键。然而，面对着风起云涌的黑客入侵和疯狂肆虐的病毒攻击，交换机自身的安全性正变得越来越脆弱。现在本文就从配置着手，来增强交换机的安全运行性能，从而让其发挥保护网络的作用。

配置密码保护

大家知道，管理员通过交换机管理网络时，常常会从Console连接端口登录该设备后台系统。默认状态下，交换机后台系统不会要求用户输入登录密码的，这显然是非常不安全的。为了保护交换机后台系统用户界面的登录安全，我们应该为Console连接配置登录验证密码。例如，要为思科交换机的Console端口配置密码保护时，可以在后台系统依次执行“line con 0”、“password xxx”、“login”等命令即可。这种方法只能设置明文密码，别人在后台系统执行“show run”命令，可以查看到“password”的具体内容。为了让密码保护更加安全，建议大家可以使用“service passwordencryption”命令，对明文密码内容执行加密操作，甚至可以使用“enable secret yyy”命令，启用强加密的特权密码。为了改善配置效率，不少网管员也会通过telnet命令对交换机进行远程配置。当然，要是启用了telnet登录功能后，一些恶意用户或许会趁机利用该功能，悄悄登录进入交换机后台系统，对局域网中的许多关键配置进行恶意修改，引起网络不能稳定工作或发生安全事故。为此，我们应该加强用户界面的登录验证配置，强制用户在telnet登录交换机时进行身份验证，具体操作命令包括“linevty 04”、“password xxx”、“login”等。

对于H3C系列交换机来说，它们支持password、scheme等加密认证方式。比方说，要强制管理员以telnet方式管理交换机必须进行登录认证时，比方先在交换机后台系统全局模式下，通过“user-interface vty0”命令切换到vty0用户界面视图状态，继续输入“authentication password”命令，开启远程登录认证功能。当成功启用了该功能后，还需要使用“set authentication password simple xxx”命令来指定登录密码，这里的“xxx”为具体的明文口令内容，比方说输入“set authentication password simple 123456”命令，就意味着将远程登录认证口令设置成“123456”。倘若强制telnet用户同时进行用户名和口令验证时，必须在用户界面视图模式状态下，执行“authenticationmode scheme”命令，来将远程用户名和口令认证功能启用起来，这样日后从vty0用户界面登录配置交换机时，系统就会强制用户输入具有合法权限的用户名和密码。例如，要强制远程telnet用户从vty0用户界面登录交换机，一定要使用“123”账号、“456”口令时，不妨在交换机后台系统全局模式状态下依次执行如下命令：

配置环路保护

图1 未配置回路监测

为了改善传输稳定性，不少单位网络都采用了冗余连接，对物理线路进行备份。然而，这种连接方式从物理连接角度来看，已经在单位网络中构成了物理环路，该环路在stp协议的支撑下，不会影响网络信号的正确传输；不过，在长时间工作过程中，单位网络会受到工作环境、人为操作、设备质量等因素影响，或许会发生网络环路故障，而从平时的实践工作来看，这种环路故障很容易出现在交换机调整的位置。要是物理环路真的构成网络回路，那么交换机端口很快会被大流量信号堵塞，单位网络的运行自然就会受到严重影响。为了保护交换机安全，改善网络传输稳定性，我们不妨配置启用交换机的环路保护功能，让其智能识别特定端口下出现的网络回路现象，同时自动停用出现网络回路的交换端口，并且及时上报相关日志内容，日后我们根据设备日志内容就能快速找到故障原因，让单位网络迅速恢复到正常状态。

以H3C系列交换机为例，在配置环路保护功能时，只要在交换机后台系统的全局视图模式下，输入“interface e0/26”之 类的命令，进入目标交换端口视图模式，使用“display loopback-detection”命令，先查看指定交换端口在当前有没有配置端口回路监测功能（如图1所示），而且该命令还能查出该端口下有没有回路现象存在。倘若看到网络回路监测功能还没有被开启时，不妨输入“loopbackdetection enable” 命令，来达到开启目的。日后要是想临时关闭这项功能时，可以再使用一次“undo loopback-detection enable”命令。

在缺省状态下，配置好的交换端口环路保护功能只会对当前端口下面的默认VLAN有效，要想对当前端口下的所有VLAN都有效时，必须要执行“loopbackdetection per-vlan enable”命令，让网络环路保护功能自动检查当前端口下的所有VLAN。此外，指定交换端口要是处于Access工作模式，那么网络环路保护功能即使扫描到了当前端口下的网络回路，也不会向交换机后台系统自动报告日志信息，只是简单地关闭当前交换端口的工作状态，避免网络回路影响到整个单位网络的正常运行。要是交换端口工作在Trunk、Hybrid模式，那么网络环路保护功能扫描到当前端口下存在网络回路时，立即会以日志形式向系统报警，但不会关闭当前端口的工作状态，倘若要关闭交换端口运行状态时，只要输入“loopback-detection control enable”命令，配置好网络回路监测受控功能即可。

配置服务保护

交换机的许多功能都是以服务形式存在，开启的服务越多，表示交换机可以支持的网络功能越多。但对特定用户来说，并不是交换机的功能越多越好，因为那些平时很少用到的网络功能，不但会消耗交换机后台系统的宝贵资源，而且会容易引起安全麻烦，从而影响整个单位网络的运行稳定性。因此，我们可以及时关闭不需要的服务，确保交换机只使用有限的几个网络功能。

图2 进入后台系统

例如，在Cisco交换机环境下，如果不希望用户通过网页浏览方式，远程查看交换机后台管理配置页面时，只要在后台系统配置状态下，执行字符串命令“no ip http server”即可。这时，恶意程序将无法不停地向局域网交换机发送HTTP请求，那么交换机就用不着不停地消耗系统资源进行应答，自然也不会引起交换机发生瘫痪现象，局域网上网将会始终安全稳定。如果不希望交换机使用Chargen、Discard、Echo之类小的udp服务时，可以执行“no service udpsmall-servers”字符串命令，来临时关闭小udp服务的运行状态。同样地，使用“no service tcp-small-servers”命令，可以让交换机临时关闭 Daytime、Chargen、Discard、Echo之类小的tcp服务。为了避免网络中的恶意程序进行路由欺骗攻击，管理人员可以执行“no ip source-route”命令，暂时关闭交换机中的IP源路由功能，以便强制其丢弃带源路由选项标记的数据包。

配置流量保护

在单位网络环境中，因为终端用户任意下载，引起网络带宽资源被过度消耗的现象经常发生。为了避免这类现象的不断发生，管理员可以通过配置交换机的流量控制功能，来对网络流量的使用进行保护，一旦看到当前交换端口下面存在异常网络流量现象，流量控制功能就会智能向当前交换端口发送报警消息，通知远端上网端口暂时不要继续向当前交换端口发送数据信息，以防止网络流量进一步堵塞交换机现象。而对端上网端口要是接收到报警信息后，会临时暂停向当前交换端口发送数据，这么一来就能有效避免数据信息发生丢失现象了。

以H3C交换机为例，在将当前交换端口的流量控制功能配置起来时，一定要先登录交换机后台系统，输入“system-view”命令，进入后台系统全局视图模式状态（如图2所示），接着通过“interface e0/2”之类命令，进入当前交换端口的视图模式状态，继续输入“flowcontrol”命令并回车，那么当前端口的流量保护功能就被配置成功了。当然，默认状态下，交换机下的所有网络端口并没有开启流量控制功能，管理员必须依照实际情况来使用这种功能。如果日后某个交换端口不需要进行流量保护时，只要进入该交换端口视图模式状态，输入“undo flow-control”字符串命令，再保存设置操作，关闭流量管理功能就OK了。

配置VTP协议保护

大家知道，VTP协议是思科交换机独有的一种网络协议，其中文名称为虚拟局域网中继协议，它的功能主要是向单位网络中的所有交换机，自动广播虚拟局域网配置数据，确保网络运行维护更加快捷方便。就该网络协议来说，交换机能分成VTP客户端、VTP服务器这两大类，其中VTP客户端主要用来接受来自服务端的各种声明和通知，VTP服务器主要用来发送所有的虚拟局域网配置数据。当管理人员每次调整VTP服务器的配置信息时，例如修改VLAN属性信息，甚至直接删除或添加VLAN时，VTP配置版本号就会自动加1，借助大小不一的配置版本号，VTP客户端可以实现与VTP服务器配置信息的同步。利用这个特点，恶意用户常常会伪造一台配置版本号大的VTP服务器，连接到单位网络中，这时网络中其他的VTP客户端在发现伪造VTP服务器的“身影”后，会智能用虚假配置数据直接覆盖原先正确的配置数据，这样单位网络就会受到非法攻击。

为了防止恶意用户使用VTP协议攻击网络，在组网规模大的环境下，管理人员可以停用交换机的VTP协议，也可以启用MD5验证方式，加密保护所有的VTP配置数据，确保其他VTP客户端不同步VTP配置数据，要是配置数据中包含的加密信息不正确时，其他VTP客户端自然不能与VTP服务器同步。要为网络的VTP服务器配置加密保护时，不妨先切换到特定Vlan视图模式，在该模式下逐一输入“vtp domainxxxxxx”、“apply”、“exit”等命令即可，这里的“xxxxxx”就是VTP域的保护密码。完成上述设置任务后，恶意用户日后就不能进行VTP协议攻击，将所有非默认的VLAN从VLAN数据库中删除掉了。

配置Root地位保护

正常情况下，普通生成树根桥和备份交换机要同处相同域中，但对内部生成树来说，生成树根桥和备份交换机往往会被管理人员放置在核心域内。这时网络要是遭遇到恶意攻击，或者管理人员工作失误，网络中的有效根交换机就容易接受到更高优先级的广播配置消息，这样有效根交换机Root地位将会自动丧失，从而引起整个网络组网结构发生错误变化。这时，本来应该从主干网上传输的网络流量，会被自动牵引到普通传输链路上，最终造成整个网络传输通道堵塞现象。

为了防止单位网络出现这种不稳定变化，H3C Quidway S8500核心交换机允许组网用户配置Root保护功能，来维持根交换机的地位。当某个交换端口配置了Root保护功能后，日后对应端口在所有实例上的端口角色，都会被智能选择为当前端口；倘若这种类型交换端口从单位网络中接受到更高访问级别的配置消息时，它的端口角色仍然是当前端口，只是它的工作状态会调整为侦听状态，不再支持数据报文转发功能。在保持一段时间后，如果这种类型交换端口一直没有从单位局域网中，接受到更高访问级别的配置消息时，它的工作状态就会被自动恢复到缺省状态。

在缺省状态下，S8500核心交换机端口没有配置Root保护功能。如果要为特定交换端口配置这项功能时，不妨先切换到交换机后台系统，通过“systemview”命令，进入系统视图模式，再在该状态下使用“interface xxx”命令进入指定交换端口视图（“xxx”为特定交换端口），在该视图模式下输入“stp rootprotection”字符串命令即可。日后不想使用Root保护功能配置时，只要简单地输入“undo stp root-protection”命令就行。

如果想提高操作效率，将多个交换端口配置成Root保护时，只要通过“stp interface interface-type interface-number[to interface-number]}&<1-10> root-protection”命令即可。