APP下载

交换机安全由配置把关

2016-11-26

网络安全和信息化 2016年11期
关键词:用户界面环路后台

引言:面对着风起云涌的黑客入侵和疯狂肆虐的病毒攻击,交换机自身的安全性正变得越来越脆弱。现在本文就从配置着手,来增强交换机的安全运行性能,从而让其发挥保护网络的作用。

单位网管员在管理维护网络的时候,总需要接触到交换机设备,它的可靠性和安全性直接决定着整个网络的运行稳定性。所以有效地管理配置好交换机,是确保单位局域网运行安全和可靠的关键。

现在本文就从配置着手,来增强交换机的安全运行性能,从而让其发挥保护网络的作用。

配置密码保护

为了保护交换机后台系统用户界面的登录安全,我们应为Console连接配置登录验证密码。例如,要为思科交换机的Console端口配置密码保护时,可以在后台系统依次执行“line con 0”、“password xxx”、“login”等命令即可。这种方法只能设置明文密码,别人在后台系统执行“show run”命令,可以查看到“password”的具体内容。为让密码保护更加安全,大家可使用“service password-encryption”命令,对明文密码内容执行加密操作,甚至可以使用“enable secret yyy”命令,启用强加密的特权密码。

为改善配置效率,不少网管员也会通过telnet命令对交换机进行远程配置。但是启用telnet登录功能会让一些恶意用户有机可乘,引起网络不能稳定工作或发生安全事故。为此,我们应加强用户界面的登录验证配置,强制用户在telnet登录交换机时进行身份验证,具体操作命令包括“line vty 0 4”、“password xxx”、“login”等。

对于H3C系列交换机来说,它们支持password、scheme等加密认证方式。先在交换机后台系统全局模式下,通过“user-interface vty0”命令切换到vty0用户界面视图状态,继续输入“authentication password”命令,开启远程登录认证功能。

当成功启用了该功能后,还需要使 用“set authentication password simple xxx”命令来指定登录密码,这里的“xxx”为具体的明文口令内容,比方说输入“set authentication password simple 123456”命令,就意味着将远程登录认证口令设置成“123456”。

倘若强制telnet用户同时进行用户名和口令验证时,必须在用户界面视图模式状态下,执行“authentication-mode scheme”命令,来将远程用户名和口令认证功能启用起来,这样日后从vty0用户界面登录配置交换机时,系统就会强制用户输入具有合法权限的用户名和密码。

例如,要强制远程telnet用户从vty0用户界面登录交换机,一定要使用“123”账号、“456”口令时,不妨在交换机后台系统全局模式状态下依次执行如下命令:

配置环路保护

不少单位网络都采用了冗余连接,对物理线路进行备份。然而,这种连接方式从物理连接角度来看,已经在单位网络中构成了物理环路,该环路虽然在stp协议的支撑下,不会影响网络信号的正确传输,但在长时间工作过程中,单位网络会受到工作环境、人为操作、设备质量等因素影响,或许会发生网络环路故障。

从实践工作来看,这种环路故障很容易出现在交换机调整的位置。要是物理环路真的构成网络回路,那么交换机端口很快会被大流量信号堵塞,单位网络的运行自然就会受到严重影响。

图1 交换端口视图模式

为了保护交换机安全,改善网络传输稳定性,我们不妨配置启用交换机的环路保护功能,让其智能识别特定端口下出现的网络回路现象,同时自动停用出现网络回路的交换端口,并且及时上报相关日志内容,日后我们根据设备日志内容就能快速找到故障原因,让单位网络迅速恢复到正常状态。

以H3C系列交换机为例,在配置环路保护功能时,只要在交换机后台系统的全局视图模式下,输入“interface e0/26”之 类的命令,进入目标交换端口视图模式,使用“display loopback-detection”命令,就可查看指定交换端口在当前是否配置端口回路监测功能(如图1所示),而且该命令还能查出该端口下有没有回路现象存在。

倘若看到网络回路监测功能还没有被开启时,不妨输 入“loopback-detection enable”命令,来达到开启目的。日后要想临时关闭这项功能时,可以再使用一次“undo loopback-detection enable”命令。在缺省状态下,配置好的交换端口环路保护功能只会对当前端口下面的默认VLAN有效。

要想对当前端口下的所有VLAN都有效时,必须要执 行“loopback-detection per-vlan enable”命令,让网络环路保护功能自动检查当前端口下的所有VLAN。

此外,指定交换端口要是处于Access工作模式,那么网络环路保护功能即使扫描到了当前端口下的网络回路,也不会向交换机后台系统自动报告日志信息,只是简单地关闭当前交换端口的工作状态,避免网络回路影响到整个单位网络的正常运行。

如果交换端口工作在Trunk、Hybrid模式,则网络环路保护功能扫描到当前端口下存在网络回路的时候,即会以日志形式向系统报警,但不会关闭当前端口的工作状态。若要关闭交换端口运行状态时,只需要输 入“loopback-detection control enable”命令,配置好网络回路监测受控功能即可。

猜你喜欢

用户界面环路后台
基于CiteSpace的国外用户界面体验图谱量化分析
物联网用户界面如何工作
Wu Fenghua:Yueju Opera Artist
后台暗恋
UI用户界面色彩设计研究
选取环路切换策略的高动态载波跟踪算法研究*
几种环路稳定性仿真方法介绍
后台朋友
基于B/S的跨平台用户界面可配置算法研究
后台的风景