交换机安全由配置把关
2016-11-26
引言:面对着风起云涌的黑客入侵和疯狂肆虐的病毒攻击,交换机自身的安全性正变得越来越脆弱。现在本文就从配置着手,来增强交换机的安全运行性能,从而让其发挥保护网络的作用。
单位网管员在管理维护网络的时候,总需要接触到交换机设备,它的可靠性和安全性直接决定着整个网络的运行稳定性。所以有效地管理配置好交换机,是确保单位局域网运行安全和可靠的关键。
现在本文就从配置着手,来增强交换机的安全运行性能,从而让其发挥保护网络的作用。
配置密码保护
为了保护交换机后台系统用户界面的登录安全,我们应为Console连接配置登录验证密码。例如,要为思科交换机的Console端口配置密码保护时,可以在后台系统依次执行“line con 0”、“password xxx”、“login”等命令即可。这种方法只能设置明文密码,别人在后台系统执行“show run”命令,可以查看到“password”的具体内容。为让密码保护更加安全,大家可使用“service password-encryption”命令,对明文密码内容执行加密操作,甚至可以使用“enable secret yyy”命令,启用强加密的特权密码。
为改善配置效率,不少网管员也会通过telnet命令对交换机进行远程配置。但是启用telnet登录功能会让一些恶意用户有机可乘,引起网络不能稳定工作或发生安全事故。为此,我们应加强用户界面的登录验证配置,强制用户在telnet登录交换机时进行身份验证,具体操作命令包括“line vty 0 4”、“password xxx”、“login”等。
对于H3C系列交换机来说,它们支持password、scheme等加密认证方式。先在交换机后台系统全局模式下,通过“user-interface vty0”命令切换到vty0用户界面视图状态,继续输入“authentication password”命令,开启远程登录认证功能。
当成功启用了该功能后,还需要使 用“set authentication password simple xxx”命令来指定登录密码,这里的“xxx”为具体的明文口令内容,比方说输入“set authentication password simple 123456”命令,就意味着将远程登录认证口令设置成“123456”。
倘若强制telnet用户同时进行用户名和口令验证时,必须在用户界面视图模式状态下,执行“authentication-mode scheme”命令,来将远程用户名和口令认证功能启用起来,这样日后从vty0用户界面登录配置交换机时,系统就会强制用户输入具有合法权限的用户名和密码。
例如,要强制远程telnet用户从vty0用户界面登录交换机,一定要使用“123”账号、“456”口令时,不妨在交换机后台系统全局模式状态下依次执行如下命令:
配置环路保护
不少单位网络都采用了冗余连接,对物理线路进行备份。然而,这种连接方式从物理连接角度来看,已经在单位网络中构成了物理环路,该环路虽然在stp协议的支撑下,不会影响网络信号的正确传输,但在长时间工作过程中,单位网络会受到工作环境、人为操作、设备质量等因素影响,或许会发生网络环路故障。
从实践工作来看,这种环路故障很容易出现在交换机调整的位置。要是物理环路真的构成网络回路,那么交换机端口很快会被大流量信号堵塞,单位网络的运行自然就会受到严重影响。
图1 交换端口视图模式
为了保护交换机安全,改善网络传输稳定性,我们不妨配置启用交换机的环路保护功能,让其智能识别特定端口下出现的网络回路现象,同时自动停用出现网络回路的交换端口,并且及时上报相关日志内容,日后我们根据设备日志内容就能快速找到故障原因,让单位网络迅速恢复到正常状态。
以H3C系列交换机为例,在配置环路保护功能时,只要在交换机后台系统的全局视图模式下,输入“interface e0/26”之 类的命令,进入目标交换端口视图模式,使用“display loopback-detection”命令,就可查看指定交换端口在当前是否配置端口回路监测功能(如图1所示),而且该命令还能查出该端口下有没有回路现象存在。
倘若看到网络回路监测功能还没有被开启时,不妨输 入“loopback-detection enable”命令,来达到开启目的。日后要想临时关闭这项功能时,可以再使用一次“undo loopback-detection enable”命令。在缺省状态下,配置好的交换端口环路保护功能只会对当前端口下面的默认VLAN有效。
要想对当前端口下的所有VLAN都有效时,必须要执 行“loopback-detection per-vlan enable”命令,让网络环路保护功能自动检查当前端口下的所有VLAN。
此外,指定交换端口要是处于Access工作模式,那么网络环路保护功能即使扫描到了当前端口下的网络回路,也不会向交换机后台系统自动报告日志信息,只是简单地关闭当前交换端口的工作状态,避免网络回路影响到整个单位网络的正常运行。
如果交换端口工作在Trunk、Hybrid模式,则网络环路保护功能扫描到当前端口下存在网络回路的时候,即会以日志形式向系统报警,但不会关闭当前端口的工作状态。若要关闭交换端口运行状态时,只需要输 入“loopback-detection control enable”命令,配置好网络回路监测受控功能即可。