引言：面对着风起云涌的黑客入侵和疯狂肆虐的病毒攻击，交换机自身的安全性正变得越来越脆弱。现在本文就从配置着手，来增强交换机的安全运行性能，从而让其发挥保护网络的作用。

单位网管员在管理维护网络的时候，总需要接触到交换机设备，它的可靠性和安全性直接决定着整个网络的运行稳定性。所以有效地管理配置好交换机，是确保单位局域网运行安全和可靠的关键。

现在本文就从配置着手，来增强交换机的安全运行性能，从而让其发挥保护网络的作用。

配置密码保护

为了保护交换机后台系统用户界面的登录安全，我们应为Console连接配置登录验证密码。例如，要为思科交换机的Console端口配置密码保护时，可以在后台系统依次执行“line con 0”、“password xxx”、“login”等命令即可。这种方法只能设置明文密码，别人在后台系统执行“show run”命令，可以查看到“password”的具体内容。为让密码保护更加安全，大家可使用“service password-encryption”命令，对明文密码内容执行加密操作，甚至可以使用“enable secret yyy”命令，启用强加密的特权密码。

为改善配置效率，不少网管员也会通过telnet命令对交换机进行远程配置。但是启用telnet登录功能会让一些恶意用户有机可乘，引起网络不能稳定工作或发生安全事故。为此，我们应加强用户界面的登录验证配置，强制用户在telnet登录交换机时进行身份验证，具体操作命令包括“line vty 0 4”、“password xxx”、“login”等。

对于H3C系列交换机来说，它们支持password、scheme等加密认证方式。先在交换机后台系统全局模式下，通过“user-interface vty0”命令切换到vty0用户界面视图状态，继续输入“authentication password”命令，开启远程登录认证功能。

当成功启用了该功能后，还需要使 用“set authentication password simple xxx”命令来指定登录密码，这里的“xxx”为具体的明文口令内容，比方说输入“set authentication password simple 123456”命令，就意味着将远程登录认证口令设置成“123456”。

倘若强制telnet用户同时进行用户名和口令验证时，必须在用户界面视图模式状态下，执行“authentication-mode scheme”命令，来将远程用户名和口令认证功能启用起来，这样日后从vty0用户界面登录配置交换机时，系统就会强制用户输入具有合法权限的用户名和密码。

例如，要强制远程telnet用户从vty0用户界面登录交换机，一定要使用“123”账号、“456”口令时，不妨在交换机后台系统全局模式状态下依次执行如下命令：

配置环路保护

不少单位网络都采用了冗余连接，对物理线路进行备份。然而，这种连接方式从物理连接角度来看，已经在单位网络中构成了物理环路，该环路虽然在stp协议的支撑下，不会影响网络信号的正确传输，但在长时间工作过程中，单位网络会受到工作环境、人为操作、设备质量等因素影响，或许会发生网络环路故障。

从实践工作来看，这种环路故障很容易出现在交换机调整的位置。要是物理环路真的构成网络回路，那么交换机端口很快会被大流量信号堵塞，单位网络的运行自然就会受到严重影响。

图1 交换端口视图模式

为了保护交换机安全，改善网络传输稳定性，我们不妨配置启用交换机的环路保护功能，让其智能识别特定端口下出现的网络回路现象，同时自动停用出现网络回路的交换端口，并且及时上报相关日志内容，日后我们根据设备日志内容就能快速找到故障原因，让单位网络迅速恢复到正常状态。

以H3C系列交换机为例，在配置环路保护功能时，只要在交换机后台系统的全局视图模式下，输入“interface e0/26”之 类的命令，进入目标交换端口视图模式，使用“display loopback-detection”命令，就可查看指定交换端口在当前是否配置端口回路监测功能（如图1所示），而且该命令还能查出该端口下有没有回路现象存在。

倘若看到网络回路监测功能还没有被开启时，不妨输 入“loopback-detection enable”命令，来达到开启目的。日后要想临时关闭这项功能时，可以再使用一次“undo loopback-detection enable”命令。在缺省状态下，配置好的交换端口环路保护功能只会对当前端口下面的默认VLAN有效。

要想对当前端口下的所有VLAN都有效时，必须要执 行“loopback-detection per-vlan enable”命令，让网络环路保护功能自动检查当前端口下的所有VLAN。

此外，指定交换端口要是处于Access工作模式，那么网络环路保护功能即使扫描到了当前端口下的网络回路，也不会向交换机后台系统自动报告日志信息，只是简单地关闭当前交换端口的工作状态，避免网络回路影响到整个单位网络的正常运行。

如果交换端口工作在Trunk、Hybrid模式，则网络环路保护功能扫描到当前端口下存在网络回路的时候，即会以日志形式向系统报警，但不会关闭当前端口的工作状态。若要关闭交换端口运行状态时，只需要输 入“loopback-detection control enable”命令，配置好网络回路监测受控功能即可。