深入配置 杜绝交换机免受恶

　　【简介】

　　与由器不同，交换机的安全主要来自局域网内部。出于、好奇，甚至是恶意，某些局域网用户会对交换机进行。不管他们的动机是什么，这都是管理员们不愿看到的。为此，除了在、制度上进行规范外，管理员们要从技术上做好部署，让者无功而返。本文以Cisco交换机的署为例，和大家分享自己的经验。

　　与由器不同，交换机的安全主要来自局域网内部。出于、好奇，甚至是恶意，某些局域网用户会对交换机进行。不管他们的动机是什么，这都是管理员们不愿看到的。为此，除了在、制度上进行规范外，管理员们要从技术上做好部署，让者无功而返。本文以Cisco交换机的署为例，和大家分享自己的经验。

　　1、细节设置，确保交换机接入安全

　　(1).配置加密密码

　　(2).禁用不必要或不安全的服务

　　在交换机上尤其是三层交换机上，不同的厂商默认了不同的服务、特性以及协议。为提高安全，应只必须的部分，多余的任何东西都可能成为安全漏洞。可结合实际需求，打开某些必要的服务或是关闭一些不必要的服务。下面这些服务通常我们可以直接将其禁用。

　　禁用IP源由，防止由

　　禁用小的UDP服务

　　禁用小的TCP服务

　　(3).控制台和虚拟终端的署

　　在控制台上使用与虚拟终端(Vty)线上配置认证，另外，还需要对Vty线使用简

　　单的访问控制列表。

　　Telnet是管理员们连接至交换机的主要通道，但是在Telnet会话中输入的每个字节都将会被发送，这可以被类似Sniffer这样的软件嗅探获取用户名、密码等信息。因此，使用安全性能更高的SSH密无疑比使用Telnet更加安全。

　　(5).禁用所有未用的端口

　　关于这一点，笔者见过一个案例：某单位有某员工“不小心”将交换机两个端口用网线直接连接，(典型的用户行为)，于是整个交换机的配置数据被清除了。在此，笔者强烈广大同仁一定要将未使用的端口ShutDown掉。并且，此方法也能在一定程度上防范恶意用户连接此端口并协商中继模式。

　　生成树协议，主要是防范其他分公司在新加入一台交换机时，D-LINK 无线与宽带由器快速设置说明。因各单位网络管理员不一定清楚完整的网络拓扑，配置错误使得新交换机成为根网桥，带来意外的BPDU。因此，需要核心管理员启用根防护与BPDU防护。

　　默认情况下交换机端口禁用根防护，要启用它需要使用以下命令：

　　默认情况下，交换机端口也禁用BPDU防护。启用它需使用下列命令：

　　如果要在所有端口上启用BPDU防护，可使用下面的命令：

　　・贡山泥石流确认6人死亡86人

　　・美国国际东大学-又一野鸡大学

　　http 192.168.1.1・吉祥物“清小华”递送考取心愿

　　・嘉兴巨响震动地面各种猜测均排除

　　・成都城区停水是两次

　　・法国又发现一例“超级细菌”病例

　　・大一新生如何开始你的大学生活

　　・北大最教师：戴菲菲(组图)

　　・沈志云否认研制真空磁悬浮高速列车

　　・调查：超九成80后无法赡养父母

　　・英妇女身带磁力能吸金属点亮电灯

　　・河南招办处罚责任人考生将被录取

　　・Ps打造MM个性文字效果

　　・Ps打造淡雅中性色图片

　　・用Ps打造喷溅的玫瑰花效果

　　・Ps调出照片质感色

　　・Ps照片转粉色手绘效果

　　・Ps合成在梦幻山谷中的飞龙

　　・Ps调出个性颓废中性色

　　・用Ps合成装在蛋壳中的小鸡

　　・李刚之子李启铭车祸案一审从轻判罚

　　・寒假补课12岁女生闭门父母

　　・姚晨离婚与凌潇潇联手发声明原文

　　・广东卫视原主持人李泳终被组图

　　・美国黄石即将喷发的超级火山新动向

　　・老贝‘雏妓’后续多名妙龄女被包养

　　・360杀毒免费杀毒软件下载

　　・可牛免费杀毒软件下载最新正式版

　　・微软免费杀毒软件中文版MSE32位版

　　・微软免费杀毒软件中文版MSE64位版

　　・熊猫简体中文版免费云杀毒软件下载

　　・Avast!免费杀毒软件中文版本下载