交換機(jī) 安全防范技術(shù)

1、交換機(jī) 安全防范技術(shù) 在網(wǎng)絡(luò)實(shí)際環(huán)境中,隨著計(jì)算機(jī)性能的不斷提升,針對(duì)網(wǎng)絡(luò)中的交換機(jī)、路由器或其它計(jì)算機(jī)等設(shè)備的攻擊趨勢(shì)越來(lái)越嚴(yán)重,影響越來(lái)越猛烈。交換機(jī)作為局域網(wǎng)信息交換的主要設(shè)備,特殊是核心、匯聚交換機(jī)承載著極高的數(shù)據(jù)流量,在突發(fā)異常數(shù)據(jù)或攻擊時(shí),極易造成負(fù)載過(guò)重或宕機(jī)現(xiàn)象。為了盡可能抑制攻擊帶來(lái)的影響,減輕交換機(jī)的負(fù)載,使局域網(wǎng)穩(wěn)定運(yùn)行,交換機(jī)廠商在交換機(jī)上應(yīng)用了一些安全防范技術(shù),網(wǎng)絡(luò)管理人員應(yīng)當(dāng)依據(jù)不同的設(shè)備型號(hào),有效地啟用和配置這些技術(shù),凈化局域網(wǎng)環(huán)境。本文以華為3com公司的quidway系列交換機(jī)為例,分兩期為您介紹常用的安全防范技術(shù)和配置方法。以下您將學(xué)到廣播風(fēng)暴掌握技術(shù)、ma

2、c地址掌握技術(shù)、dhcp掌握技術(shù)及acl技術(shù)。 廣播風(fēng)暴掌握技術(shù) 網(wǎng)卡或其它網(wǎng)絡(luò)接口損壞、環(huán)路、人為干擾破壞、黑客工具、病毒傳播,都可能引起廣播風(fēng)暴,交換機(jī)會(huì)把大量的廣播幀轉(zhuǎn)發(fā)到每個(gè)端口上,這會(huì)極大地消耗鏈路帶寬和硬件資源。可以通過(guò)設(shè)置以太網(wǎng)端口或vlan的廣播風(fēng)暴抑制比,從而有效地抑制廣播風(fēng)暴,避免網(wǎng)絡(luò)擁塞。 1.廣播風(fēng)暴抑制比 可以使用以下命令限制端口上允許通過(guò)的廣播流量的大小,當(dāng)廣播流量超過(guò)用戶設(shè)置的值后,系統(tǒng)將對(duì)廣播流量作丟棄處理,使廣播所占的流量比例降低到合理的范圍,以端口最大廣播流量的線速度百分比作為參數(shù),百分比越小,表示允許通過(guò)的廣播流量越小。當(dāng)百分比為100時(shí),表示不對(duì)該端口進(jìn)

3、行廣播風(fēng)暴抑制。缺省狀況下,允許通過(guò)的廣播流量為100%,即不對(duì)廣播流量進(jìn)行抑制。在以太網(wǎng)端口視圖下進(jìn)行下列配置: broadcast-suppressionratio 2.為vlan指定廣播風(fēng)暴抑制比 同樣,可以使用下面的命令設(shè)置vlan允許通過(guò)的廣播流量的大小。缺省狀況下,系統(tǒng)全部vlan不做廣播風(fēng)暴抑制,即max-ratio值為100%。 mac地址掌握技術(shù) 以太網(wǎng)交換機(jī)可以利用mac地址學(xué)習(xí)功能獲取與某端口相連的網(wǎng)段上各網(wǎng)絡(luò)設(shè)備的mac地址。對(duì)于發(fā)往這些mac地址的報(bào)文,以太網(wǎng)交換機(jī)可以直接使用硬件轉(zhuǎn)發(fā)。假如mac地址表過(guò)于浩大,可能導(dǎo)致以太網(wǎng)交換機(jī)的轉(zhuǎn)發(fā)性能的下降。mac攻擊利用工具

4、產(chǎn)生哄騙的mac地址,快速填滿交換機(jī)的mac表,mac表被填滿后,交換機(jī)會(huì)以廣播方式處理通過(guò)交換機(jī)的報(bào)文,流量以洪泛方式發(fā)送到全部接口,這時(shí)攻擊者可以利用各種嗅探工具獲取網(wǎng)絡(luò)信息。trunk接口上的流量也會(huì)發(fā)給全部接口和鄰接交換機(jī),會(huì)造成交換機(jī)負(fù)載過(guò)大,網(wǎng)絡(luò)緩慢和丟包,甚至癱瘓?？梢酝ㄟ^(guò)設(shè)置端口上最大可以通過(guò)的mac地址數(shù)量、mac地址老化時(shí)間,來(lái)抑制mac攻擊。 1.設(shè)置最多可學(xué)習(xí)到的mac地址數(shù) 通過(guò)設(shè)置以太網(wǎng)端口最多學(xué)習(xí)到的mac地址數(shù),用戶可以掌握以太網(wǎng)交換機(jī)維護(hù)的mac地址表的表項(xiàng)數(shù)量。假如用戶設(shè)置的值為count,則該端口學(xué)習(xí)到的mac地址條數(shù)達(dá)到count時(shí),該端口將不再對(duì)mac

5、地址進(jìn)行學(xué)習(xí)。缺省狀況下,交換機(jī)對(duì)于端口最多可以學(xué)習(xí)到的mac地址數(shù)目沒(méi)有限制。 在以太網(wǎng)端口視圖下進(jìn)行下列配置: mac-addressmax-mac-countcount 2.設(shè)置系統(tǒng)mac地址老化時(shí)間 設(shè)置合適的老化時(shí)間可以有效實(shí)現(xiàn)mac地址老化的功能。用戶設(shè)置的老化時(shí)間過(guò)長(zhǎng)或者過(guò)短,都可能導(dǎo)致以太網(wǎng)交換機(jī)廣播大量找不到目的mac地址的數(shù)據(jù)報(bào)文,影響交換機(jī)的運(yùn)行性能。假如用戶設(shè)置的老化時(shí)間過(guò)長(zhǎng),以太網(wǎng)交換機(jī)可能會(huì)保存很多過(guò)時(shí)的mac地址表項(xiàng),從而耗盡mac地址表資源,導(dǎo)致交換機(jī)無(wú)法依據(jù)網(wǎng)絡(luò)的變化更新mac地址表。假如用戶設(shè)置的老化時(shí)間太短,以太網(wǎng)交換機(jī)可能會(huì)刪除有效的mac地址表項(xiàng)。一般

6、狀況下,推薦使用老化時(shí)間age的缺省值300秒。 在系統(tǒng)視圖下進(jìn)行下列配置:mac-addresstimeragingage|no-aging 使用參數(shù)no-aging時(shí)表示不對(duì)mac地址表項(xiàng)進(jìn)行老化。 3.設(shè)置mac地址表的老化時(shí)間 這里的鎖定端口就是指設(shè)置了最大學(xué)習(xí)mac地址數(shù)的以太網(wǎng)端口。在以太網(wǎng)端口上使用命令mac-addressmax-mac-count設(shè)置端口能夠?qū)W習(xí)的最大地址數(shù)以后,學(xué)習(xí)到的mac地址表項(xiàng)將和相應(yīng)的端口綁定起來(lái)。假如某個(gè)mac地址對(duì)應(yīng)的主機(jī)長(zhǎng)時(shí)間不上網(wǎng)或已移走,它仍舊占用端口上的一個(gè)mac地址表項(xiàng),從而造成mac地址在這5個(gè)mac地址以外的主機(jī)將不能上網(wǎng)。此時(shí)可以

7、通過(guò)設(shè)置鎖定端口對(duì)應(yīng)的mac地址表的老化時(shí)間,使長(zhǎng)時(shí)間不上網(wǎng)的主機(jī)對(duì)應(yīng)的mac地址表項(xiàng)老化,從而使其他主機(jī)可以上網(wǎng)。缺省狀況下,鎖定端口對(duì)應(yīng)的mac地址表的老化時(shí)間為1小時(shí)。 在系統(tǒng)視圖下進(jìn)行下列配置: lock-portmac-agingage-time|no-age dhcp掌握技術(shù) dhcpserver可以自動(dòng)為用戶設(shè)置ip地址、掩碼、網(wǎng)關(guān)、dns、wins等網(wǎng)絡(luò)參數(shù),解決客戶機(jī)位置變化(如便攜機(jī)或無(wú)線網(wǎng)絡(luò))和客戶機(jī)數(shù)量超過(guò)可安排的ip地址的狀況,簡(jiǎn)化用戶設(shè)置,提高管理效率。但在dhcp管理使用上,存在著dhcpserver冒充、dhcpserver的dos攻擊、用戶隨便指定ip地址造成

8、網(wǎng)絡(luò)地址沖突等問(wèn)題。 1.三層交換機(jī)的dhcprelay技術(shù) 早期的dhcp協(xié)議只適用于dhcpclient和server處于同一個(gè)子網(wǎng)內(nèi)的狀況,不可以跨網(wǎng)段工作。因此,為實(shí)現(xiàn)動(dòng)態(tài)主機(jī)配置,需要為每一個(gè)子網(wǎng)設(shè)置一個(gè)dhcpserver,這明顯是不經(jīng)濟(jì)的。dhcprelay的引入解決了這一難題:局域網(wǎng)內(nèi)的dhcpclient可以通過(guò)dhcprelay與其他子網(wǎng)的dhcpserver通信,最終取得合法的ip地址。這樣,多個(gè)網(wǎng)絡(luò)上的dhcpclient可以使用同一個(gè)dhcpserver,既節(jié)約了成本,又便于進(jìn)行集中管理。dhcprelay配置包括: (1)配置ip地址 為了提高牢靠性,可以在一個(gè)網(wǎng)段

9、設(shè)置主、備dhcpserver。主、備dhcpserver構(gòu)成了一個(gè)dhcpserver組?？梢酝ㄟ^(guò)下面的命令指定主、備dhcpserver的ip地址。 在系統(tǒng)視圖下進(jìn)行下列配置: dhcp-servergroupnoipipaddress1 (2)配置vlan接口對(duì)應(yīng)的組 在vlan接口視圖下進(jìn)行下列配置: dhcp-servergroupno (3)使能/禁止vlan接口上的dhcp安全特性 使能vlan接口上的dhcp安全特性將啟動(dòng)vlan接口下用戶地址合法性的檢查,這樣可以杜絕用戶私自配置ip地址擾亂網(wǎng)絡(luò)秩序,同dhcpserver協(xié)作,快速、精確定位病毒或干擾源。 在vlan接口視圖

10、下進(jìn)行下列配置: address-checkenable (4)配置用戶地址表項(xiàng) 為了使配置了dhcprelay的vlan內(nèi)的合法固定ip地址用戶能夠通過(guò)dhcp安全特性的地址合法性檢查,需要使用此命令為固定ip地址用戶添加一條ip地址和mac地址對(duì)應(yīng)關(guān)系的靜態(tài)地址表項(xiàng)。假如有另外一個(gè)非法用戶配置了一個(gè)靜態(tài)ip地址,該靜態(tài)ip地址與合法用戶的固定ip地址發(fā)生沖突,執(zhí)行dhcprelay功能的以太網(wǎng)交換機(jī),可以識(shí)別出非法用戶,并拒絕非法用戶的ip與mac地址的綁定懇求。 在系統(tǒng)視圖下進(jìn)行下列配置: dhcp-securitystaticip_addressmac_address 2.其它地址管理

11、技術(shù) 在二層交換機(jī)上,為了使用戶能通過(guò)合法的dhcp服務(wù)器獲取ip地址,dhcp-snooping安全機(jī)制允許將端口設(shè)置為信任端口與不信任端口。其中信任端口連接dhcp服務(wù)器或其他交換機(jī)的端口;不信任端口連接用戶或網(wǎng)絡(luò)。不信任端口將接收到的dhcp服務(wù)器響應(yīng)的dhcpack和dhcpoff報(bào)文丟棄;而信任端口將此dhcp報(bào)文正常轉(zhuǎn)發(fā),從而保證了用戶獲取正確的ip地址。 (1)開(kāi)啟/關(guān)閉交換機(jī)dhcp-snooping功能 缺省狀況下,以太網(wǎng)交換機(jī)的dhcp-snooping功能處于關(guān)閉狀態(tài)。 在系統(tǒng)視圖下進(jìn)行下列配置,啟用dhcp-snooping功能: dhcp-snooping (2)配置

12、端口為信任端口 缺省狀況下,交換機(jī)的端口均為不信任端口。 在以太網(wǎng)端口視圖下進(jìn)行下列配置: dhcp-snoopingtrust (3)配置vlan接口通過(guò)dhcp方式獲取ip地址 在vlan接口視圖下進(jìn)行下列配置: ipaddressdhcp-alloc (4)訪問(wèn)管理配置-配置端口/ip地址/mac地址的綁定 可以通過(guò)下面的命令將端口、ip地址和mac地址綁定在一起,支持port+ip、port+mac、port+ip+mac、ip+mac綁定方式,防止私自移動(dòng)機(jī)器設(shè)備或?yàn)E用mac地址攻擊、ip地址盜用攻擊等,但這種方法工作量巨大。 acl(訪問(wèn)掌握列表)技術(shù) 為了過(guò)濾通過(guò)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包

13、,需要配置一系列的匹配規(guī)則,以識(shí)別需要過(guò)濾的對(duì)象。在識(shí)別出特定的對(duì)象之后,網(wǎng)絡(luò)設(shè)備才能依據(jù)預(yù)先設(shè)定的策略允許或禁止相應(yīng)的數(shù)據(jù)包通過(guò)。訪問(wèn)掌握列表(accesscontrollist,acl)就是用來(lái)實(shí)現(xiàn)這些功能。acl通過(guò)一系列的匹配條件對(duì)數(shù)據(jù)包進(jìn)行分類(lèi),這些條件可以是數(shù)據(jù)包的源地址、目的地址、端口號(hào)等。acl應(yīng)用在交換機(jī)全局或端口,交換機(jī)依據(jù)acl中指定的條件來(lái)檢測(cè)數(shù)據(jù)包,從而打算是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。訪問(wèn)掌握列表又可分為以下幾種類(lèi)型。 基本訪問(wèn)掌握列表:依據(jù)三層源ip制定規(guī)則,對(duì)數(shù)據(jù)包進(jìn)行相應(yīng)的分析處理。 高級(jí)訪問(wèn)掌握列表:依據(jù)源ip、目的ip、使用的tcp或udp端口號(hào)、報(bào)文優(yōu)先級(jí)等數(shù)

14、據(jù)包的屬性信息制定分類(lèi)規(guī)則,對(duì)數(shù)據(jù)包進(jìn)行相應(yīng)的處理。高級(jí)訪問(wèn)掌握列表支持對(duì)三種報(bào)文優(yōu)先級(jí)的分析處理:tos(typeofservice)優(yōu)先級(jí)、ip優(yōu)先級(jí)和dscp優(yōu)先級(jí)。 二層訪問(wèn)掌握列表:依據(jù)源mac地址、源vlanid、二層協(xié)議類(lèi)型、報(bào)文二層接收端口、報(bào)文二層轉(zhuǎn)發(fā)端口、目的mac地址等二層信息制定規(guī)則,對(duì)數(shù)據(jù)進(jìn)行相應(yīng)處理。 用戶自定義訪問(wèn)掌握列表:依據(jù)用戶的定義對(duì)二層數(shù)據(jù)幀的前80個(gè)字節(jié)中的任意字節(jié)進(jìn)行匹配,對(duì)數(shù)據(jù)報(bào)文作出相應(yīng)的處理。正確使用用戶自定義訪問(wèn)掌握列表需要用戶對(duì)二層數(shù)據(jù)幀的構(gòu)成有深入的了解。 訪問(wèn)掌握列表在網(wǎng)絡(luò)設(shè)備中有著廣泛的應(yīng)用,訪問(wèn)掌握列表配置、啟用包括以下幾個(gè)步驟,最好

15、依次進(jìn)行,其中前兩個(gè)步驟可以不用配置,采用默認(rèn)值。 (1)配置時(shí)間段 在系統(tǒng)視圖下使用time-range命令配置時(shí)間段。例如,假如想在每周的上班時(shí)間8:00-16:00掌握用戶訪問(wèn),可以使用下面的命令: time-rangeourworingtime8:00to16:00working-day (2)選擇交換機(jī)使用的流分類(lèi)規(guī)則模式 交換機(jī)只能選擇一種流分類(lèi)規(guī)則模式:二層acl模式或者三層acl模式。在二層acl模式下,只有二層acl可以被定義、激活或者被其他應(yīng)用引用,三層acl模式類(lèi)似?？梢酝ㄟ^(guò)下面的命令來(lái)選擇使用l2或l3模式的流分類(lèi)規(guī)則。缺省狀況下,選擇使用ip-based流分類(lèi)規(guī)則模式

16、,即l3流分類(lèi)規(guī)則。 在系統(tǒng)視圖下進(jìn)行下列配置: aclmodeip-based|link-based (3)定義訪問(wèn)掌握列表(命令較多,只以高級(jí)訪問(wèn)掌握列表為例) 進(jìn)入相應(yīng)的訪問(wèn)掌握列表視圖 aclnumberacl-number|nameacl-nameadvanced 定義訪問(wèn)列表的子規(guī)則 在系統(tǒng)視圖下使用rule命令配置規(guī)則。 例如,假如想掌握內(nèi)網(wǎng)/24用戶在工作時(shí)間使用ftp下載,可以使用下面的命令: aclnumber3006 rule1denytcpsourcedestinationanydestination-por

17、teqftptime-rangeourworingtime 激活訪問(wèn)掌握列表 不同的交換機(jī)型號(hào)配置命令不太相同,以s6500系列為例,在qos視圖下進(jìn)行下列配置: packet-filterinboundip-groupacl-number|acl-name|link-groupacl-number|acl-name 下期將為您介紹流量及端口限速掌握技術(shù)、tcp屬性及cpu負(fù)載掌握技術(shù)、arp技術(shù)、登錄和訪問(wèn)交換機(jī)掌握技術(shù)、鏡像技術(shù)。 以下您將學(xué)到流量及端口限速掌握技術(shù)、tcp屬性及cpu負(fù)載掌握技術(shù)、arp技術(shù)、登錄和訪問(wèn)交換機(jī)掌握技術(shù)、鏡像技術(shù)。 流量及端口限速掌握技術(shù) 為了防止因大流量數(shù)

18、據(jù)傳輸引起的端口堵塞,消退惡意用戶或者中毒用戶對(duì)網(wǎng)絡(luò)的影響,可以采用流量及端口限速掌握技術(shù)。 配置端口流量閾值 通過(guò)配置端口流量閾值,系統(tǒng)可以周期性地對(duì)端口的數(shù)據(jù)流量進(jìn)行監(jiān)控。當(dāng)端口的數(shù)據(jù)流量超出配置的閾值后,系統(tǒng)將依據(jù)指定的方式進(jìn)行處理:自動(dòng)關(guān)閉端口并發(fā)送告警信息或僅發(fā)送告警信息。在以太網(wǎng)端口視圖下配置端口的流量閾值及超出閾值后的處理方式: flow-constraintime-valueflow-valuebps|pps flow-constrainmethodshutdown|trap 流量監(jiān)管 流量監(jiān)管是基于流的速率限制,它可以監(jiān)督某一流量的速率,假如流量超出指定的規(guī)格,就采用相應(yīng)的措

19、施,如丟棄那些超出規(guī)格的報(bào)文或重新設(shè)置它們的優(yōu)先級(jí)。 端口限速 端口限速就是基于端口的速率限制,它對(duì)端口輸出報(bào)文的總速率進(jìn)行限制。 tcp屬性及cpu負(fù)載掌握技術(shù) 黑客掃描、蠕蟲(chóng)病毒等都會(huì)引起過(guò)多tcp連接,cpu負(fù)載過(guò)重與此也有關(guān)系,適當(dāng)?shù)卣{(diào)整交換機(jī)的tcp屬性和送達(dá)cpu的報(bào)文,可以有效地降低cpu負(fù)載。 配置tcp屬性 synwait定時(shí)器:當(dāng)發(fā)送syn報(bào)文時(shí),tcp啟動(dòng)synwait定時(shí)器,假如synwait超時(shí)前未收到回應(yīng)報(bào)文,則tcp連接將被終止。synwait定時(shí)器的超時(shí)時(shí)間取值范圍為2600秒,缺省值為75秒: tcptimersyn-timeouttime-value fin

20、wait定時(shí)器:當(dāng)tcp的連接狀態(tài)由fin_wait_1變?yōu)閒in_wait_2時(shí),啟動(dòng)finwait定時(shí)器,假如finwait定時(shí)器超時(shí)前仍未收到fin報(bào)文,則tcp連接被終止。finwait的取值范圍為763600秒,finwait的缺省值為675秒: tcptimerfin-timeouttime-value 面向連接socket的接收和發(fā)送緩沖區(qū)的大小:范圍為132k字節(jié),缺省值為4k字節(jié): tcpwindowwindow-size 配置特別ip報(bào)文是否送cpu處理 在交換機(jī)的ip報(bào)文轉(zhuǎn)發(fā)過(guò)程中,通常重定向、ttl超時(shí)及路由不可達(dá)的報(bào)文會(huì)送到cpu,cpu在收到以上報(bào)文后會(huì)通知對(duì)方處理

21、。但假如配置錯(cuò)誤或有人惡意攻擊,則會(huì)造成cpu負(fù)載過(guò)重,這時(shí)便可通過(guò)下面的命令設(shè)置相應(yīng)報(bào)文不送cpu處理,以保護(hù)系統(tǒng)的正常運(yùn)行。缺省狀況下,重定向、路由不可達(dá)的報(bào)文不送cpu處理,ttl超時(shí)報(bào)文送cpu處理: undoipredirects|ttl-expires|unreachables arp技術(shù) ip地址不能直接用來(lái)進(jìn)行通信,因?yàn)殒溌穼拥木W(wǎng)絡(luò)設(shè)備只能識(shí)別mac地址。arp用于將ip地址解析為mac地址,arp動(dòng)態(tài)執(zhí)行并自動(dòng)尋求ip地址到以太網(wǎng)mac地址的解析,無(wú)需管理員的介入,也可以手工維護(hù)。通常將手工配置的ip地址到mac地址的映射,稱(chēng)之為靜態(tài)arp。 免費(fèi)arp技術(shù)通過(guò)對(duì)外發(fā)送免費(fèi)a

22、rp報(bào)文,防止通過(guò)各種arp哄騙手段產(chǎn)生的攻擊。 動(dòng)態(tài)arp老化定時(shí)器 交換機(jī)允許用戶指定動(dòng)態(tài)arp老化定時(shí)器的時(shí)間。動(dòng)態(tài)地址表的老化時(shí)間是指在該表項(xiàng)從交換機(jī)地址表中刪除之前的生存時(shí)間,若定時(shí)器超時(shí),就將該表項(xiàng)從地址表中刪除。缺省狀況下,動(dòng)態(tài)arp老化定時(shí)器為20分鐘: arptimeragingaging-time 免費(fèi)arp技術(shù) 免費(fèi)arp功能:網(wǎng)絡(luò)中設(shè)備可以通過(guò)發(fā)送免費(fèi)arp報(bào)文來(lái)確定其他設(shè)備的ip地址是否與自己沖突。假如發(fā)送免費(fèi)arp報(bào)文的設(shè)備正好轉(zhuǎn)變了硬件地址,那么這個(gè)報(bào)文就可以通知其他設(shè)備準(zhǔn)時(shí)更新高速緩存中舊的硬件地址。例如:設(shè)備收到一個(gè)免費(fèi)arp報(bào)文后,假如高速緩存中已存在此報(bào)文

23、對(duì)應(yīng)的arp表項(xiàng),那么此設(shè)備就用免費(fèi)arp報(bào)文中攜帶的發(fā)送端硬件地址(如以太網(wǎng)地址)對(duì)高速緩存中相應(yīng)的內(nèi)容進(jìn)行更新。設(shè)備接收到任何免費(fèi)arp報(bào)文都要完成這個(gè)操作。 免費(fèi)arp報(bào)文的特點(diǎn):報(bào)文中攜帶的源ip和目的ip地址都是本機(jī)地址,報(bào)文源mac地址是本機(jī)mac地址。當(dāng)設(shè)備收到免費(fèi)arp報(bào)文后,假如發(fā)覺(jué)報(bào)文中的ip地址和自己的ip地址沖突,則給發(fā)送免費(fèi)arp報(bào)文的設(shè)備返回一個(gè)arp應(yīng)答,告知該設(shè)備ip地址沖突。缺省狀況下,交換機(jī)的免費(fèi)arp報(bào)文發(fā)送功能處于開(kāi)啟狀態(tài),免費(fèi)arp報(bào)文學(xué)習(xí)功能處于關(guān)閉狀態(tài)。在系統(tǒng)視圖下免費(fèi)arp的配置過(guò)程如下: arpsend-gratuitousenable gra

24、tuitous-arp-learningenable 登錄和訪問(wèn)交換機(jī)掌握技術(shù) 目前,以太網(wǎng)交換機(jī)供應(yīng)了多種用戶登錄、訪問(wèn)設(shè)備的方式,主要有通過(guò)console口、snmp訪問(wèn)、通過(guò)telnet或ssh訪問(wèn)和通過(guò)http訪問(wèn)等方式。以太網(wǎng)交換機(jī)供應(yīng)對(duì)這幾種訪問(wèn)方式進(jìn)行安全掌握的特性,防止非法用戶登錄、訪問(wèn)交換機(jī)設(shè)備。 安全掌握分為兩級(jí):第一級(jí)安全通過(guò)掌握用戶的連接實(shí)現(xiàn),通過(guò)配置acl對(duì)登錄用戶進(jìn)行過(guò)濾,只有合法用戶才能和交換機(jī)設(shè)備建立連接;第二級(jí)安全主要通過(guò)用戶口令認(rèn)證明現(xiàn),連接到設(shè)備的用戶必需通過(guò)口令認(rèn)證才能真正登錄到設(shè)備。 設(shè)置口令 為防止未授權(quán)用戶的非法侵入,必需在不同登錄和訪問(wèn)的用戶界面(aux用戶界面用于通過(guò)console口對(duì)以太網(wǎng)交換機(jī)進(jìn)行訪問(wèn),vty用戶界面用于通過(guò)telnet對(duì)以太網(wǎng)交換機(jī)進(jìn)行訪問(wèn))設(shè)置口令,包括簡(jiǎn)單忽視的snmp的訪問(wèn)口令(一定不要用“public”的默認(rèn)口令)和bootmenu口