浙江福彩3d走势图
我們來自五湖四海,不為別的,只因有共同的愛好,為中國互聯網發展出一分力!

交換機設置之如何解決網絡安全問題

2013年03月28日20:26 閱讀: 15309 次
鑒于互聯網的黑客攻擊事件越發猖獗,同時也是為了加強公司內部網絡的網絡安全管理,要求對連接外部路由的交換機采取強化措施,一是冗余端口關閉;二是IP、MAC、PORT三者綁定,阻止陌生主機接入;三是交換機CONSOLE口、VTY(虛擬終端)設置用戶及口令。


單位連接外部路由的是Quidway S3026E交換機。上網查閱相關資料,動手開始配置S3026E交換機。根據所查資料,shutdown命令關閉端口,arp命令實現IP、MAC、PORT三者綁定。配置中發現,shutdown命令可以關閉端口,但保存配置重啟交換機后,端口依然能連通終端微機,查詢此端口狀態,卻顯示“administratively down”。無奈下,將相關信息發給華為尋求技術支持,回復可能硬件故障,需要現場解決。匯報上級業務部門,同意由地方技術公司協助解決此事。

地方技術人員過來配置了CONSOLE、VTY(虛擬終端)用戶及口令,但IP、MAC、PORT三者綁定及關閉冗余端口無法實現。只是與本人配置策略不同,地方技術人員使用更為復雜的訪問控制表來實現三者綁定。配置關閉冗余端口時,情況與我如出一轍,重啟后依然能連接終端微機。最后,地方技術人員只好搖頭離開。

在我看來,從節約成本出發,盡可能利用現有設備,更換交換機不是最佳解決方案。地方技術人員雖然沒能解決問題,但最后一句話提醒了我。當時,地方技術人員曾解釋交換機軟件版本較低,CLI還是仿CISCO的。那么能不能升級解決呢?地方技術人員答復交換機較早,華為已不支持此軟件升級,且升級包已無法下載了。

上網查S3026E升級軟件,最終在www.h3c.com找到了它的身影,由于不是華為員工,無法得到下載權限,只好通知地方技術人員代為下載發送給自己。

交換機S3026E軟件版本為VRP Version 3.10 RELEASE 0002, Bootrom Version is 119,確實太低了。還好,地方技術人員已經把升級軟件發過來了。其中包括Bootrom_V130、Bootrom_V160,還有VRP3.10-R0035。

收到升級軟件,一陣狂喜,閱讀相關說明后。立即著手對交換機進行軟件升級。按要求架好TFTP服務器,配好交換機管理IP地址。注意:TFTP服務器要設置在一個網段內。重啟交換機,按Ctrl+B組合鍵,出現選擇菜單后Ctrl+u,進入加載BOOTROM的菜單,選擇“Set TFTP protocol parameter”。其過程如下:

Update Bootrom

1. Set TFTP protocol parameter

2. Set FTP protocol parameter

3. Set XMODEM protocol parameter

0. Return to boot menu

Enter your choice(0-3): 1

Load file name :s3026e-130.btm

Switch IP address :192.168.3.2

Server IP address :192.168.3.80

Subnet mask :255.255.255.0

Are you sure to download file to flash? (Y/N) y

ARP broadcast 1

TFTP from server 192.168.3.80; our IP address is 192.168.3.2

Filename 's3026e-130.btm'.

Load address: 0x80800000

Loading: ######################

done

download time: 920769us

Bytes transferred = 349336 (55498 hex)

Erasing Bootrom....x.x.x.x.x.x--done

Writing to Bootrom...+++++++++++++++++++++done

Update bootrom successful!

重啟交換機,show version,Bootrom版本已變為130。依此法將交換機Bootrom版本升級到160。

升級VRP版本時,把原版本VRP備份,一方面因為為交換機FLASH空間不足,需要刪除原文件以騰出足夠的空間;另一方面,如升級失敗可以恢復回來。升級VRP時情況如下:

Quidway#dele /u s3026e-vrp3.10-0002.bin

Quidway(config)#tftp get //192.168.3.80/s3026e-r0035.bin

..................................................

..................................................

Downloading succeeds!

Quidway#boot bootldr s3026e-r0035.bin

重啟交換機,disp version, VRP版本已變為“VRP Software, Version 3.10, RELEASE 0035”。

交換機升級完成,下一步對交換機進行配置。配置CONSOLE、VTY(虛擬終端)用戶及口令,首先要創建用戶并設定用戶口令及服務類型,然后分別進入CONSOLE、VTY接口視圖,設置認證方式。在此版本下,服務類型有四種:FTP,設置FTP用戶;LAN-ACCESS,設置ETHERNET通過RJ45上網用戶;TELNET,過程登錄用戶;SSH,安全Shell用戶。CONSOLE、VTY認證登錄有三種方式:NO,登錄時不需要口令;PASSWORD,登錄需要口令;SCHEME,需要用戶名及口令,用戶必須是SSH用戶或TELNET用戶,也就是說TELNET(SSH)與CONSOLE用戶及口令是一樣的,這或許是它的不足之處。

配置IP、MAC、PORT,借助AM user-bind命令,輕松搞定。記住,要先使能AM,默認情況下AM功能是關閉的。

關閉冗余端口,依然在各冗余端口視圖下Shutdown,保存配置,重啟交換機,一切OK。

分享到: 更多
藍客門戶
©2001-2019 中國藍客聯盟 版權所有.
關于藍客聯盟歷史宗旨章程技術服務聯系我們藍客社區

浙江福彩3d走势图 全民突击t2雷神之锤 都灵vs卡利亚里预测 巴塞罗那vs皇家社会 体彩泳坛夺金玩法 捕鸟达人存档 四川麻将巡回大赛 波斯波利斯遗址复原图 AC米兰 卡卡 乌迪内斯卡利亚里 博尔顿vs富勒姆比分