互换机配置之怎样办理收集安详题目

 鉴于互联网的黑客进攻变乱加倍猖狂，同时也是为了增强公司内部收集的收集安详打点，要求对毗连外部路由的互换机采纳强化法子，一是冗余端口封锁;二是IP、MAC、PORT三者绑定，阻止生疏主机接入;三是互换机CONSOLE口、VTY(假造终端)配置用户及口令。

　　单元毗连外部路由的是Quidway S3026E互换机。上网查阅相干资料，下手开始设置S3026E互换机。按照所查资料，shutdown呼吁封锁端口，arp呼吁实现IP、MAC、PORT三者绑定。设置中发明，shutdown呼吁可以封锁端口，但生涯设置重启互换机后，端口依然能连通终端微机，查询此端口状态，却表现“administratively down”。无奈下，将相干信息发给华为寻求技能支持，回覆也许硬件妨碍，必要现场办理。讲述上级营业部分，赞成由处所技能公司帮忙办理此事。

　　处所技强职员过来设置了CONSOLE、VTY(假造终端)用户及口令，但IP、MAC、PORT三者绑定及封锁冗余端口无法实现。只是与本人设置计策差异，处所技强职员行使更为伟大的会见节制表来实现三者绑定。设置封锁冗余端口时，环境与我千篇一致，重启后依然能毗连终端微机。最后，处所技强职员只好摇头分开。

　　在我看来，从节省本钱出发，尽也许操作现有装备，改换互换机不是最佳办理方案。处所技强职员固然没能办理题目，但最后一句话提示了我。其时，处所技强职员曾表明互换机软件版本较低，CLI照旧仿CISCO的。那么能不能进级办理呢？处所技强职员复原互换机较早，华为已不支持此软件进级，且进级包已无法下载了。

　　上网查S3026E进级软件，最终在找到了它的身影，因为不是华为员工，无法获得下载权限，只好关照处所技强职员代为下载发送给本身。

　　互换机S3026E软件版本为VRP Version 3.10 RELEASE 0002, Bootrom Version is 119，确实太低了。还好，处所技强职员已经把进级软件发过来了。个中包罗Bootrom_V130、Bootrom_V160,尚有VRP3.10-R0035。

　　收到进级软件，一阵狂喜，阅读相干声名后。当即着手对互换机举办软件进级。按要求架好TFTP处事器，配好互换机打点IP地点。留意：TFTP处事器要配置在一个网段内。重启互换机，按Ctrl+B组合键，呈现选择菜单后Ctrl+u，进入加载BOOTROM的菜单，选择“Set TFTP protocol parameter”。其进程如下：

　　Update Bootrom

　　1. Set TFTP protocol parameter

　　2. Set FTP protocol parameter

　　3. Set XMODEM protocol parameter

　　0. Return to boot menu

　　Enter your choice(0-3): 1

　　Load file name :s3026e-130.btm

　　Switch IP address :192.168.3.2

　　Server IP address :192.168.3.80

　　Subnet mask :255.255.255.0

　　Are you sure to download file to flash? (Y/N) y

　　ARP broadcast 1

　　TFTP from server 192.168.3.80; our IP address is 192.168.3.2

　　Filename 's3026e-130.btm'.

　　Load address: 0x80800000

　　Loading: ######################

　　done

　　download time: 920769us

　　Bytes transferred = 349336 (55498 hex)

　　Erasing Bootrom....x.x.x.x.x.x--done

　　Writing to Bootrom...+++++++++++++++++++++done

　　Update bootrom successful!

　　重启互换机，show version，Bootrom版本已变为130。依此法将互换机Bootrom版本进级到160。

　　进级VRP版本时，把原版本VRP备份，一方面由于为互换机FLASH空间不敷，必要删除原文件以腾出足够的空间;另一方面，如进级失败可以规复返来。进级VRP时环境如下:

　　Quidway#dele /u s3026e-vrp3.10-0002.bin

　　Quidway(config)#tftp get //192.168.3.80/s3026e-r0035.bin

　　..................................................

　　..................................................

　　Downloading succeeds!

　　Quidway#boot bootldr s3026e-r0035.bin

　　重启互换机，disp version, VRP版本已变为“VRP Software, Version 3.10, RELEASE 0035”。

　　互换机进级完成，下一步对互换机举办设置。设置CONSOLE、VTY(假造终端)用户及口令，起主要建设用户并设定用户口令及处事范例，然后别离进入CONSOLE、VTY接口视图，配置认证方法。在此版本下，处事范例有四种：FTP，配置FTP用户;LAN-ACCESS,配置ETHERNET通过RJ45上网用户;TELNET，进程登任命户;SSH，安详Shell用户。CONSOLE、VTY认证登录有三种方法：NO，登录时不必要口令;PASSWORD，登录必要口令;SCHEME,必要用户名及口令，用户必需是SSH用户或TELNET用户，也就是说TELNET(SSH)与CONSOLE用户及口令是一样的，这或者是它的不敷之处。

　　设置IP、MAC、PORT，借助AM user-bind呼吁，轻松搞定。记着，要先使能AM，默认环境下AM成果是封锁的。

　　封锁冗余端口，依然在各冗余端口视图下Shutdown,生涯设置，重启互换机，统统OK。