摘要：外部網(wǎng)絡(luò)威脅盡管形勢(shì)嚴(yán)峻，但來(lái)自內(nèi)部網(wǎng)絡(luò)本身的威脅有時(shí)卻更難防范。該文探討如何發(fā)掘內(nèi)部網(wǎng)絡(luò)設(shè)備（主要為二三層交換機(jī)）的功能，防范來(lái)自內(nèi)部網(wǎng)絡(luò)的威脅。這些威脅主要為非法DHCP服務(wù)器、ARP欺騙、用戶私設(shè)IP地址、用戶私接交換機(jī)、用戶連接失誤造成的網(wǎng)絡(luò)環(huán)路等。從網(wǎng)絡(luò)設(shè)備層面杜絕這些威脅，會(huì)使內(nèi)部網(wǎng)絡(luò)本身更加“安靜”，從而也更安全穩(wěn)定流暢。

關(guān)鍵詞：網(wǎng)絡(luò)設(shè)備安全；交換機(jī)；DHCP-SNOOPING；ARP-DETECTION；IP；MSTP

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）17-4004-05

計(jì)算機(jī)網(wǎng)絡(luò)對(duì)來(lái)自外部（internet）網(wǎng)絡(luò)威脅的防范工作，主要由路由防火墻來(lái)完成。不可否認(rèn)，防范外部網(wǎng)絡(luò)的威脅非常重要。如何配置路由防火墻（及入侵檢測(cè)系統(tǒng)等）來(lái)防范這些威脅，也已經(jīng)形成很多固定的模式，介紹探討這方面的文章書(shū)籍也不在少數(shù)。

不過(guò)來(lái)自內(nèi)部網(wǎng)絡(luò)的威脅同樣不可小視，俗話說(shuō)，堡壘最容易從內(nèi)部攻破。內(nèi)部網(wǎng)絡(luò)的威脅主要包括非法DHCP服務(wù)器、ARP欺騙、用戶私設(shè)IP地址、用戶私接交換機(jī)、用戶連接失誤造成的網(wǎng)絡(luò)環(huán)路等。有些是用戶無(wú)意識(shí)的行為（例如ARP攻擊，用戶主機(jī)可能中了ARP病毒），但有些卻有可能是有意為之（例如私設(shè)DHCP服務(wù)器，造成其他用戶獲取到錯(cuò)誤的IP地址）。

這些威脅都能造成內(nèi)部網(wǎng)絡(luò)的不穩(wěn)定，使用戶的網(wǎng)絡(luò)使用體驗(yàn)變差。對(duì)于這些威脅的防范，路由防火墻通常無(wú)能為力。但是，有一點(diǎn)，因?yàn)檫@些威脅是通過(guò)內(nèi)部網(wǎng)絡(luò)設(shè)備（主要為交換機(jī)）在用戶主機(jī)之間形成干擾的，所以如果網(wǎng)絡(luò)設(shè)備支持對(duì)這些威脅的防范（具有相應(yīng)的功能），我們就能在用戶級(jí)別掐滅這些干擾因素。該文主要是基于此交換機(jī)層面，來(lái)對(duì)如何防范這些威脅作一些探討。

我校校園網(wǎng)初期的網(wǎng)絡(luò)設(shè)備主要來(lái)自北電（Nortel），因?yàn)槭瞧漭^早時(shí)期的設(shè)備（2004年左右），所以基本上不具備對(duì)此類(lèi)威脅的防范（盡管也可網(wǎng)管，但不具備這些功能）。不過(guò)，于2011年1月份期間，我校將所有的網(wǎng)絡(luò)設(shè)備都進(jìn)行了更換，品牌主要為H3C。當(dāng)時(shí)廠商的技術(shù)人員僅僅是將校園網(wǎng)絡(luò)調(diào)通，設(shè)備的很多安全功能并沒(méi)有啟用。我在仔細(xì)閱讀了相關(guān)的技術(shù)文檔之后，發(fā)現(xiàn)這些設(shè)備均可對(duì)上述威脅做到有效防范，于是逐漸啟用了這些功能。該文也是對(duì)此過(guò)程中的一些心得體會(huì)，做一個(gè)歸納總結(jié)。

本校校園網(wǎng)絡(luò)大致拓?fù)鋱D如圖1所示。

因?yàn)檫@些功能的啟用主要是在交換機(jī)上進(jìn)行，所以本文以核心交換機(jī)至1號(hào)樓主教學(xué)樓之間的交換機(jī)為例描述即可，如圖2 所示，圖中以主教學(xué)樓中的5臺(tái)交換機(jī)作為代表，其中s-build-1為匯聚層，另外4臺(tái)為接入層，其余尚有十幾臺(tái)未在圖中顯示的也屬于接入層。其他樓層交換機(jī)相關(guān)的配置大致相同。

圖1 本校校園網(wǎng)絡(luò)大致拓?fù)鋱D

1 防范非法DHCP服務(wù)器

用戶如果私設(shè)DHCP服務(wù)器（不管是因?yàn)閷W(xué)習(xí)DHCP而無(wú)意的造成，還是有意的搞破壞），將會(huì)對(duì)其端口所屬VLAN段中所有用戶主機(jī)形成干擾。我校在更換網(wǎng)絡(luò)設(shè)備以前，常有這樣的情況發(fā)生。

通過(guò)逐一查找交換機(jī)中的mac-address表，或許可以將其“抓住”，但這樣太麻煩，嚴(yán)重增加管理工作量，而且是一種事后被動(dòng)的防范措施。而啟用交換機(jī)的dhcp-snooping功能，可以輕松地實(shí)現(xiàn)對(duì)非法DHCP服務(wù)器的主動(dòng)防范。

1.1 Dhcp-snooping簡(jiǎn)要原理分析

Dhcp-snooping的原理比較簡(jiǎn)單?？蛻舳嗽谂cDHCP服務(wù)器獲取IP地址的過(guò)程中，總共有4個(gè)階段。如果有非法DHCP服務(wù)器存在，客戶端就可能接收到非法DHCP服務(wù)器的“DHCP-Offer”及“DHCP-ACK”消息，從而獲取到錯(cuò)誤的IP地址。配置交換機(jī)的dhcp-snooping功能時(shí)，一般是將接入層和匯聚層交換機(jī)的上行端口設(shè)置為trust端口，其余端口默認(rèn)為非trust，這樣非法DHCP服務(wù)器的“DHCP-Offer”及“DHCP-ACK”消息將被隔離，不會(huì)被客戶端接收到，從而起到了防范非法DHCP服務(wù)器的作用。

1.2 配置交換機(jī)的dhcp-snooping功能

對(duì)應(yīng)到本校圖2 中所示交換機(jī)的dhcp-snooping配置如下：

1） 在系統(tǒng)視圖模式下，啟用主教學(xué)樓中所有接入層交換機(jī)的dhcp-snooping功能：

system-view //進(jìn)入系統(tǒng)視圖

dhcp-snooping //開(kāi)啟dhcp-snooping功能

2） 將這些交換機(jī)的上行端口設(shè)置為trust端口，以s-teac-2交換機(jī)為例，配置如下 ：

interface GigabitEthernet1/1/1

dhcp-snooping trust //設(shè)置該端口為可信端口

啟用dhcp-snooping功能是本文后續(xù)其他防范措施的前提和基礎(chǔ)，這也是首先描述該功能的原因。

2 防范ARP欺騙

曾經(jīng)一段時(shí)期，防范ARP欺騙是一件令網(wǎng)絡(luò)管理員非常頭疼的事情。一臺(tái)中了ARP病毒的主機(jī)，常常會(huì)攪得整個(gè)網(wǎng)段中的主機(jī)不得安寧。典型表現(xiàn)是用戶感覺(jué)上網(wǎng)緩慢，且時(shí)斷時(shí)續(xù)。

2.1 防范ARP欺騙的原理分析

開(kāi)啟ARP入侵檢測(cè)功能后，如果ARP報(bào)文中的源MAC 地址、源IP 地址、接收ARP 報(bào)文的端口編號(hào)以及端口所在VLAN與DHCP Snooping表或手工配置的IP靜態(tài)綁定表表項(xiàng)一致，則認(rèn)為該報(bào)文是合法的ARP報(bào)文，進(jìn)行轉(zhuǎn)發(fā)，否則認(rèn)為是非法ARP報(bào)文，直接丟棄。

2.2 實(shí)施ARP欺騙防范的過(guò)程步驟

1） 開(kāi)啟交換機(jī)ARP入侵檢測(cè)功能

開(kāi)啟交換機(jī)ARP入侵檢測(cè)功能的步驟如下（以圖2中s-tea-2交換機(jī)為例，其余接入層交換機(jī)配置與之相似，匯聚層交換機(jī)s-build-1不作此配置）：

· 開(kāi)啟dhcp-snooping功能（這是前提）

· vlan 11 //進(jìn)入到VLAN視圖模式中

· arp detection enable

注：對(duì)屬于該VLAN的所有端口啟用ARP入侵檢測(cè)。如果交換機(jī)中還有有他vlan，則重復(fù)上述命令即可。

· interface g 1/1/1

· arp detection trust

注：將上行接口設(shè)置為arp可信任端口，不對(duì)進(jìn)入此接口的arp報(bào)文進(jìn)行arp檢測(cè)。

因?yàn)榻粨Q機(jī)要將ARP報(bào)文（不論是request還是reponse類(lèi)型的）與dhcp-snooping表比較，所以這也意味著客戶端主機(jī)需要設(shè)置為自動(dòng)獲取IP地址，否則不會(huì)在dhcp-snooping表中形成自己的記錄，自身將無(wú)法正常通信。這從另一個(gè)方面也可以起到防止用戶私設(shè)IP地址的功效。如果某端口下所接主機(jī)必需設(shè)置為靜態(tài)IP地址（如電子顯示屏、網(wǎng)絡(luò)打印機(jī)等），只需將該端口設(shè)置為“arp detection trust”即可。

2） 保護(hù)網(wǎng)關(guān)

ARP欺騙的各種行為中，最喜歡的莫過(guò)于欺騙網(wǎng)關(guān)了。這樣同網(wǎng)段中被欺騙主機(jī)的流量都會(huì)統(tǒng)統(tǒng)流向自己，以方便盜取其他主機(jī)的隱私，這也正是其他主機(jī)感覺(jué)上網(wǎng)緩慢并時(shí)斷時(shí)續(xù)的原因所在。

開(kāi)啟交換機(jī)ARP網(wǎng)關(guān)防護(hù)功能的步驟如下（以圖2中s-tea-2交換機(jī)為例，其余同）：

· interface g 1/1/1 //進(jìn)入接口視圖模式（上行接口）

· arp filter binding 192.168.12.1 3ce5-a680-a342

· arp filter binding 192.168.28.1 3ce5-a680-a342

· arp filter binding 192.168.32.1 3ce5-a680-a342

注：上述命令表明，凡進(jìn)入該接口的ARP報(bào)文，其源IP地址及源MAC地址不符合上述綁定的，均將被丟棄。經(jīng)過(guò)實(shí)驗(yàn)證實(shí)，一個(gè)接口可以同時(shí)綁定最多8條。注意H3C核心交換機(jī)為其所有VLAN虛接口IP地址（即為各網(wǎng)段主機(jī)的網(wǎng)關(guān)）提供的對(duì)應(yīng)MAC地址都是一樣的（此處為3ce5-a680-a342），也許它認(rèn)為這樣足夠了，反正又不是屬于同一個(gè)網(wǎng)段。

· interface e 1/0/1 //進(jìn)入接口視圖模式（各下行接口）

· arp filter source 192.168.12.1

注：上述命令表明，進(jìn)入接口e1/0/1的ARP報(bào)文，如果其源IP地址為192.168.12.1，則被認(rèn)為是欺騙網(wǎng)關(guān)ARP報(bào)文，并被丟棄，因?yàn)樵摻涌谙虏豢赡艹霈F(xiàn)源IP地址為192.168.12.1的ARP報(bào)文。對(duì)各接口均運(yùn)行上述命令，注意命令中IP地址要與該接口所屬的VLAN的虛接口IP地址相一致。

3） ARP報(bào)文限速

如果攻擊者惡意構(gòu)造大量ARP報(bào)文發(fā)往交換機(jī)的某一端口，會(huì)導(dǎo)致CPU負(fù)擔(dān)過(guò)重，從而造成其他功能無(wú)法正常運(yùn)行甚至設(shè)備癱瘓（類(lèi)似DDOS）。此時(shí)可以啟用交換機(jī)的端口ARP 報(bào)文限速功能，使受到攻擊的端口暫時(shí)關(guān)閉，來(lái)避免此類(lèi)攻擊對(duì)CPU 的沖擊。其配置步驟如下（以圖2中s-tea-2交換機(jī)為例，其余同）：

· interface e 1/0/1 //進(jìn)入接口視圖模式（各下行接口）

· arp rate-limit enable //啟用arp限速

· arp rate-limit 15 //接口每秒接收的arp報(bào)文若超過(guò)15個(gè)，則丟棄后續(xù)的

注：如果是匯聚層交換機(jī)的下行接口，可適當(dāng)調(diào)高rate-limit的值（例如150，默認(rèn)值為15）。對(duì)各下行接口均運(yùn)行上述命令

· system-view //退回至系統(tǒng)視圖模式

· arp protective-down recover enable

· arp protective-down recover interval 300

注：上述命令表明，如果接口接收到的arp報(bào)文的速率超過(guò)rate-limit指定的值，該接口將自動(dòng)關(guān)閉，并在300秒后自動(dòng)開(kāi)啟。

當(dāng)開(kāi)啟此功能后，校園網(wǎng)內(nèi)確實(shí)有少數(shù)用戶受到影響，這些用戶的感覺(jué)是，電腦會(huì)莫名其妙地?cái)嗑W(wǎng)一段時(shí)間（其實(shí)大約就是5分鐘了），然后又能連接上，然后又?jǐn)嚅_(kāi)，如此反復(fù)。經(jīng)檢查其系統(tǒng)確實(shí)有問(wèn)題，經(jīng)過(guò)殺毒等措施處理后，就正常了。說(shuō)明交換機(jī)此功能確實(shí)有效，并沒(méi)有“冤枉”用戶。

4） 防御ARP洪泛攻擊

此防范主要在三層核心交換機(jī)的vlan-interface上實(shí)施。

通過(guò)配置允許學(xué)習(xí)動(dòng)態(tài)ARP 表項(xiàng)的最大個(gè)數(shù)。當(dāng)該VLAN 接口動(dòng)態(tài)學(xué)習(xí)到的ARP表項(xiàng)超過(guò)限定的最大值后，將不進(jìn)行動(dòng)態(tài)地址表項(xiàng)的學(xué)習(xí)，從而防止某一VLAN 內(nèi)的惡意用戶發(fā)動(dòng)ARP 泛洪攻擊造成的危害。

開(kāi)啟交換機(jī)防御ARP洪泛攻擊功能的步驟如下（此配置只在圖2的核心交換機(jī)上進(jìn)行）：

· interface Vlan-interface11 //進(jìn)入到vlan-interface接口模式

· arp max-learning-num 256 //配置最大ARP學(xué)習(xí)表項(xiàng)為256

注：如果與VLAN相應(yīng)的IP段為C類(lèi)（或更?。?，則學(xué)習(xí)表項(xiàng)最大值取256就足夠了。在核心交換機(jī)中對(duì)所有的vlan-interface運(yùn)行上述命令。endprint

5） 開(kāi)啟ARP報(bào)文源MAC一致性檢查

這是防范ARP欺騙報(bào)文的另一種有效措施。在以太網(wǎng)中（絕大部分的局域網(wǎng)），ARP報(bào)文畢竟是要封裝在以太網(wǎng)幀（ethernet-frame）中傳遞的。正常ARP報(bào)文的源MAC地址應(yīng)該與其外包裹的ethernet-frame中的源MAC地址相同，否則就是ARP欺騙報(bào)文。這就是ARP報(bào)文源MAC一致性檢查的原理。

其配置過(guò)程如下（以圖2中s-tea-2交換機(jī)為例，其余同）：

· System-view //進(jìn)入系統(tǒng)視圖模式

· arp anti-attack valid-check enable //開(kāi)啟ARP報(bào)文源MAC一致性檢查

對(duì)于防范ARP欺騙，還有一種情況值得考慮，即接入層交換機(jī)屬于非網(wǎng)管型交換機(jī)（或不支持上述功能），那么上述防范ARP欺騙的措施都無(wú)法施行了。

機(jī)房是這樣的一個(gè)典型例子。機(jī)房中的交換機(jī)大部分是簡(jiǎn)易不具備網(wǎng)管功能的。事實(shí)上機(jī)房是被ARP欺騙騷擾最多的區(qū)域。

我對(duì)此的應(yīng)對(duì)措施是：多劃分VLAN。盡量每個(gè)機(jī)房分別對(duì)應(yīng)一個(gè)VLAN（當(dāng)然要在核心交換機(jī)上配置相應(yīng)虛接口的IP地址）。這樣的話，即便出現(xiàn)ARP欺騙，也頂多影響到一個(gè)機(jī)房，其他機(jī)房不受影響，畢竟ARP偽造報(bào)文是按OSI第二層原理運(yùn)行的?？s小了范圍，尋找ARP欺騙的源主機(jī)也不再是難事。

3 防止用戶私設(shè)IP地址

用戶私設(shè)靜態(tài)IP地址的后果可能是：（1）造成IP地址沖突；（2）破壞IP地址的分配原則；（3）IP地址設(shè)置錯(cuò)誤，用戶上不了網(wǎng)。

3.1 原理簡(jiǎn)要分析

配置交換機(jī)，使其對(duì)進(jìn)入其接口的任何數(shù)據(jù)包，都要與dhcp-snooping表相對(duì)比，若不符則丟棄。用戶主機(jī)若不設(shè)置自動(dòng)獲取IP，則不會(huì)在dhcp-snooping表中形成自身的IP地址表記錄，因而數(shù)據(jù)報(bào)文肯定被丟棄！

3.2 配置步驟

只在接入層交換機(jī)中實(shí)施，以圖2中s-tea-2交換機(jī)為例，其余同：

· 開(kāi)啟dhcp-snooping功能（這是前提）

· interface Ethernet1/0/1 //進(jìn)入接口模式

· ip check source ip-address mac-address //啟用源IP及MAC地址檢查

注：在所有需要啟用的接口上運(yùn)行上述命令。若接口下所接主機(jī)需要靜態(tài)IP地址，則不要啟用。

4 防止用戶誤操作形成環(huán)路

在圖2中，主機(jī)pc-tea-1與主機(jī)pc-tea-5有可能在一個(gè)辦公室，而且其主人可能就隔了一張辦公桌。如果一條網(wǎng)線就在這辦公桌下，一端在pc-tea-1主人的辦公桌處，另一端剛好在pc-tea-5主人的辦公桌處，兩位主人都以為那個(gè)網(wǎng)線頭是自己主機(jī)的，于是都插入到自己辦公桌的網(wǎng)線模塊座中。過(guò)了一會(huì)，所有老師的辦公電腦都斷網(wǎng)了！用戶很正常的一個(gè)不經(jīng)意的動(dòng)作，就可導(dǎo)致網(wǎng)絡(luò)癱瘓，這是讓人無(wú)法接受的。

這是本人所經(jīng)歷并解決的一次網(wǎng)絡(luò)事故。那時(shí)我認(rèn)識(shí)到，網(wǎng)絡(luò)設(shè)備即便沒(méi)有設(shè)計(jì)為環(huán)狀（以提供冗余），僅僅只是單一的樹(shù)狀分枝，也是有必要啟用STP的（這可能就是思科交換機(jī)默認(rèn)已啟用了STP的原因吧）。H3C交換機(jī)默認(rèn)并沒(méi)有啟用STP！

4.1 實(shí)施步驟

將圖2主教學(xué)樓中所有的交換機(jī)啟用MSTP，并配置為一個(gè)MSTP區(qū)域（zone），每個(gè)VLAN分別對(duì)應(yīng)一個(gè)instance。配置如下：

· system-view

· stp enable

· stp region-configuration //進(jìn)入region-configuration模式

· region-name building-1

· revision-level 0

· instance 1 vlan 11

· instance 2 vlan 28

· instance 3 vlan 32

· active region-configuration

在圖2所示主教學(xué)樓中所有的交換機(jī)上運(yùn)行上述相同命令。

然后在s-build-1中運(yùn)行下述命令（system-view模式下），將其指定為該區(qū)域內(nèi)所有instance的主根。

· stp instance 0 root primary

· stp instance 1 root primary

· stp instance 2 root primary

· stp instance 3 root primary

如果你不想麻煩，在所有交換機(jī)上只運(yùn)行一句“stp enable”也是可以的。

5 防止用戶私接交換機(jī)

實(shí)現(xiàn)此目的比較容易，啟用交換機(jī)的port-security可達(dá)到目的。配置如下（只需在接入層交換機(jī)中實(shí)施，以圖2中s-tea-2交換機(jī)為例，其余同）：

· system-view

· port-security enable //啟用port security

· port-security timer disableport 300 //若有違反，臨時(shí)禁用端口300秒

在所有要防止用戶私接交換機(jī)的端口上運(yùn)行下述命令。

· interface e 1/0/1

· port-security max-mac-count 1 //只允許一臺(tái)主機(jī)接入

· port-security port-mode autolearnendprint

· port-security intrusion-mode disableport-temporarily

6 網(wǎng)絡(luò)設(shè)備本身的安全

校園網(wǎng)中，任何一臺(tái)主機(jī)運(yùn)行“telnet 自己主機(jī)網(wǎng)關(guān)”，都能得到響應(yīng)。這個(gè)響應(yīng)當(dāng)然是來(lái)自核心交換機(jī)。H3C交換機(jī)默認(rèn)情況下響應(yīng)任何對(duì)自己的telnet請(qǐng)求。用戶盡管不知道用戶名和密碼，但讓惡意用戶這樣無(wú)休止的嘗試是不能讓人接受的。

可以使用訪問(wèn)控制列表來(lái)防范這種威脅，配置如下（以圖2的核心交換機(jī)配置為例，其余同）：

首先創(chuàng)建合適的ACL，只響應(yīng)來(lái)自合法IP地址telnet，如下所示。

· acl number 2000 name limit-telnet-access

· step 10

· rule 0 permit source 192.168.100.0 0.0.0.255

· rule 10 permit source 192.168.12.181 0

· rule 20 deny

然后在vty接口上實(shí)施該規(guī)則，如下所示。

· user-interface vty 0 15

· acl 2000 inbound

· authentication-mode scheme

· idle-timeout 30 0

7 結(jié)束語(yǔ)

自從在校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的交換機(jī)層面實(shí)施本文前述的各種規(guī)則之后，效果確實(shí)是不錯(cuò)。合理發(fā)掘網(wǎng)絡(luò)設(shè)備本身的功能，充分發(fā)揮其最大效能，將使你的網(wǎng)絡(luò)更加穩(wěn)健流暢。

以上所述是本人在管理校園內(nèi)部網(wǎng)絡(luò)時(shí)的心得體會(huì)，希望能夠得到同行的指教或?qū)ν杏兴鶐椭?/p>

參考文獻(xiàn)：

[1] 華三通信技術(shù)有限公司.S7500E系列以太網(wǎng)交換機(jī)操作手冊(cè)-Release 6600系列（V1.00）[M].華三通信技術(shù)有限公司，2009，5.

[2] 華三通信技術(shù)有限公司. E126/E126A以太網(wǎng)交換機(jī)操作手冊(cè)[M].華三通信技術(shù)有限公司，2010，4.

[3] cisco. CCNP BSCI Student Guide Version 3.0 Vol.1（2006）[M].cisco，2006，6.

[4] Charles M.Kozierok. TCP/IP指南（卷I）：底層核心協(xié)議[M].北京：人民郵電出版社，2008，5.

[5] Douglas E.Comer.用TCP/IP進(jìn)行網(wǎng)際互聯(lián)第I卷-原理、協(xié)議與結(jié)構(gòu)[M].5版.北京：電子工業(yè)出版社，2008，11.endprint

· port-security intrusion-mode disableport-temporarily

6 網(wǎng)絡(luò)設(shè)備本身的安全

校園網(wǎng)中，任何一臺(tái)主機(jī)運(yùn)行“telnet 自己主機(jī)網(wǎng)關(guān)”，都能得到響應(yīng)。這個(gè)響應(yīng)當(dāng)然是來(lái)自核心交換機(jī)。H3C交換機(jī)默認(rèn)情況下響應(yīng)任何對(duì)自己的telnet請(qǐng)求。用戶盡管不知道用戶名和密碼，但讓惡意用戶這樣無(wú)休止的嘗試是不能讓人接受的。

可以使用訪問(wèn)控制列表來(lái)防范這種威脅，配置如下（以圖2的核心交換機(jī)配置為例，其余同）：

首先創(chuàng)建合適的ACL，只響應(yīng)來(lái)自合法IP地址telnet，如下所示。

· acl number 2000 name limit-telnet-access

· step 10

· rule 0 permit source 192.168.100.0 0.0.0.255

· rule 10 permit source 192.168.12.181 0

· rule 20 deny

然后在vty接口上實(shí)施該規(guī)則，如下所示。

· user-interface vty 0 15

· acl 2000 inbound

· authentication-mode scheme

· idle-timeout 30 0

7 結(jié)束語(yǔ)

自從在校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的交換機(jī)層面實(shí)施本文前述的各種規(guī)則之后，效果確實(shí)是不錯(cuò)。合理發(fā)掘網(wǎng)絡(luò)設(shè)備本身的功能，充分發(fā)揮其最大效能，將使你的網(wǎng)絡(luò)更加穩(wěn)健流暢。

以上所述是本人在管理校園內(nèi)部網(wǎng)絡(luò)時(shí)的心得體會(huì)，希望能夠得到同行的指教或?qū)ν杏兴鶐椭?/p>

參考文獻(xiàn)：

[1] 華三通信技術(shù)有限公司.S7500E系列以太網(wǎng)交換機(jī)操作手冊(cè)-Release 6600系列（V1.00）[M].華三通信技術(shù)有限公司，2009，5.

[2] 華三通信技術(shù)有限公司. E126/E126A以太網(wǎng)交換機(jī)操作手冊(cè)[M].華三通信技術(shù)有限公司，2010，4.

[3] cisco. CCNP BSCI Student Guide Version 3.0 Vol.1（2006）[M].cisco，2006，6.

[4] Charles M.Kozierok. TCP/IP指南（卷I）：底層核心協(xié)議[M].北京：人民郵電出版社，2008，5.

[5] Douglas E.Comer.用TCP/IP進(jìn)行網(wǎng)際互聯(lián)第I卷-原理、協(xié)議與結(jié)構(gòu)[M].5版.北京：電子工業(yè)出版社，2008，11.endprint

· port-security intrusion-mode disableport-temporarily

6 網(wǎng)絡(luò)設(shè)備本身的安全

校園網(wǎng)中，任何一臺(tái)主機(jī)運(yùn)行“telnet 自己主機(jī)網(wǎng)關(guān)”，都能得到響應(yīng)。這個(gè)響應(yīng)當(dāng)然是來(lái)自核心交換機(jī)。H3C交換機(jī)默認(rèn)情況下響應(yīng)任何對(duì)自己的telnet請(qǐng)求。用戶盡管不知道用戶名和密碼，但讓惡意用戶這樣無(wú)休止的嘗試是不能讓人接受的。

可以使用訪問(wèn)控制列表來(lái)防范這種威脅，配置如下（以圖2的核心交換機(jī)配置為例，其余同）：

首先創(chuàng)建合適的ACL，只響應(yīng)來(lái)自合法IP地址telnet，如下所示。

· acl number 2000 name limit-telnet-access

· step 10

· rule 0 permit source 192.168.100.0 0.0.0.255

· rule 10 permit source 192.168.12.181 0

· rule 20 deny

然后在vty接口上實(shí)施該規(guī)則，如下所示。

· user-interface vty 0 15

· acl 2000 inbound

· authentication-mode scheme

· idle-timeout 30 0

7 結(jié)束語(yǔ)

自從在校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的交換機(jī)層面實(shí)施本文前述的各種規(guī)則之后，效果確實(shí)是不錯(cuò)。合理發(fā)掘網(wǎng)絡(luò)設(shè)備本身的功能，充分發(fā)揮其最大效能，將使你的網(wǎng)絡(luò)更加穩(wěn)健流暢。

以上所述是本人在管理校園內(nèi)部網(wǎng)絡(luò)時(shí)的心得體會(huì)，希望能夠得到同行的指教或?qū)ν杏兴鶐椭?/p>

參考文獻(xiàn)：

[1] 華三通信技術(shù)有限公司.S7500E系列以太網(wǎng)交換機(jī)操作手冊(cè)-Release 6600系列（V1.00）[M].華三通信技術(shù)有限公司，2009，5.

[2] 華三通信技術(shù)有限公司. E126/E126A以太網(wǎng)交換機(jī)操作手冊(cè)[M].華三通信技術(shù)有限公司，2010，4.

[3] cisco. CCNP BSCI Student Guide Version 3.0 Vol.1（2006）[M].cisco，2006，6.

[4] Charles M.Kozierok. TCP/IP指南（卷I）：底層核心協(xié)議[M].北京：人民郵電出版社，2008，5.

[5] Douglas E.Comer.用TCP/IP進(jìn)行網(wǎng)際互聯(lián)第I卷-原理、協(xié)議與結(jié)構(gòu)[M].5版.北京：電子工業(yè)出版社，2008，11.endprint