当前位置：首页 > 实用文档 > 其他范文> 交换机的安全因子

交换机的安全因子

时间：2022-08-17 07:58:12 其他范文收藏本文下载本文

交换机的安全因子（合集7篇）由网友“小猪”投稿提供，以下是小编整理过的交换机的安全因子，仅供参考，希望能够帮助到大家。

交换机的安全因子

篇1：交换机的安全因子

如果说网络的安全现在已经被武装到电源，一点也不过分，安全，从来没有被提高到如此的高度。安全交换机网络界的新宠儿，网络入口的守关者，志在向一切不安全的因素举起大刀。网络时代的到来使得安全问题成为一个迫切需要解决的问题；病毒、以及各种各样漏洞的存在，使得安全任务在

安全交换机三层含义

交换机最重要的作用就是转发数据，在攻击和病毒侵扰下，交换机要能够继续保持其高效的数据转发速率，不受到攻击的干扰，这就是交换机所需要的最基本的安全功能。同时，交换机作为整个网络的核心，应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是，交换机还应该配合其他网络安全设备，对非授权访问和网络攻击进行监控和阻止。

都有哪些安全功能

802.1x加强安全认证

在传统的局域网环境中，只要有物理的连接端口，未经授权的网络设备就可以接入局域网，或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样给一些企业造成了潜在的安全威胁。另外，在学校以及智能小区的网络中，由于涉及到网络的计费，所以验证用户接入的合法性也显得非常重要，

IEEE 802.1x 正是解决这个问题的良药，目前已经被集成到二层智能交换机中，完成对用户的接入安全审核。

802.1x协议是刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议，其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段，达到了接受合法用户接入，保护网络安全的目的。

802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性，实现了LAN端口上的设备认证。在认证过程中，LAN端口要么充当认证者，要么扮演请求者。在作为认证者时，LAN端口在需要用户通过该端口接入相应的服务之前，首先进行认证，如若认证失败则不允许接入；在作为请求者时，LAN端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何不信任的设备的数据流会被自动丢弃，从而确保最大限度的安全性。

在802.1x协议中，只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。

1. 客户端。一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。

篇2：网络交换机安全小技巧

一、通过访问控制列表来限制用户的访问

通过使用访问控制列表来限制管理访问和远程接入，就可以有效防止对管理接口的非授权访问和Dos拒绝服务攻击。其实这个配置是很基础的内容。如可以在企业边缘路由器上(连接到互联网的路由器)，进行访问控制列表配置，拒绝从互联网接口接受Ping命令。

另外如果企业有虚拟局域网设置，那么这个访问控制列表还可以跟其结合使用，进一步提高虚拟局域网的安全性。如可以设置只有网络管理员才可以访问某个特定的虚拟局域网等等。再如可以限制用户在上班时间访问娱乐网站、网上炒股、网络游戏等等可能会危害企业网络安全的行为。笔者认为，访问控制列表是一个很好的安全工具。可惜的是，不少网络管理员可能认为其太简单了，而忽视了这个技术的存在。却不知道，简单的往往是比较实用的。故笔者建议各位读者，还是需要好好研究一下访问控制列表。在购买安全设备之前，想想能否通过访问控制列表来实现安全方面的需求。尽量不要购买第三方的安全产品，以降低网络的复杂性。

二、配置系统警告标语，以起到警示的作用

我们到超市或者书店的时候，往往会看到“市场已安装涉嫌头、请各位自重”的标语。这种标语会在无形中给小偷一种心理的警示。其实在企业网络交换机安全规划中，也可以设计一个警告标语，让攻击者知难而退。

笔者认为，无论是出于安全或者管理的目的，配置一条在用户登录前线时的系统警告标语是一种方便、有效的实施安全和通用策略的方式。即在用户连接到交换机、在输入用户名与密码之前，向用户提供一个警告标语。标语可以是这台设备的用途，也可以是警告用户不要进行非授权访问的警示语。就好像超市中“安装摄像头”的警示语一样，对非法访问的用户起到一个警示的作用。在用户正式登陆之前，网络管理员可以让交换机明确的指出交换机的归属、使用方法、安全措施(可以适当的夸大)、访问权限以及所采取的保护策略(这也可适当夸大)。如可以说明将对用户所采用的IP地址进行合法性验证等等。以起到应有的警示作用。

三、为交换机配置一把安全的钥匙

现在市场上的交换机，通常对口令采用的都是MD5加密方法。如以思科的多层交换机为例，通过使用enable secret命令，可以进入系统的特权模式，设置相关的口令。不过需要注意的是，此时虽然对口令进行了加密处理，但是这个加密机制并不是很复杂。通常情况下，可以采用字典攻击来解除用户设置的口令。那这是否说明不需要为交换机设置口令呢?其实这是一个误解。

我们在设置交换机口令的时候，可以增加口令的复杂性，来提高解除的难度。这就好像银行卡密码一样。其理论上也可以通过采用字典攻击的方式来解除密码。但是只要将密码设置的复杂一些(如不要采用相同的数字、生日、电话号码作为密码)，同时设置密码策略(如密码连续错误三次将锁住)，如此就可以提高这个密码的安全性。

对于交换机来说，也是这个道理。虽然其只是采用了MD5加密机制，可以通过字典攻击来解除。但是我们仍然可以通过加强密码的复杂性，让字典攻击知难而退。这个道理，可能大家都懂得。在学校的网络安全课程上，这也是一个基础性的内容。可是真的到了实际工作中，很多人都忽视了其的存在。笔者认为，可以在交换机的密码中加入一些特殊的字符，如标点符号，或者大小写、字母与数字混用等等，来为交换机配置比较坚固的口令。

四、CDP协议要尽量少用

CDP思科发现协议是思科网络设备中一个比较重要的协议。其可以传播网络设备的详细信息。如在多层交换网络中，辅助Vlan和其他的专用解决方案需要CDP协议的支持。所以默认情况下，这个协议是开启的。但是我们做安全的人员需要注意，这个协议会带来比较大的安全隐患。我们需要在安全与实用性之间取得一个均衡。通常情况下，我们并不需要在所有的交换机等网络设备上都启用这个协议。或者说，这个协议要尽量的少用，要用在刀口上。

如CDP协议通常情况下只有管理员才用的着。所以安全人员可以在交换机的每个接口上都禁用CDP协议，而只为管理目的运行CDP协议。如通常情况下，需要在交换机的廉洁上和IP电话连接的接口上启用CDP协议。

再如可以考虑只在受控制范围内定设备之间运行CDP协议。这主要是因为CDP协议时一种链路级别的协议。通常情况下除非使用了第二层隧道机制，否则的话它是不会通过Wan进行端到端的传播。这也就是说，对于Wan连接，CDP表中可能包含服务器提供的下一跳路由器或者交换机的信息，而不是企业控制之下的远端路由器。总之就是不要再不安起的连接(一般Internet连接被认为是不安全的)上运行CDP协议。

总之，CDP协议在某些方面确实很有用。但是从安全的角度讲，不能够对CDP协议进行滥用。而应该将其用在刀刃上，在必需的接口上启用CDP协议。

五、注意SNMP是一把双刃剑

SNMP协议通CDP协议一样，其安全性也一直备受争议。笔者认为，SNMP协议是一把双刃剑。从管理角度讲，很多网络管理员离不开SNMP协议。但是从安全角度讲，其确实存在着比较大的安全隐患。这主要是因为SNMP协议在网络中通常是通过明文来传输的。即使是采用了SNMPV2C，其虽然采用了身份验证技术。但是其身份验证信息也是由简单的文本字符组成。而这些字符则是通过明文来进行传输。这就给企业的网络安全造成了隐患。

遇到这种情况时，安全管理人员应该采取适当的措施来确保SNMP协议的安全。笔者常用的手段是升级SNMP协议，采用SNMPV3版本。在这个版本中，可以设置对于传输的数据都采用加密处理，从而确保通信流量的安全性。

其次，可以结合上面谈到的访问控制列表来加强SNMP协议的安全性。如在访问控制列表中设置，交换机只转发那些来自受信子网或者工作站(其实就访问控制列表中定义允许的子网或者工作站的IP地址)的SNMP通信流量通过交换机。一般来说，只要做到这两点，SNMP协议的安全是有所保障的。

除此之外，限制链路聚集连接、关闭不需要的服务、少用HTTP协议等等，都是企业网络安全管理中的细节方面的内容。根据笔者的经验，大部分企业只要把握住这些细节，并不需要购买额外的安全设别，就可以满足企业在安全方面的需求。当然，像银行等金融机构，对安全性级别要求特高，那在做好这些细节时，还需要购买专业的安全设备。

篇3：Cisco路由器交换机安全配置

一、网络结构及安全脆弱性

为了使设备配置简单或易于用户使用，Router或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁：

1. DDOS攻击

2. 非法授权访问攻击，

口令过于简单，口令长期不变，口令明文创送，缺乏强认证机制。

3．IP地址欺骗攻击

….

利用Cisco Router和Switch可以有效防止上述攻击。

二、保护路由器

2.1 防止来自其它各省、市用户Ddos攻击

最大的威胁：Ddos, hacker控制其他主机，共同向Router访问提供的某种服务，导致Router利用率升高。

Ddos是最容易实施的攻击手段，不要求有高深的网络知识就可以做到。

如SMURF DDOS 攻击就是用最简单的命令ping做到的。利用IP 地址欺骗，结合ping就可以实现DDOS攻击。

防范措施：

应关闭某些缺省状态下开启的服务，以节省内存并防止安全破坏行为/攻击

Router(config-t)#no service finger

Router(config-t)#no service pad

Router(config-t)#no service udp-small-servers

Router(config-t)#no service tcp-small-servers

Router(config-t)#no ip http server

Router(config-t)#no service ftp

Router(config-t)#no ip bootp server

以上均已经配置。

防止ICMP-flooging攻击

Router(config-t)#int e0

Router(config-if)#no ip redirects

Router(config-if)#no ip directed-broadcast

Router(config-if)#no ip proxy-arp

Router(config-t)#int s0

Router(config-if)#no ip redirects

Router(config-if)#no ip directed-broadcast

Router(config-if)#no ip proxy-arp

以上均已经配置。

除非在特别要求情况下，应关闭源路由:

Router(config-t)#no ip source-route

以上均已经配置。

禁止用CDP发现邻近的cisco设备、型号和软件版本

Router(config-t)#no cdp run

Router(config-t)#int s0

Router(config-if)#no cdp enable

如果使用works网管软件，则不需要此项操作

此项未配置。

使用CEF转发算法，防止小包利用fast cache转发算法带来的Router内存耗尽、CPU利用率升高。

Router(config-t)#ip cef

2.2 防止非法授权访问

通过单向算法对 “enable secret”密码进行加密

Router(config-t)#enable secret

Router(config-t)#no enable password

Router(config-t)#service password-encryption

?vty端口的缺省空闲超时为10分0秒

Router(config-t)#line vty 0 4

Router(config-line)#exec-timeout 10 0

应该控制到VTY的接入，不应使之处于打开状态;Console应仅作为最后的管理手段:

如只允许130.9.1.130 Host 能够用Telnet访问.

access-list 110 permit ip 130.9.1.130 0.0.0.0 130.1.1.254 0.0.0.0 log

line vty 0 4

access-class 101 in

exec-timeout 5 0

2.3 使用基于用户名和口令的强认证方法 Router(config-t)#username admin pass 5 434535e2

Router(config-t)#aaa new-model

Router(config-t)#radius-server host 130.1.1.1 key key-string

Router(config-t)#aaa authentication login neteng group radius local

Router(config-t)#line vty 0 4

Router(config-line)#login authen neteng

三、保护网络

3.1防止IP地址欺骗

经常冒充地税局内部网IP地址，获得一定的访问权限，

在省地税局和各地市的WAN Router上配置：

防止IP地址欺骗--使用基于unicast RPF(逆向路径转发)

包发送到某个接口，检查包的IP地址是否与CEF表中到达此IP地址的最佳路由是从此接口转发，若是，转发，否则，丢弃。

Router(config-t)#ip cef

Router(config-t)#interface e0

Router(config-if)# ip verify unicast reverse-path 101

Router(config-t)#access-list 101 permit ip any any log

注意：通过log日志可以看到内部网络中哪些用户试图进行IP地址欺骗。

此项已配置。

防止IP地址欺骗配置访问列表

防止外部进行对内部进行IP地址

Router(config-t)#access-list 190 deny ip 130.9.0.0 0.0.255.255 any

Router(config-t)#access-list 190 permit ip any any

Router(config-t)#int s4/1/1.1

Router(config-if)# ip access-group 190 in

防止内部对外部进行IP地址欺骗

Router(config-t)#access-list 199 permit ip 130.9.0.0 0.0.255.255 any

Router(config-t)#int f4/1/0

Router(config-if)# ip access-group 199 in

四、保护服务器

对于地税局内部的某些Server,如果它不向各地提供服务可以在总局核心Cisco Router上配置空路由。

ip route 130.1.1.1 255.255.255.255.0 null

在WAN Router上配置CBAC,cisco状态防火墙，防止Sync Flood攻击

hr(config)#int s0/0

hr(config-if)#ip access-group 100 in

hr(config)#int f0/0

hr(config-if)#ip inspect insp1 in

hr(config)#ip inspect audit-trial

hr(config)#ip inspect name insp1 tcp

hr(config)#ip inspect max-incomplete high 350

hr(config)#ip inspect max-incomplete low 240

hr(config)#ip audit

hr(config)#access-list 100 permit tcp any 130.1.1.2 eq 80

在WAN Router 上配置IDS入侵检测系统

hr(config)#ip audit name audit1 info action alarm

hr(config)#ip audit name audit1 attack action alarm drop

reset

hr(config)#ip audit audit1 notify log

hr(config)#int s0/0

hr(config)#ip audit audit1 in

五、网络运行监视

配置syslog server,将日志信息发送到syslog server上

Syslog Server纪录Router的平时运行产生的一些事件，如广域口的up, down

, OSPF Neighbour的建立或断开等，它对统计Router的运行状态、流量的一些状态，电信链路的稳定有非常重要的意义，用以指导对网络的改进。

篇4：Cisco交换机端口安全介绍

通过端口设置,可以限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的输入,最终确保网络接入安全.

配置网络安全时应该注意如下问题：

1.下面四种端口不能设置：

a.不能是Trunk口.

b.不能是SPAN口

c.不能是EtherChannel口

d.不能是private-VLAN口

2.实现安全端口的大致步骤

a.#conf t

#int interface_id

config-if#switchport mode access

config-if#switchport port-security (启用安全模式)

config-if#switchport port-security maximum value (value=1-3072,指该端口所接计算机台数)

config-if#switchport port-security limit rate invalid-source-mac

config-if#switchport port-security [aging time aging_time |type{absolute|inactivity}] (设置安全端口的老化时间,范围是0-1440min，是可选的)

config-if#switchport port-security mac-address sticky (启用sticky learning)

最后别忘记保存设置：

#copy running-config startup-config

在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址，

ip与mac地址的绑定，这种绑定可以简单有效的防止ip被盗用，别人将ip改成了你绑定了mac地址的ip后，其网络不同，（tcp/udp协议不同，但netbios网络共项可以访问），

具体做法：

cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA

这样就将10.138.208.81 与mac:0000.e268.9980 ARPA绑定在一起了

三、ip与交换机端口的绑定，此种方法绑定后的端口只有此ip能用，改为别的ip后立即断网。有效的防止了乱改ip。

cisco(config)# interface FastEthernet0/17

cisco(config-if)# ip access-group 6 in

cisco(config)#access-list 6 permit 10.138.208.81

这样就将交换机的FastEthernet0/17端口与ip:10.138.208.81绑定了。

方案1——基于端口的MAC地址绑定:

思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令:

Switch#config terminal ＃进入配置模式

Switch(config)# Interface fastethernet 0/1 ＃进入具体端口配置模式

Switch(config-if)switchport port-security mac-address MAC(主机的MAC地址)

＃配置该端口要绑定的主机的MAC地址

Switch(config-if)no switchport port-security mac-address MAC(主机的MAC地址)

＃删除绑定主机的MAC地址

注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用，

（以上功能适用于思科2950、3550、4500、6500系列交换机）

方案2——基于MAC地址的扩展访问列表

Switch(config)Mac access-list extended MAC10

＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10

Switch(config)permit host 0009.6bc4.d4bf any

＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机

Switch(config)interface fa0/20

#进入配置具体端口模式

Switch(config)mac access-group MAC10 in

＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）

Switch(config)no mac access-list extended MAC10

＃清除名为MAC10的访问列表

此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

注意：以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交换机运行增强的软件镜像（Enhanced Image）

方案3——IP地址的MAC地址绑定

只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。

Switch(config)mac access-list extended MAC10

#定义一个MAC地址访问控制列表并命名为MAC10

Switch(config)permit host 0009.6b4c.d4bf any

#定义MAC地址为0009.6b4c.d4bf 的主机可以访问任何主机

Switch(config)permit any host 0009.6b4c.d4bf

#定义任何主机可以访问MAC为0009.6b4c.d4bf的主机

Switch(config)ip access-list extended IP10

#定义一个IP地址访问控制列表并且命名为IP10

Switch(config)permit 192.168.0.1 0.0.0.0 any

#定义IP地址为192.168.0.1的主机可以访问任何主机

Switch(config)permit any 192.168.0.1 0.0.0.0

#定义任何主机都可以访问IP地址为192.168.0.1的主机

完成了这一步就可以进入端口配置模式去配置端口啦!

Switch(config)int fa0/20

#进入端口配置模式

Switch(config-if)

＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）

Switch(config-if)ip access-group IP10 in

＃在该端口上应用名为MAC10的访问列表（IP访问控制列表哟）

下面是清除端口上的访问控制列表

Switch(config-if)no mac access-group MAC10 in

篇5：交换机安全防范技术(二)

上期为您介绍了交换机常用的广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术，本期将继续为您介绍交换机常用的安全防范技术，以下您将学到流量及端口限速控制技术、TCP属性及CPU负载控制技术、ARP技术、登录和访问交换机控制技术、镜像技术。

流量及端口限速控制技术

为了防止因大流量数据传输引起的端口阻塞，消除恶意用户或者中毒用户对网络的影响，可以采用流量及端口限速控制技术。

配置端口流量阈值

通过配置端口流量阈值，系统可以周期性地对端口的数据流量进行监控。当端口的数据流量超出配置的阈值后，系统将根据指定的方式进行处理：自动关闭端口并发送告警信息或仅发送告警信息。在以太网端口视图下配置端口的流量阈值及超出阈值后的处理方式：

flow-constrain time-value flow-value { bps | pps }

flow-constrain method { shutdown | trap }

流量监管

流量监管是基于流的速率限制，它可以监督某一流量的速率，如果流量超出指定的规格，就采用相应的措施，如丢弃那些超出规格的报文或重新设置它们的优先级。

端口限速

端口限速就是基于端口的速率限制，它对端口输出报文的总速率进行限制。

TCP属性及CPU负载控制技术

扫描、蠕虫病毒等都会引起过多TCP连接，CPU负载过重与此也有关系，适当地调整交换机的TCP属性和送达CPU的报文，可以有效地降低CPU负载。

配置TCP 属性

synwait定时器：当发送SYN报文时，TCP启动synwait定时器，如果synwait超时前未收到回应报文，则TCP连接将被终止。synwait定时器的超时时间取值范围为2～600秒，缺省值为75秒：

tcp timer syn-timeout time-value

finwait定时器：当TCP的连接状态由FIN_WAIT_1变为FIN_WAIT_2时，启动finwait 定时器，如果finwait定时器超时前仍未收到FIN报文，则TCP连接被终止。finwait的取值范围为76～3600秒，finwait的缺省值为675秒：

tcp timer fin-timeout time-value

面向连接Socket的接收和发送缓冲区的大小：范围为1～32K字节，缺省值为4K字节：

tcp window window-size

配置特殊IP报文是否送CPU处理

在交换机的IP报文转发过程中，通常重定向、TTL超时及路由不可达的报文会送到CPU，CPU在收到以上报文后会通知对方处理。但如果配置错误或有人恶意攻击，则会造成CPU负载过重，这时便可通过下面的命令设置相应报文不送CPU处理，以保护系统的正常运行。缺省情况下，重定向、路由不可达的报文不送CPU处理，TTL超时报文送CPU处理：

undo ip { redirects | ttl-expires | unreachables }

ARP技术

IP地址不能直接用来进行通信，因为链路层的网络设备只能识别MAC地址。ARP用于将IP地址解析为MAC地址，ARP动态执行并自动寻求IP地址到以太网MAC地址的解析，无需管理员的介入，也可以手工维护。通常将手工配置的IP地址到MAC地址的映射，称之为静态ARP。

免费ARP技术通过对外发送免费ARP报文，防止通过各种ARP欺骗手段产生的攻击。

动态ARP老化定时器

交换机允许用户指定动态ARP老化定时器的时间。动态地址表的老化时间是指在该表项从交换机地址表中删除之前的生存时间，若定时器超时，就将该表项从地址表中删除。缺省情况下，动态ARP老化定时器为20分钟：

arp timer aging aging-time

免费ARP技术

免费ARP功能：网络中设备可以通过发送免费ARP报文来确定其他设备的IP地址是否与自己冲突，

如果发送免费ARP报文的设备正好改变了硬件地址，那么这个报文就可以通知其他设备及时更新高速缓存中旧的硬件地址。例如：设备收到一个免费ARP报文后，如果高速缓存中已存在此报文对应的ARP表项，那么此设备就用免费ARP报文中携带的发送端硬件地址（如以太网地址）对高速缓存中相应的内容进行更新。设备接收到任何免费ARP报文都要完成这个操作。

免费ARP报文的特点：报文中携带的源IP和目的IP地址都是本机地址，报文源MAC地址是本机MAC地址。当设备收到免费ARP报文后，如果发现报文中的IP地址和自己的IP地址冲突，则给发送免费ARP报文的设备返回一个ARP应答，告知该设备IP地址冲突。缺省情况下，交换机的免费ARP报文发送功能处于开启状态，免费ARP报文学习功能处于关闭状态。在系统视图下免费ARP的配置过程如下：

arp send-gratuitous enable

gratuitous-arp-learning enable

登录和访问交换机控制技术

目前，以太网交换机提供了多种用户登录、访问设备的方式，主要有通过Console口、SNMP访问、通过TELNET或SSH访问和通过HTTP访问等方式。以太网交换机提供对这几种访问方式进行安全控制的特性，防止非法用户登录、访问交换机设备。

安全控制分为两级：第一级安全通过控制用户的连接实现，通过配置ACL对登录用户进行过滤，只有合法用户才能和交换机设备建立连接；第二级安全主要通过用户口令认证实现，连接到设备的用户必须通过口令认证才能真正登录到设备。

设置口令

为防止未授权用户的非法侵入，必须在不同登录和访问的用户界面（AUX用户界面用于通过Console口对以太网交换机进行访问，VTY用户界面用于通过Telnet对以太网交换机进行访问）设置口令，包括容易忽略的SNMP的访问口令（一定不要用public的默认口令）和Boot Menu口令，同时设置登录和访问的默认级别和切换口令。

在不同登录和访问的用户界面，使用如下命令设置口令：

authentication-mode password

set authentication password { cipher | simple } password

配置ACL对登录用户进行过滤

通过配置ACL对登录用户进行过滤控制，可以在进行口令认证之前将一些恶意或者不合法的连接请求过滤掉，保证设备的安全。配置ACL对登录用户进行过滤控制需要定义访问控制列表和引用访问控制列表。

配置举例及步骤：仅允许来自10.10.1.66和10.10.1.78的TELNET用户访问交换机：

# 定义基本访问控制列表。

[Quidway] acl number match-order config

[Quidway-acl-basic-2008] rule 1 permit source 10.10.1.66 0

[Quidway-acl-basic-2008] rule 2 permit source 10.10.1.78 0

[Quidway-acl-basic-2008] quit

# 引用访问控制列表。

[Quidway] user-interface vty 0 4

[Quidway-user-interface-vty0-4] acl 2008 inbound

镜像技术

以太网交换机提供基于端口和流的镜像功能，即可将指定的1个或多个端口的报文或数据包复制到监控端口，用于报文的分析和监视、网络检测和故障排除（以S6500系列为例）：

mirroring-group groupId { inbound | outbound } mirroring-port-list 1-8 mirrored-to mornitor-port

由于大多数对局域网危害较大的网络病毒和人为破坏都具有典型的欺骗和扫描、快速发包、大量ARP请求等特征，考虑局域网的实际情况，综合采用上述技术中的某几种，在接入层、汇聚层交换机上分级配置，可以在一定程度上自动阻断恶意数据包，及时告警，准确定位病毒源、故障或干扰点，及时采取措施，把对局域网的危害减轻到尽可能小的程度。

篇6：功率因子

这个数值通常介于0与1之间，而且其数值绝对不能大于1，它是W(实功率)与VA(虚功率)值之间的比数，而比数的高与低，比数越高则电器本身的效能越好，反之比数越低，则表示电器本身所消耗的能源越大，也就越耗电，

功率因子

，

篇7：让交换机路由器更加安全三种办法

正文：传统的网络安全技术侧重于系统入侵检测，反病毒软件或防火墙。内部安全如何？在网络安全构造中，交换机和路由器是非常重要的，在七层网络中每一层都必须是安全的。很多交换机和路由器都有丰富的安全功能，要了解有些什么，如何工作，如何部署，一层有问题时不会影响整个网络。交换机和路由器被设计成缺省安全的，出厂时就处于安全设置的状态，特别操作的设置在用户要求时才会被激活，所有其他选项都是关闭的，以减少危险，网管员也无需了解哪些选项应该关闭。

在初始登录时会被强制要求更改密码，也有密码的期限选项及登录尝试的次数限制，而且以加密方式存储。限期的帐号（维护帐号或后门）是不会存在的。交换机及路由器在掉电，热启动、冷启动，升级IOS、硬件或一个模块失败的情况下都必须是安全的，而且在这些事件发生后应该不会危及安全并恢复运作，因为日志的原因，网络设备应该通过网络时间协议保持安全精确的时间。通过SNMP协议连接管理的名称也应该被改变，

抵挡DoS攻击

从可用性出发，交换机和路由器需要能抵挡拒绝服务式Dos攻击，并在攻击期间保持可用性。理想状态是他们在受到攻击时应该能够做出反应，屏蔽攻击IP及端口。每件事件都会立即反应并记录在日志中，同时他们也能识别并对蠕虫攻击做出反应。

交换机及路由器中使用FTP，HTTP，TELNET或SSH都有可以有代码漏洞，在漏洞被发现报告后，厂商可以开发、创建、测试、发布升级包或补丁。

基于角色的管理给予管理员最低程序的许可来完成任务，允许分派任务，提供检查及平衡，只有受信任的连接才能管理倔们。管理权限可赋予设备或其他主机，例如管理权限可授予一定IP地址及特定的TCP/UDP端口。

控制管理权限的最好办法是在授权进入前分权限，可以通过认证和帐户服务器，例如远程接入服务，终端服务，或LDAP服务。

远程连接的加密

很多情况下，管理员需要远程管理交换机及路由器，通常只能从公共网络上访问。为了保证管理传输的安全，需要加密协议，SSH是所有远程命令行设置和文件传输的标准协，基于WEB的则用SSL或TLS协议，LDAP通常是通讯的协议，而SSL/TLS则加密此通讯。

SNMP用来发现、监控、配置网络设备，SNMP3是足够安全的版本，可以保证授权的通信。