交换机设置之Nortel 8006交换机安全管理

交换机设置之Nortel 8006交换机安全管理（集锦3篇）由网友“qweewwe31”投稿提供，以下是小编帮大家整理后的交换机设置之Nortel 8006交换机安全管理，仅供参考，希望能够帮助到大家。

篇1：交换机设置之Nortel 8006交换机安全管理

交换机设置之Nortel 8006交换机安全管理

随着网络技术的飞跃发展，现在像Nortel 8006这种交换机已经很少还在使用，加上Nortel公司已经申请破产，相应的技术支持也得不到保障，在此有必要对Nortel 8006交换机安全管理方面的工作进行一些学习，更好的应付平时的网络安全检查和内控审计检查工作，在这里就Nortel 8006交换机安全访问控制策略及相应的DM软件设置跟大家交流下。

我们知道 在Nortel 8006配置里面有一条默认的访问控制策略，其id号为1 ，它默认是允许所有的主机访问，并且像telnet、snmp等服务默认也是开启的，使用默认accessLevel RO 的字符串来进行相应的通信。DM软件主要是使用snmp服务，并且需要设置read community和write community来进行相互之间的通信，而read 和write这两个字符串就是新建访问策略设置accesslevel时所对应的snmp community，下面详细讲解id号为2的访问策略的具体配置。

一、访问策略的新建及服务的开启

config sys access-policy policy 2 create命令是用来新建一个id号为2的访问策略，如果你想让某一条访问策略失效，如id号为2的策略，可以使用config sys access-policy policy 2 disable命令。新建完后默认情况下是执行allow操作，而config sys access-policy policy 2 mode deny命令则执行拒绝操作，并且默认是开启了telnet、snmp 、http和ssh服务，如果你要开启rlogin服务，使用命令config sys access-policy policy 2 service rlogin enable，如果你想停止其中的一项服务，如snmp服务，使用config sys access-policy policy 2 service snmp disable命令，由于DM软件需要使用snmp服务，所以在这里就不要停止snmp服务，

二、设置accesslevel

使用config sys access-policy policy 2 accesslevel ro|rw|rwa命令来设置访问策略2的具体访问权限，等下我们会讲到这个accesslevel权限所对应的snmp community的设置，也即是DM软件使用所需要设置的read community和write community，设置完后使用config sys access-policy policy 2 access-strict true命令来使具体的accesslevel生效。

三、配置允许访问的主机或网络

接下来就是配置允许访问的主机或网络，比如允许IP地址为192.168.1.1的主机和地址范围段为192.168.1.33--192.168.1.62的网络访问，则使用命令config sys access-policy policy 2 host 192.168.1.1 和config sys access-policy policy 2 network 192.168.1.32 255.255.255.224。前面曾讲到系统存在默认id号为1的访问策略，所以在这里要把它删除，要不就还是允许所有的访问，那样上面配置的允许访问的主机或网络就不起作用，命令config sys access-policy policy 1 delete就是删除id号为1的访问策略。

四、启用访问策略及设置DM字符串

要使所配置的访问策略生效，使用命令config sys access-policy enable true就可以，到这里也就完成了Nortel 8006交换机的安全管理工作。前面说到在使用DM软件时需要设置read community和write community，而这两个字符串是accesslevel的具体权限所设置的字符串，比如在前面设置的accesslevel 为rwa，则使用config sys set snmp community rwa abcd1234命令就设置了访问权限为rwa的字符串为abcd1234，这个字符串也即是DM软件设置所需要的read community和write community。

网络设备的安全管理涉及到方方面面，上面只是其中的一小部分，由于安全管理是一项复杂、非常重要的工作，希望以后有机会和大家作进一步的探讨。

本文来自于胖鲨鱼网

篇2：交换机设置之VTP+STP+三层交换(综合实验)

实验主要内容：

1.VTP的配置

2.STP的配置

3.交换机的配置

4.路由器的配置

5.测试

实验拓扑:

1.VLAN划分

VLAN ID 为2～5

VLAN 1为管理VLAN，不用作用户VLAN，

2.VLAN的IP地址规划

VLAN ID

IP地址范围

网关地址

2

192.168.10.0/26

192.168.10.1/26

192.168.10.2/26

3

192.168.10.64/26

192.168.10.65/26

192.168.10.66/26

4

192.168.10.128/26

192.168.10.129/26

192.168.10.130/26

5

192.168.10.192/26

192.168.10.193/26

192.168.10.194/26

3.路由器IP地址规划

路由接口

IP地址

三层交换机路由接口

172.16.1.1/30

F0/0

172.16.1.2/30

F0/1

10.1.1.10/24

4.端口规划

三层交换机上的端口分配

两台三层交换机f0/1和f0/2接口配置Ethernetchannel

端口f0/10、f0/11、f0/12、f0/13用来连接接入层的二层交换机。

SW-3L-2的f0/24连接路由器，配置路由接口。

二层交换机的端口分配

F0/23～24连接三层交换机，配置Trunk（23连SW-3L-1，24连SW-3L-2）

F0/1～20连接主机，平均划分给VLAN。

配置过程：

VTP配置

两台三层为server其余二层均为client

SW-3L-1(config)#vtp domain cainiao

SW-3L-1(config)#vtp mode server

SW-3L-1(config)#vtp password 1234

SW-3L-1(config)#vtp version 2

SW-3L-1(config)#vtp pruning

SW-3L-2配置相同

SW-A(config)#vtp domain cainiao

SW-A(config)#vtp password 1234

SW-A(config)#vtp version 2

SW-A(config)#vtp pruning

SW-A(config)#vtp mode client

B、C、D配置相同

添加VLAN，划入端口的配置 略（按事先规划好的配置）

STP配置

SW-3L-1(config)#spanning-tree vlan 2 root primary

SW-3L-1(config)#spanning-tree vlan 3 root primary

SW-3L-2(config)#spanning-tree vlan 4 priority 4096

SW-3L-2(config)#spanning-tree vlan 5 priority 4096

SW-A(config)#spanning-tree uplinkfast

SW-A(config)#int f0/23

SW-A(config-if)#spanning-tree portfast

SW-A(config)#int f0/24

SW-A(config-if)#spanning-tree portfast

//配置上行速链路和速端口

B、C、D配置略

三层交换机的配置

SW-3L-1(config)#ip routing

SW-3L-2(config)#ip routing

SW-3L-1(config)#int range f0/1 – 2

SW-3L-1(config-if-range)#channel-group 1 mode on

Creating a port-channel interface Port-channel 1

//配置以太通道

SW-3L-2配置方法相同

SW-3L-2(config)#int f0/24

SW-3L-2(config-if)#no switchport //配置路由接口

SW-3L-2(config-if)#ip addr 172.16.1.1 255.255.255.252

SW-3L-2(config-if)#no shut

SW-3L-1(config)#int vlan 3

SW-3L-1(config-if)#ip helper-address 192.168.10.10 //在不连接DHCP服务器的VLAN上配置DHCP服务器地址，实现DHCP广播信息的中继转发，

SW-3L-1(config)#int vlan 4

SW-3L-1(config-if)#ip helper-address 192.168.10.10

SW-3L-1(config)#int vlan 5

SW-3L-1(config-if)#ip helper-address 192.168.10.10

SW-3L-2上的DHCP中继转发配置

SW-3L-1(config)#int vlan 2

SW-3L-1(config-if)#ip addr 192.168.10.1 255.255.255.192

SW-3L-1(config-if)#no shut

SW-3L-1(config-if)#exit

VLAN 3 VLAN 4 VLAN 5 IP地址配置（按事先规划好的配置）

SW-3L-1(config)#router rip

SW-3L-1(config-router)#version 2

SW-3L-1(config-router)#no auto-summary

SW-3L-1(config-router)#network 192.168.10.0

SW-3L-1(config-router)#network 192.168.10.64

SW-3L-1(config-router)#network 192.168.10.128

SW-3L-1(config-router)#network 192.168.10.192

SW-3L-2(config)#int vlan 2

SW-3L-2(config-if)#ip addr 192.168.10.2 255.255.255.192

SW-3L-2(config-if)#no shut

SW-3L-2(config-if)#exit

VLAN 3 VLAN 4 VLAN 5 IP地址配置略（按事先规划好的配）

SW-3L-2的RIPv2配置和SW-3L-1相同

路由器的配置

Router(config)#int f0/0

篇3：交换机设置之CatOS系统交换机上的SPAN设置

交换机设置之CatOS系统交换机上的SPAN设置

本节所介绍的内容适用于运行 CatOS 映像系统的 思科2900/4500/4000/5500/5000/6500/6000系列交换机，但对于 思科Catalyst 2900 系列交换机，仅以下型号支持 SPAN：

Cisco Catalyst 2948GL2

Cisco Catalyst 2948GGETX

Cisco Catalyst 2980GA

对于 思科Catalyst 4000 系列交换机，对于模块机箱式交换机，仅有 Cisco Catalyst 4003 和Cisco Catalyst 4006 两个型号的交换机支持 SPAN；对于固定配置交换机，仅有 Cisco Catalyst 4912G型号的交换机支持 SPAN。

本地SPAN 配置（1）

SPAN 功能已逐渐添加到运行 CatOS 系统的交换机上。在这些交换机上，SPAN 配置是由一系列的 set span 命令组成的，并且有许多可选项，具体命令格式如下（参数说明如表14-2所示）：

set?span?disable?[dest_mod/dest_port|all]?

?

或

set?span? < src_mod |src_ports...|src_vlans...|sc0 >? < dest_mod /dest_port >?[rx|tx|both][inpkts? < enable |disable >] ?

[learning? < enable |disable >]?[multicast? < enable |disable >]?[filter? < vlans... >][create]?

?

表 14-2 CatOS 系统交换机中的 set span 命令参数说明

sc0：在需要监控 sc0 管理接口通信时，可以在 SPAN 配置中指定 sc0 关键字。这个选项仅可以在运行 CatOS 5.1 或更高版本的 Catalyst 5500/5000/6500/6000 系列交换机上使用。

inpkts enable|disable：这个选项极其重要，但仅在 CatOS 4.2 及以上版本映像交换机中支持。配置为 SPAN 目标端口的端口仍将属于它原来的VLAN。如果这个端口是普通访问端口，则在目标端口上接收到数据包后进入 VLAN。如果使用一个 PC 作为 Sniffer 监控器，则可能需要这台 PC 与这个VLAN 全面连接。如果连接目标端口到其他在网络中创建了环路的设备，这样的连接会存在风险，

目标 SPAN 端口不支持运行 STP，可以在这种情况下结束这个存在风险的桥接环。这个选项的默认设置是禁止的，也就是说目标SPAN 端口会放弃在端口上接收的包，以阻止桥接环的产生。

learning enable|disable：这个选项允许禁止目标端口的学习功能。默认情况下，学习功能是启用的，目标端口可以从端口上接收的数据包中学习到MAC 地址。这个功能在 CatOS 5.2 的 Catalyst4500/4000/5500/5000 系列和 CatOS 5.3 的 Catalyst 6500/6000 系列交换机中支持。

multicast enable|disable：这个选项用来启用或禁止多播数据包的监控，默认是启用的。这个功能在运行 CatOS 5.1 或更高版本的 Catalyst 5500/5000/6500/6000 系列交换机上可用。

在 Catalyst 6500/6000 系列交换机上，可以通过 spanning port 15/1 命令使用15/1 或 16/1 端口作为 SPAN 源端口。这个端口可以监控转发到 MSFC（Multilayer Switch Feature Card，多层交换功能卡）上的通信。这个端口捕获到的是软路由或直接连接到 MSFC 的通信。

下面仅以最新的 CatOS 系统 Catalyst 6500/6000 系列交换机为例进行 SPAN 和 RSPAN 配置介绍。图14-11所示为Catalyst 6500/6000 系列交换机第6 插槽中的部分线路卡。在本示例中，配置如下：

图14-11 Catalyst 6500/6000 系列交换机第6 插槽中的线路卡

本地SPAN 配置（2）

VLAN 1 端口 6/1 和 6/2 属于 VLAN 1。

VLAN 2 端口 6/3 属于 VLAN 2。

VLAN 3 端口 6/4 和 6/5 属于 VLAN 3。

在 6/2 端口中连接一个 Sniffer 监控器，并在几种不同情形使用这个端口作为监控端口（也就是前面所说的 SPAN 目标端口）。

1．监控单一端口

可以使用 set span 命令来监控单一端口，语法格式为：

set?span?source_port?destination_port?

参数 source_port 和 destination_port 分别用来指定 SPAN 源端口和 SPAN 目标端口。如以下命

令可以监控图 14-11中端口 6/1 上的通信到端口 6/2 上。

switch.(enable) >.set.span.6/1.6/2.

.

每个在 6/1 端口接收或发送的数据包都将复制一份到 6/2 端口。使用 show span 命令可以查看当前 SPAN 配置汇总，如下：

switch.(enable). >show.span .

★ NORTEL笔试题目

★ 网络工程师面试

★ 下半年网络工程师填空题总结

★ 软交换技术怎样打造多业务的提供和转接

★ 留学加拿大卑诗大学计算机专业详解

★ 关于路由器匹配主信号的问题

★ 广东北电(Nortel)笔试题目

★ 浅析智能光网络技术及发展

★ 摩托罗拉CEO：聪明，还是走运？

★ 参加学术报告心得体会报告

《交换机设置之Nortel 8006交换机安全管理.doc》

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档

【交换机设置之Nortel 8006交换机安全管理（集锦3篇）】相关文章：

项目方案书2022-08-05

研究生英文简历材料2023-10-28

国信证券集团笔试题2022-12-08

商务硕士个人英文简历2023-06-02

化学研究生英文简历表格2023-07-25

加拿大拉瓦尔大学2022-08-15

企业组网方案之ADSL组网实例2022-09-09

阐述管理型交换机和非管理型交换机的间的关系2022-05-07

详谈WLAN无线局域网交换机信号传输疑问2022-10-15

电脑教程：以太网交换机如何搭建2022-10-25