交换机升级解决网络安全问题.doc

交换机升级解决网络安全问题91039部队 郑增凯为加强网络安全管理，上级业务部门要求对连接外部路由的交换机采取强化措施，一是交换机CONSOLE口、VTY（虚拟终端）设置用户及口令；二是冗余端口关闭；三是IP、MAC、PORT三者绑定，阻止陌生主机接入。单位连接外部路由的是Quidway S3026E交换机。上网查阅相关资料，动手开始配置S3026E交换机。根据所查资料，shutdown命令关闭端口，arp命令实现IP、MAC、PORT三者绑定。配置中发现，shutdown命令可以关闭端口，但保存配置重启交换机后，端口依然能连通终端微机，查询此端口状态，却显示“administratively down”。无奈下，将相关信息发给华为寻求技术支持，回复可能硬件故障，需要现场解决。汇报上级业务部门，同意由地方技术公司协助解决此事。地方技术人员过来配置了CONSOLE、VTY（虚拟终端）用户及口令，但IP、MAC、PORT三者绑定及关闭冗余端口无法实现。只是与本人配置策略不同，地方技术人员使用更为复杂的访问控制表来实现三者绑定。配置关闭冗余端口时，情况与我如出一辙，重启后依然能连接终端微机。最后，地方技术人员只好摇头离开。在我看来，从节约成本出发，尽可能利用现有设备，更换交换机不是最佳解决方案。地方技术人员虽然没能解决问题，但最后一句话提醒了我。当时，地方技术人员曾解释交换机软件版本较低，CLI还是仿CISCO的。那么能不能升级解决呢？地方技术人员答复交换机较早，华为已不支持此软件升级，且升级包已无法下载了。上网查S3026E升级软件，最终在找到了它的身影，由于不是华为员工，无法得到下载权限，只好通知地方技术人员代为下载发送给自己。交换机S3026E软件版本为VRP Version 3.10 RELEASE 0002, Bootrom Version is 119，确实太低了。还好，地方技术人员已经把升级软件发过来了。其中包括Bootrom_V130、Bootrom_V160,还有VRP3.10-R0035。收到升级软件，一阵狂喜，阅读相关说明后。立即着手对交换机进行软件升级。按要求架好TFTP服务器，配好交换机管理IP地址。注意：TFTP服务器要设置在一个网段内。重启交换机，按Ctrl+B组合键，出现选择菜单后Ctrl+u，进入加载BOOTROM的菜单，选择“Set TFTP protocol parameter”。其过程如下：Update Bootrom1. Set TFTP protocol parameter2. Set FTP protocol parameter3. Set XMODEM protocol parameter0. Return to boot menuEnter your choice(0-3): 1Load file name :s3026e-130.btm Switch IP address : Server IP address :0 Subnet mask : Are you sure to download file to flash? (Y/N) yARP broadcast 1TFTP from server 0; our IP address is Filename s3026e-130.btm.Load address: 0x80800000Loading: #donedownload time: 920769usBytes transferred = 349336 (55498 hex)Erasing Bootrom.x.x.x.x.x.x-doneWriting to Bootrom.+doneUpdate bootrom successful!重启交换机，show version，Bootrom版本已变为130。依此法将交换机Bootrom版本升级到160。升级VRP版本时，把原版本VRP备份，一方面因为交换机FLASH空间不足，需要删除原文件以腾出足够的空间；另一方面，如升级失败可以恢复回来。升级VRP时情况如下:Quidway#dele /u s3026e-vrp3.10-0002.binQuidway(config)#tftp get /0/s3026e-r0035.bin.Downloading succeeds!Quidway#boot bootldr s3026e-r0035.bin重启交换机，disp version, VRP版本已变为“VRP Software, Version 3.10, RELEASE 0035”。交换机升级完成，下一步对交换机进行配置。配置CONSOLE、VTY（虚拟终端）用户及口令，首先要创建用户并设定用户口令及服务类型，然后分别进入CONSOLE、VTY接口视图，设置认证方式。在此版本下，服务类型有四种：FTP，设置FTP用户；LAN-ACCESS,设置ETHERNET通过RJ45上网用户；TELNET，远程登录用户；SSH，安全Shell用户。CONSOLE、VTY认证登录有三种方式：NO，登录时不需要口令；PASSWORD，登录需要口令；SCHEME,需要用户名及口令，用户必须是SSH用户或TELNET用户，也就是说TELNET（SSH）与CONSOLE用户及口令是一样的，这或许是它的不足之处。配置IP、MAC、PORT，借助AM user-bind命令，轻松搞定。记住，要先使能AM，默认情况下AM功能是关闭的。关闭冗余端口，依然在各冗余端口视图下Shu