鑑於網際網路的黑客進攻變亂加倍猖狂,同時也是為了增強公司內部收集的收集安詳打點,要求對毗連外部路由的互換機採納強化法子,一是冗餘埠封鎖;二是IP、MAC、PORT三者繫結,阻止生疏主機接入;三是互換機CONSOLE口、VTY(假造終端)配置使用者及口令。
單元毗連外部路由的是Quidway S3026E互換機。上網查閱相干資料,下手開始設定S3026E互換機。按照所查資料,shutdown呼籲封鎖埠,arp呼籲實現IP、MAC、PORT三者繫結。設定中發明,shutdown呼籲可以封鎖埠,但生涯設定重啟互換機後,埠依然能連通終端微機,查詢此埠狀態,卻表現“administratively down”。無奈下,將相干資訊發給華為尋求技能支援,回覆也許硬體妨礙,必要現場辦理。講述上級營業部分,贊成由處所技能公司幫忙辦理此事。
處所技強職員過來設定了CONSOLE、VTY(假造終端)使用者及口令,但IP、MAC、PORT三者繫結及封鎖冗餘埠無法實現。只是與本人設定計策差異,處所技強職員行使更為偉大的會見節制表來實現三者繫結。設定封鎖冗餘埠時,環境與我千篇一致,重啟後依然能毗連終端微機。最後,處所技強職員只好搖頭分開。
在我看來,從節省本錢出發,盡也許操作現有裝備,改換互換機不是最佳辦理方案。處所技強職員固然沒能辦理題目,但最後一句話提示了我。其時,處所技強職員曾表明互換機軟體版本較低,CLI照舊仿CISCO的。那麼能不能進級辦理呢?處所技強職員復原互換機較早,華為已不支援此軟體進級,且進級包已無法下載了。
上網查S3026E進級軟體,最終在找到了它的身影,因為不是華為員工,無法獲得下載許可權,只好關照處所技強職員代為下載傳送給本身。
互換機S3026E軟體版本為VRP Version 3.10 RELEASE 0002, Bootrom Version is 119,確實太低了。還好,處所技強職員已經把進級軟體發過來了。箇中包羅Bootrom_V130、Bootrom_V160,尚有VRP3.10-R0035。
收到進級軟體,一陣狂喜,閱讀相干聲名後。當即著手對互換機舉辦軟體進級。按要求架好TFTP處事器,配好互換機打點IP地點。留意:TFTP處事器要配置在一個網段內。重啟互換機,按Ctrl+B組合鍵,呈現選擇選單後Ctrl+u,進入載入BOOTROM的選單,選擇“Set TFTP protocol parameter”。其程序如下:
Update Bootrom
1. Set TFTP protocol parameter
2. Set FTP protocol parameter
3. Set XMODEM protocol parameter
0. Return to boot menu
Enter your choice(0-3): 1
Load file name :s3026e-130.btm
Switch IP address :192.168.3.2
Server IP address :192.168.3.80
Subnet mask :255.255.255.0
Are you sure to download file to flash? (Y/N) y
ARP broadcast 1
TFTP from server 192.168.3.80; our IP address is 192.168.3.2
Filename 's3026e-130.btm'.
Load address: 0x80800000
Loading: ######################
done
download time: 920769us
Bytes transferred = 349336 (55498 hex)
Erasing Bootrom....x.x.x.x.x.x--done
Writing to Bootrom...+++++++++++++++++++++done
Update bootrom successful!
重啟互換機,show version,Bootrom版本已變為130。依此法將互換機Bootrom版本進級到160。
進級VRP版本時,把原版本VRP備份,一方面由於為互換機FLASH空間不敷,必要刪除原檔案以騰出足夠的空間;另一方面,如進級失敗可以規復返來。進級VRP時環境如下:
Quidway#dele /u s3026e-vrp3.10-0002.bin
Quidway(config)#tftp get //192.168.3.80/s3026e-r0035.bin
..................................................
..................................................
Downloading succeeds!
Quidway#boot bootldr s3026e-r0035.bin
重啟互換機,disp version, VRP版本已變為“VRP Software, Version 3.10, RELEASE 0035”。
互換機進級完成,下一步對互換機舉辦設定。設定CONSOLE、VTY(假造終端)使用者及口令,起主要建設使用者並設定使用者口令及處事範例,然後別離進入CONSOLE、VTY介面檢視,配置認證方法。在此版本下,處事範例有四種:FTP,配置FTP使用者;LAN-ACCESS,配置ETHERNET通過RJ45上網使用者;TELNET,程序登任命戶;SSH,安詳Shell使用者。CONSOLE、VTY認證登入有三種方法:NO,登入時不必要口令;PASSWORD,登入必要口令;SCHEME,必要使用者名稱及口令,使用者必需是SSH使用者或TELNET使用者,也就是說TELNET(SSH)與CONSOLE使用者及口令是一樣的,這或者是它的不敷之處。
設定IP、MAC、PORT,藉助AM user-bind呼籲,輕鬆搞定。記著,要先使能AM,預設環境下AM成果是封鎖的。
封鎖冗餘埠,依然在各冗餘埠檢視下Shutdown,生涯設定,重啟互換機,統統OK。