公司网络突然变慢,员工抱怨连不上服务器,查了一圈发现是交换机被恶意扫描占满了连接。这种事在实际运维中太常见了。交换机作为局域网的核心设备,一旦被攻击,整个网络都可能瘫痪。光靠“插上网线就能用”远远不够,必须做好管理防护。
关闭不需要的服务端口
很多交换机出厂默认开启HTTP、Telnet甚至SNMP服务,这些都可能成为攻击入口。比如某公司内网的一台三层交换机长期开着Telnet,结果被内部员工用暴力破解密码登录,修改了VLAN配置,导致财务部门断网一上午。
正确的做法是通过命令行关闭非必要服务:
no ip http server
no telnet server enable
snmp-server disable启用SSH代替Telnet
Telnet传输数据是明文的,账号密码在网络中“裸奔”,抓个包就能看到。换成SSH加密通信才是正道。配置时先生成密钥,再开启SSH服务:
crypto key generate rsa
ip ssh version 2
line vty 0 4
transport input ssh
login local这样即使有人监听流量,也看不到登录过程。
设置强密码和本地账户权限分离
别再用admin/admin这种万能密码了。给不同管理员分配独立账号,按需给权限。比如普通维护人员只给查看权限(level 1),核心配置变更由高级账号(level 15)操作。
username monitor privilege 1 password <strong>Mon@Pass2024</strong>
username admin privilege 15 secret <strong>Adm#Secure9x</strong>限制管理IP访问范围
不是所有设备都能连交换机管理界面。通过ACL限定只有网管电脑的IP可以访问管理接口。假设你的运维主机IP是192.168.10.50,配置如下:
access-list 1 permit 192.168.10.50
access-list 1 deny any
line vty 0 4
access-class 1 in这样一来,哪怕密码泄露,攻击者不在指定IP也进不来。
定期更新固件,堵住已知漏洞
去年有厂商曝出CLI命令注入漏洞,攻击者可通过特定指令获取shell权限。如果你的交换机还跑着一年前的老版本系统,风险极高。建议每季度检查一次官网公告,测试环境验证后再升级生产设备。
启用日志记录与异常告警
当有人反复尝试登录失败,或配置被修改,系统应该留下痕迹。配置日志发往中心服务器:
logging 192.168.10.100
logging trap warnings
logging source-interface Vlan10配合简单的脚本监控,发现短时间内大量登录失败,立即邮件通知管理员,把风险扼杀在早期。
物理安全也不能忽视
再严密的软件防护,也挡不住一根Console线直连。把交换机锁进机柜,限制机房进出权限。曾有个案例,离职员工偷偷潜入接上console线,清空了配置重置密码,差点造成大面积故障。