首先,每一个网络设备都有一个最低水平的安全标准。这些安全标准包括: 。设置口令(如果入侵者为你设置口令,你会不喜欢的)。
0 D' |' h) q! x8 S4 V 。设置未加密的口令(community strings)或者关闭简单网络管理协议,如果你不打算使用它的话(特别是如果你设置为“公共”和“专用”)。
, i& P/ p. A' c5 H: t7 V, r7 \ 。如果你把一台服务器设置为系统登录服务器存储远程登录日志,关闭所有你不使用的管理方式,特别是要关闭Web方式的配置登录或者身份识别服务器(RADIUS或TACACS+)。 ~6 X2 T! V# F, b; K" A* }5 t9 F2 l
。我们的其它配置列表要根据你的具体情况而定,如你要对交换机做什么,做到什么程度以及你的环境的复杂程度等。0 ], ~& m) A: U( W
如果你的广播域中有不止一台交换机,你要配置生成树协议。生成树功能可能缺省就是开启的。但是,这个缺省设置可能会将选择一个并非最佳的根节点。设置你希望作为根节点的交换机的优先级,保持其它的交换机为缺省设置。
6 S; v' `' @$ N3 n% z 如果你的交换机有不止一个IP子网,你可能需要配置VLAN或者TRUNK.在你创建VLAN之后,不要忘记j将用户端口添加到合适的VLAN中。需要指出的是,如果你使用思科交换机,即使你只有一个子网,我仍然要强烈建议你不要使用缺省VLAN 1 ,因为它与其它的虚拟局域网有很大的不同。你要创建另一个VLAN,并且把所有的端口都加入其中。' C: V7 |5 Q- T& Z K7 L6 Y
如果你计划连接IP电话,那么,你需要配置“语音虚拟局域网”,你还可以使用以太网供电功能。以太网供电的缺省设置是关闭的。1 m6 t* F8 Z S1 V8 ? h
当然,你还可以做一些设置,使你的网络更好,例如为每个端口设置标签,帮助你跟踪插入那些端口的设备,或者手工设置某些端口的速度和双工工作模式,或者关闭端口汇聚协议(PAgP)等不需要的协议。不过,这个列表足以让大多数网络通过合理的配置高效率地运行。 |
发表于 2012-8-3 20:03:30
