机房网络安全策略

　　将连接电脑与交换机的网线两端做标记，使电脑与交换机端口对应，如图2所示。一旦某台电脑发生物理连接故障，根据对应表可以直接找到接入交换机的线缆及端口。经此规范化管理，可以减少机房维护工作量，提高网络连接故障维护工作效率。

图2 公共机房网络物理连接示意

　　机房用户上网控制策略

　　远程管理交换机

　　由于机房数目较多，为便于对各公共机房上网控制，需要确定管理员能远程登录机房二层交换机，对交换机配置管理。用Vlan 100作为交换机管理Vlan，为方便管理员记忆，使用与房间号对应的交换机管理地址，表1所示为部分示例。

　　交换机可以通过Telnet、Web和SSH登陆方式进行远程管理。

　　公共机房二层交换机E328启用SSH远程登陆方式的配置过程(以314机房的交换机为例)：

　　#生成RSA主机密钥对和服务器密钥对
　　<H3C>system-view
　　[H3C] rsa local-key-pair create
　　#指定vlan 100为交换机的管理vlan(默认管理vlan为vlan1)，并定义交换机管理地址：
　　[H3C]vlan 100
　　[H3C-if]quit
　　[H3C]interface Vlan-interface 100
　　[H3C-if]ip address 172.18.1.34 255.255.255.0
　　[H3C-if]quit
　　[H3C]management-vlan 100

　　设置用户登录认证方式

　　[H3C] user-interface vty 0 4
　　[H3C-ui-vty0-4] authentication-mode scheme
　　# 设置用户接口上支持SSH 协议。
　　[H3C-ui-vty0-4] protocol inbound ssh
　　[H3C-ui-vty0-4] quit
　　# 指定用户admin 的登录协议为SSH，设计登陆密码，并指定访问的命令级别为3。
　　[H3C]local-user admin
　　[H3C-luser-admin]password cipher 4>KVP>Y*QBKQ=^Q`MAF4<1!!
　　[H3C-luser-admin] service-type ssh level 3
　　[H3C-luser-admin] quit
　　[H3C] ssh user admin authentication-type password

　　管理员完成以上配置，就可以在与交换机连接的终端上，运行支持SSH2.0 的客户端软件(SecureCRT)，以用户名admin和设置的密码登陆，远程管理交换机。

　　管理机房上网行为

　　公共机房的IP地址段为：172.18.0.0/16。软件学院的服务器IP地址属于222.192.238.0/24地址段内，用于师生上传和下载学习资料。公共机房用户上网策略为：默认机房用户可以连接Internet，如果中断连接Internet，则机房用户只能访问软件学院服务器。

　　在二层交换机上，使用ACL访问控制列表，对机房用户上网控制。交换机配置如下：

　　#定义扩展的访问控制列表
　　[H3C]acl number 3000
　　！允许机房用户访问服务器网段，过滤访问其他网络的数据
　　[H3C-acl]rule 0 deny ip
　　[H3C-acl]rule 1 permit ip destination 222.192.238.0 0.0.0.255

　　如果机房用户需要访问Internet，不需要使用该ACL。如果只允许该机房用户访问软件学院的服务器，禁止访问其他网络，在E328交换机级连光纤端口(GigabitEthernet1/1/1)上，应用定义的ACL访问策略，方向为outbound。配置如下：

　　[H3C]interface GigabitEthernet1/1/1
　　[H3C-if]packet-filter outbound ip-group 3000 rule 0
　　[H3C-if]packet-filter outbound ip-group 3000 rule 1