公司刚搬了新办公室,IT 小李忙着接线、配设备。路由器、防火墙都搞定了,唯独接入层交换机随手插上就用,连密码都没改。这操作听起来熟不熟悉?很多单位的网络建设都是这样,重点防护放在边界,却忽略了最基础的一环——接入层交换机。
默认配置是最大隐患
新买的交换机拆箱即用,管理员账户还是 admin/admin,或者干脆没设密码。访客来开会,顺手把笔记本插上网口,可能就登进了交换机后台。更夸张的是,有些设备 Web 管理界面直接暴露在内网,连 HTTPS 都没开。
改掉默认账号密码是最基本的操作。哪怕只是改成 company@2024 这种简单组合,也比原厂设置强得多。同时关闭不必要的管理方式,比如不用的 HTTP 或 Telnet 服务,只保留 SSH 并限制访问 IP。
划分 VLAN 控制广播域
所有设备都在一个网段里“裸奔”,打印机、员工电脑、财务终端全在一个广播域,一旦有人带毒入网,横向扩散几乎是瞬间的事。合理的做法是按部门或功能划分 VLAN。
interface vlan 10\n name HR\n ip address 192.168.10.1 255.255.255.0\n!\ninterface vlan 20\n name IT\n ip address 192.168.20.1 255.255.255.0\n!\ninterface range gigabitethernet 0/1 - 10\n switchport mode access\n switchport access vlan 10\n!\ninterface range gigabitethernet 0/11 - 20\n switchport mode access\n switchport access vlan 20这样一来,HR 和 IT 的流量天然隔离,即便某台机器中毒,也不会轻易波及整个网络。
端口安全防乱接设备
会议室的网口没人管,谁都能插。有员工为了图方便,自己接个小交换机,一拖三连设备。这种行为不仅增加故障点,还可能引入 rogue 设备。
启用端口安全功能,限制每个物理端口允许学习的 MAC 地址数量。比如设置为只允许一个 MAC,当未知设备接入时,端口自动 shutdown 或告警。
interface gigabitethernet 0/5\n switchport mode access\n switchport port-security\n switchport port-security maximum 1\n switchport port-security violation restrict\n switchport port-security mac-address sticky粘性 MAC 功能还能自动记录合法设备的地址,省去手动配置的麻烦。
防止生成树被干扰
接入层交换机通常不是 STP 根桥,但依然可能被恶意 BPDU 报文干扰。比如有人从外部带个交换机进来,不小心开启了生成树,可能导致内网拓扑震荡。
对明确不接其他交换机的端口,开启 BPDU Guard。一旦收到 BPDU,立即禁用该端口,避免意外环路。
interface gigabitethernet 0/8\n spanning-tree bpduguard enable如果是连接服务器或终端的端口,还可以直接启用 PortFast,加快端口上线速度。
日志和监控不能少
交换机出了问题,总得知道是谁干的。启用系统日志,把关键事件发往统一的日志服务器。比如有人反复尝试登录失败,或者端口频繁 up/down,这些都可能是异常信号。
时间同步也很重要。没有准确时间戳,排查问题时根本对不上事件顺序。配置 NTP 客户端,让所有交换机时间一致。
ntp server 192.168.1.100\nlogging 192.168.1.200别觉得接入层“只是转发数据”就放松警惕。它就像大楼的门禁系统,再高级的安保中心,如果每扇门都不锁,照样白搭。花点时间做好基础配置,远比事后救火来得实在。