隔离网络设备所在的子网
网络管理员为了便于对网络设备进行统一的管理和维护,通常需要为交换机设定管理IP地址,同时将所有的设备设定在一个指定的VLAN中。通过管理IP地址,管理员可以利用网管软件或是TELNET远程登录对设备进行调试和维护。
要实现位于不同VLAN之间的计算机互相通信,除了IP地址和子网掩码外,在设置IP地址处必须输入相应的默认网关地址,也就是VLAN的接口地址。在网络中每一台交换机都可以认为是专门的计算机,如果在设置交换机的管理IP地址时,设置了默认网关地址,那么网络中的任何一个用户如果知道了交换机的管理IP地址,都可以利用TELNET进行远程连接。
有些交换机提供了用户身份认证的机制来限制用户的登录,但是对于没有提供身份认证机制的交换机而言,这可能会带来一定的安全问题:一些对网络技术比较感兴趣的用户可能会远程登录到交换机中进行设置的实验或是有意无意的更改、删除已有的设置,这些操作可能会造成网络工作不正常或是中断。避免这些安全隐患最好的办法就是对网络设备所在的子网进行隔离。
由于将设备VLAN设置为一个单独的VLAN,因此在设置交换机管理IP地址的时候不设置默认网关地址,网络中其他VLAN中的计算机也就不能远程登录到交换机中,这样就可以实现对设备VLAN的隔离。
但是管理员需要对设备进行管理和维护,不可能每次都要物理接触到交换机才能操作。解决这个问题,我们可以采取两种办法:
一、 在网管中心的核心交换机中,将连接网管工作站的端口包含在与设备相同的VLAN中,这样管理员在网管工作站中远程登录设备时,和位于同一子网内的计算机进行通信一样,不需要默认网关进行数据包的转发。
二、 管理员可以首先TELNET远程登录到作为VLAN默认网关的核心交换机中,然后在核心交换机用户接口窗口,再TELNET远程登录到要进行管理的交换机中。例如:一台交换机的管理IP地址为192.168.2.21,所在子网的默认网关地址为192.168.2.1,管理员可以先在Windows的“命令提示符”窗口执行TELNET 192.168.2.1命令,成功连接到核心交换机后会出现命令行方式的设置界面,在此界面中,再执行TELNET 192.168.2.21命令就可以连接到交换机了。
如果出于应用的需要,必须为交换机设置默认网关地址,我们可以在设备VLAN和客户机VLAN之间设置一道“防火墙”,即通过在核心交换机中设置二层的包过滤策略和三层的IP过滤策略来限制客户机对指定VLAN和IP地址的访问,从而实现对设备VLAN的隔离。
启动策略后,只有符合策略规则的数据包才能进入设备VLAN中。当然这种方式的实现,要求核心交换机支持包过滤和IP过滤才可以。收藏 http://www.qqread.com/net-manage/h255669.html
更多内容请看网络管理实用手册、网络故障手册、IP地址知识普及专题专题,或进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- 网管眼中的5款远程控制软件 (143602次浏览)
- ARP病毒解决办法 (88134次浏览)
- 图解:网络Ghost克隆操作全程 (47802次浏览)
- 如何进行局域网设置 (19165次浏览)
- ARP病毒攻击技术分析与防御 (17485次浏览)
- 常见路由器的设置方法 (17389次浏览)
- 针对ARP病毒攻击防制进阶经验谈 (17384次浏览)
- ARP病毒问题的处理 (17055次浏览)
- 网络管理中的11大绝招 (15949次浏览)
- 从网吧ARP欺骗看局域网的安全管理 (14270次浏览)
