鲁宏武 高海燕 王健

【摘 要】企业网络安全涉及领域众多，根据设备的不同，用途的差异，各种网络安全技术层出不穷，但是网络从交换机来说，首选需要保证交换机端口的安全。本文针对在企业环境中的网络端口安全问题做相关测试，经过大量实验，得出如何正确利用思科交换机自身命令的相互配合，加强企业网络的端口安全。

【关键词】网络端口，网络安全，思科

【中图分类号】TP393.01 【文献标识码】A 【文章编号】1672-5158（2013）03-0127-01

前言

企业网络安全涉及领域众多，根据设备的不同，用途的差异，各种网络安全技术层出不穷，但是网络从交换机来说，首选需要保证交换机端口的安全。在不少企业中，员工可以随意地使用集线器等设备连接办公交换机，或者使用自己的笔记本电脑连接到企业的网路中，这类的情况会给企业的网络安全带来相当大的不利影响。本文针对以上情况，对交换机端口的常见安全威胁进行相关维护，并对相关措施做一总结。

一、常见的安全威胁

在企业中，威胁交换机端口的行为比较多。总结一下有如下情形：

一：未经授权的用户主机随意连接到企业的网络中。如员工自己笔记本，可以在不经管理员同意的情况下，拔下某台主机的网线，插在自己带来的笔记本，然后连入到企业的网络中，这会带来很大的安全隐患。

二：未经采用同意安装集线器HUB等网络设备。有些员工为了增加网络终端的数量，会在未经授权的情况下。将集线器、交换机等设备插入到办公室的网络接口上。如此的话，会导致这个网络接口对应的交换机接口流量增加，从而导致网络性能的下降。

三：网络管理员在日常工作中对于交换机端口的安全性不怎么重视，这是他们网络安全管理中的一个盲区。

二、主要的应对措施

从以上的分析中可以看出，企业现在交换机端口的安全环境非常的薄弱。在这种情况下，仅仅靠管理上是不够的，下面我重点介绍下如何利用技术应对以上情况。

（1）应对措施一：MAC地址与端口绑定。

最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口绑定，MAC地址与端口绑定，当发现主机的MAC地址与交换机上指定的MAC地址不同时，交换机相应的端口将down掉。当给端口指定MAC地址时，端口模式必须为access或者Trunk状态。Cisco IOS交换机端口安全功能支持以下几种安全MAC地址类型：

Switch#config terminal #进入配置模式

Switch（config）# Interface fastethernet 0/1 #进入具体端口配置模式

Switch（config-if）#Switchport port-secruity #配置端口安全模式

以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用。

（2）应对措施二：根据MAC地址允许流量的配置

一个安全端口默认有一个安全MAC地址，这个默认值在1～3000之间。当在一个端口上设置最大安全MAC数后，可以使用switchport port-security mac-address mac_address接口配置模式命令配置安全MAC地址；也可通过port-security mac-address VLAN范围配置命令在中继端口上一个范围VLAN中配置所有安全MAC地址，以允许端口用所连接设备的MAC地址动态配置安全MAC地址。

Switch #conf t

Switch （config）#int f0/1

Switch （config-if）#switchport trunk encapsulation dot1q

Switch （config-if）#switchport mode trunk /配置端口模式为TRUNK。

Switch （config-if）#switchport port-security maximum 50 /允许此端口通过的最大MAC地址数目为50。

Switch （config-if）#switchport port-security violation protect /当主机MAC地址数目超过50时，交换机继续工作，但来自新的主机的数据帧将丢失。

（3）应对措施三：启用网络身份认证功能

Switch#conf t

Switch（config）#aaa new-model /启用AAA认证。

Switch（config）#aaa authentication dot1x default local /全局启用802.1X协议认证，并使用本地用户名与密码。

Switch（config）#int range f0/1 -24

Switch（config-if-range）#dot1x port-control auto /在所有的接口上启用802.1X身份验证。

三、应用后的效果分析

经过上述的一系列的技术配置，通过实地测试，基本解决了私接设备、随意扩交换机的问题。但是在实际应用中，发现了一些问题，以上策略太过于死板，一点执行shutdown后，员工不能上网，如果企业规模较大，容易导致网络管理员频繁去修改交换机的端口状态，针对这种情况，我们可以采用一下恢复策略，智能的处理违规情况。

（1）关闭（Shutdown）：发生安全违例事件时，端口立即呈现错误状态，关闭端口。同时也会发送一个SNMP捕获消息并记录系统日志，违例计数器增加1。

（2）禁止VLAN（Shutdown VLAN）：适用于VLAN的安全违例模式。在这种模式下，在发生安全违者罚款例事件时，该端口对应的VLAN都将呈错误禁止状态，关闭对应VLAN，而不关闭对应的端口。

（3）保护：当安全MAC地址数超过端口上配置的最大安全MAC地址数时，未知源MAC地址的包将被丢弃，直到MAC地址表中的安全MAC地址数降到所配置的最大安全MAC地址数以内，或者增加最大安全MAC地址数。而且这种行为没有安全违例行为发生通知。

（4） 限制：在安全MAC地址数达到端口上配置的最大安全MAC地址数时，未知源MAC地址的包将被丢弃，直到MAC地址表中的安全MAC地址数降到所配置的最大安全MAC地址数以内，或者增加最大安全MAC地址数。

四、结论

以上介绍的几种方法，各有各的特点。在可操作性上与安全性上各有不同。网络管理员需要根据自己公司网络的规模、对于安全性的要求等各个方面的因素来选择采用的方案。总之，在网络安全逐渐成为管理员心头大患的今天。交换机的端口安全必须引起大家的关注。

参考文献

【1】焦昀，巫茜，刘晓辉，中小企业网络管理员实战指南（第2版） 科学出版社 2011

【2】崔北亮，非常网管：网络管理从入门到精通（修订版）人民邮电出版社 2010

【3】海吉（美），网络安全技术与解决方案（修订版） 人民邮电出版社 2010

【4】王云，网络工程设计与系统集成（第2版）人民邮电出版社 2010