彭永余

（重庆城市管理职业学院，重庆 400131）

浅谈交换机端口的安全配置方法

彭永余

（重庆城市管理职业学院，重庆 400131）

内网连接中，交换机起着重要作用。对交换机的端口进行合理的管理能有效地规避网络入侵。文章主要从限制交换机端口的最大连接数、对交换机端口进行MAC地址的绑定、限制交换机端口的工作方式等方面阐述交换机端口的安全配置方法。

交换机端口；MAC地址；配置命令

交换机端口安全，是指针对交换机的端口所设置的安全属性。通过对交换机端口的管理，从而控制用户的安全接入。

1 常见的交换机端口的安全设置方法

1.1 限制交换机端口的最大连接数

在设置交换机端口的最大连接数时，如果将最大连接数设置为1，并且为该端口配置了一个安全地址，则连接到这个端口的设备（指已为其配置了安全地址的设备）将独占该端口的全部带宽。交换机端口最大连接数的配置命令为：

其中value是设置的最大连接数，系统默认值为1。

具体配置如下：

当交换机的某一端口利用switchport port-security命令开启安全功能时，该端口必须为访问或者tag模式。

1.2 针对交换机端口进行MAC地址（有些交换机支持IP地址）的绑定

为了增强交换机端口的安全性，可以对交换机进行端口地址的绑定设置，将接入设备（主要为计算机）的MAC地址绑定到指定的端口上。有些设备还支持对接入设备IP地址的绑定，同时还可以实现MAC地址+IP地址的双重绑定。通过对交换机端口地址的绑定，可以实现对接入设备的严格控制，保证用户的安全接入，并防止常见的内部网络攻击，如ARP欺骗、MAC地址欺骗、针对IP地址的攻击等。交换机端口地址绑定的命令为：

其中，mac_address为接入设备的MAC地址。有些交换机还支持端口的IP地址绑定，ip_address为接入设备的IP地址。

交换机在默认工作状态下会自动“学习”到接入端口的设备MAC地址，如果用户想控制某些设备的接入时，可以通过此功能来完成。

1.3 限制交换机端口的工作方式

交换机一般都支持全双工、半双工，还支持不同连接速率的自动协商功能。交换机端口工作方式的设置命令为：

其中，参数：

auto：指明端口的工作速率为自动协商模式，即交换机端口根据所连接设备的速率（10 Mbit/s或100 Mbit/s）来自动确定其速率。

full：强制以10 Mbit/s或100 Mbit/s速率进入全双工模式。

full-flow-control：强制以100 Mbit/s速率进入带流量控制的全双工模式。该参数只能在100Base-TX端口上有效。

half：强制以10 Mbit/s或100 Mbit/s速率进入半双工模式。该参数一般对于10 Base-T端口是缺省的。

在配置了交换机端口的安全功能后，当实际应用超出配置的要求时将产生一个安全违规。这时，交换机一般会丢弃从未经安全许可的设备来的数据，从而实现了对端口的安全保护。当某个端口产生了安全违规时，可以设置下面几种处理方式。

protect：端口保护，将丢弃未知名的数据帧。

restrict trap：通过SNMP产生一个陷阱（trap）通知，交上层管理软件进行处理。

shutdown：关闭端口，并发送一个trap通知，管理员可以通过no shutdown命令来开启已关闭的端口。

2 实验验证

使用的网络拓扑如图1所示，其中PC1和PC2分别连接交换机的两个不同端口，其中PC1通过COM端口连接交换机的Console端口对交换机进行配置。

图1 实验拓扑结构

2.1 使用show port-security命令查看交换机端口最大连接数

这时，如果在fastethernet 0/5 端口上通过级连Hub同时连接3台以上的PC，当第3台PC接入后该端口将自动关闭。

2.2 利用show port-security address 命令查看交换机端口上绑定的MAC

2.3 验证fastethernet 0/5 端口以双全工模式工作

在PC2上，打开网卡的连接属性对话框，在图2所示的“高级”标签中，将“Link Speed&Duplex”的值强制改为“10 Mbps/half Duplex”，然后在PC1上用Ping命令测试PC2的IP地址，系统将显示网络不同。说明交换机端口（fastethernet 0/5）与所连接的设备PC2的工作模式不匹配。

图2 设置PC网卡的工作模式

[1]刘韬，赵大勇，赵亮.联动式入侵防御系统研究[J].软件导刊，2013（10）：153-155.

[2]彭亚发.基于端口的网络安全控制的实现[J].电脑开发与应用，2011（9）：77-78.

[3]谭呈祥.局域网交换机安全管理研究[J].信息安全与技术，2011（10）：90-92.

Expoundation of the security configuration method of switch port

Peng Yongyu
（Chongqing City Management College, Chongqing 401331, China）

In the network connection, the switch plays an important role. Reasonable management on switch port can effectively avoid network intrusion. The article mainly from limiting the biggest connection number of switch port, binding the MAC address to the switch port, limiting work methods of switch port to expounds the security configuration methods of switch port.

switch port; MAC address; configuration command

彭永余（1980—），女，重庆，初级职称；研究方向：多媒体技术与网络安全。