企业网络安全涉及领域众多，根据设备的不同，用途的差异，各种网络安全技术层出不穷，但是网络从交换机来说，首选需要保证交换机端口的安全。在不少企业中，员工可以随意地使用集线器等设备连接办公交换机，或者使用自己的笔记本电脑连接到企业的网路中，这类的情况会给企业的网络安全带来相当大的不利影响。本文针对以上情况，对交换机端口的常见安全威胁进行相关维护，并对相关措施做一总结。

    一、常见的安全威胁

    在企业中，威胁交换机端口的行为比较多。总结一下有如下情形：

    （1）未经授权的用户主机随意连接到企业的网络中。如员工自己笔记本，可以在不经管理员同意的情况下，拔下某台主机的网线，插在自己带来的笔记本，然后连入到企业的网络中，这会带来很大的安全隐患。

    （2）未经采用同意安装集线器HUB等网络设备。有些员工为了增加网络终端的数量，会在未经授权的情况下。将集线器、交换机等设备插入到办公室的网络接口上。如此的话，会导致这个网络接口对应的交换机接口流量增加，从而导致网络性能的下降。

    （3）网络管理员在日常工作中对于交换机端口的安全性不怎么重视，这是他们网络安全管理中的一个盲区。

    二、主要的应对措施

    从以上的分析中可以看出，企业现在交换机端口的安全环境非常的薄弱。在这种情况下，仅仅靠管理上是不够的，下面我重点介绍下如何利用技术应对以上情况。

    （1）应对措施一：MAC地址与端口绑定。

    最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口绑定，MAC地址与端口绑定，当发现主机的MAC地址与交换机上指定的MAC地址不同时，交换机相应的端口将down掉。当给端口指定MAC地址时，端口模式必须为access或者Trunk状态。Cisco IOS交换机端口安全功能支持以下几种安全MAC地址类型：

    Switch#config terminal ＃进入配置模式

    Switch（config）# Interface fastethernet 0/1 ＃进入具体端口配置模式

    Switch（config-if）#Switchport port-secruity ＃配置端口安全模式

    以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用。

    （2）应对措施二：根据MAC地址允许流量的配置

    一个安全端口默认有一个安全MAC地址，这个默认值在1~3000之间。当在一个端口上设置最大安全MAC数后，可以使用switchport port-security mac-address mac_address接口配置模式命令配置安全MAC地址；也可通过port-security mac-address VLAN范围配置命令在中继端口上一个范围VLAN中配置所有安全MAC地址，以允许端口用所连接设备的MAC地址动态配置安全MAC地址。

    Switch #conf t

    Switch （config）#int f0/1

    Switch （config-if）#switchport trunk encapsulation dot1q

    Switch （config-if）#switchport mode trunk /配置端口模式为TRUNK。

    Switch （config-if）#switchport port-security maximum 50 /允许此端口通过的最大MAC地址数目为50。

    Switch （config-if）#switchport port-security violation protect /当主机MAC地址数目超过50时，交换机继续工作，但来自新的主机的数据帧将丢失。

[page]    （3）应对措施三：启用网络身份认证功能

    Switch#conf t

    Switch（config）#aaa new-model /启用AAA认证。

    Switch（config）#aaa authentication dot1x default local /全局启用802.1X协议认证，并使用本地用户名与密码。

    Switch（config）#int range f0/1 -24

    Switch（config-if-range）#dot1x port-control auto /在所有的接口上启用802.1X身份验证。

    三、应用后的效果分析

    经过上述的一系列的技术配置，通过实地测试，基本解决了私接设备、随意扩交换机的问题。但是在实际应用中，发现了一些问题，以上策略太过于死板，一点执行shutdown后，员工不能上网，如果企业规模较大，容易导致网络管理员频繁去修改交换机的端口状态，针对这种情况，我们可以采用一下恢复策略，智能的处理违规情况。

    （1）关闭（Shutdown）：发生安全违例事件时，端口立即呈现错误状态，关闭端口。同时也会发送一个SNMP捕获消息并记录系统日志，违例计数器增加1。

    （2）禁止VLAN（Shutdown VLAN）：适用于VLAN的安全违例模式。在这种模式下，在发生安全违者罚款例事件时，该端口对应的VLAN都将呈错误禁止状态，关闭对应VLAN，而不关闭对应的端口。

    （3）保护：当安全MAC地址数超过端口上配置的最大安全MAC地址数时，未知源MAC地址的包将被丢弃，直到MAC地址表中的安全MAC地址数降到所配置的最大安全MAC地址数以内，或者增加最大安全MAC地址数。而且这种行为没有安全违例行为发生通知。

    （4） 限制：在安全MAC地址数达到端口上配置的最大安全MAC地址数时，未知源MAC地址的包将被丢弃，直到MAC地址表中的安全MAC地址数降到所配置的最大安全MAC地址数以内，或者增加最大安全MAC地址数。

    四、结论

    以上介绍的几种方法，各有各的特点。在可操作性上与安全性上各有不同。网络管理员需要根据自己公司网络的规模、对于安全性的要求等各个方面的因素来选择采用的方案。总之，在网络安全逐渐成为管理员心头大患的今天。交换机的端口安全必须引起大家的关注。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。