基于企業交換機的網絡端口安全技術

魯宏武 高海燕 王健

【摘 要】企業網絡安全涉及領域眾多，根據設備的不同，用途的差異，各種網絡安全技術層出不窮，但是網絡從交換機來說，首選需要保證交換機端口的安全。本文針對在企業環境中的網絡端口安全問題做相關測試，經過大量實驗，得出如何正確利用思科交換機自身命令的相互配合，加強企業網絡的端口安全。

【關鍵詞】網絡端口，網絡安全，思科

【中圖分類號】TP393.01 【文獻標識碼】A 【文章編號】1672-5158（2013）03-0127-01

前言

企業網絡安全涉及領域眾多，根據設備的不同，用途的差異，各種網絡安全技術層出不窮，但是網絡從交換機來說，首選需要保證交換機端口的安全。在不少企業中，員工可以隨意地使用集線器等設備連接辦公交換機，或者使用自己的筆記本電腦連接到企業的網路中，這類的情況會給企業的網絡安全帶來相當大的不利影響。本文針對以上情況，對交換機端口的常見安全威脅進行相關維護，并對相關措施做一總結。

一、常見的安全威脅

在企業中，威脅交換機端口的行為比較多。總結一下有如下情形：

一：未經授權的用戶主機隨意連接到企業的網絡中。如員工自己筆記本，可以在不經管理員同意的情況下，拔下某臺主機的網線，插在自己帶來的筆記本，然后連入到企業的網絡中，這會帶來很大的安全隱患。

二：未經采用同意安裝集線器HUB等網絡設備。有些員工為了增加網絡終端的數量，會在未經授權的情況下。將集線器、交換機等設備插入到辦公室的網絡接口上。如此的話，會導致這個網絡接口對應的交換機接口流量增加，從而導致網絡性能的下降。

三：網絡管理員在日常工作中對于交換機端口的安全性不怎么重視，這是他們網絡安全管理中的一個盲區。

二、主要的應對措施

從以上的分析中可以看出，企業現在交換機端口的安全環境非常的薄弱。在這種情況下，僅僅靠管理上是不夠的，下面我重點介紹下如何利用技術應對以上情況。

（1）應對措施一：MAC地址與端口綁定。

最常用的對端口安全的理解就是可根據MAC地址來做對網絡流量的控制和管理，比如MAC地址與具體的端口綁定，MAC地址與端口綁定，當發現主機的MAC地址與交換機上指定的MAC地址不同時，交換機相應的端口將down掉。當給端口指定MAC地址時，端口模式必須為access或者Trunk狀態。Cisco IOS交換機端口安全功能支持以下幾種安全MAC地址類型：

Switch#config terminal #進入配置模式

Switch（config）# Interface fastethernet 0/1 #進入具體端口配置模式

Switch（config-if）#Switchport port-secruity #配置端口安全模式

以上命令設置交換機上某個端口綁定一個具體的MAC地址，這樣只有這個主機可以使用網絡，如果對該主機的網卡進行了更換或者其他PC機想通過這個端口使用網絡都不可用。

（2）應對措施二：根據MAC地址允許流量的配置

一個安全端口默認有一個安全MAC地址，這個默認值在1～3000之間。當在一個端口上設置最大安全MAC數后，可以使用switchport port-security mac-address mac_address接口配置模式命令配置安全MAC地址；也可通過port-security mac-address VLAN范圍配置命令在中繼端口上一個范圍VLAN中配置所有安全MAC地址，以允許端口用所連接設備的MAC地址動態配置安全MAC地址。

Switch #conf t

Switch （config）#int f0/1

Switch （config-if）#switchport trunk encapsulation dot1q

Switch （config-if）#switchport mode trunk /配置端口模式為TRUNK。

Switch （config-if）#switchport port-security maximum 50 /允許此端口通過的最大MAC地址數目為50。

Switch （config-if）#switchport port-security violation protect /當主機MAC地址數目超過50時，交換機繼續工作，但來自新的主機的數據幀將丟失。

（3）應對措施三：啟用網絡身份認證功能

Switch#conf t

Switch（config）#aaa new-model /啟用AAA認證。

Switch（config）#aaa authentication dot1x default local /全局啟用802.1X協議認證，并使用本地用戶名與密碼。

Switch（config）#int range f0/1 -24

Switch（config-if-range）#dot1x port-control auto /在所有的接口上啟用802.1X身份驗證。

三、應用后的效果分析

經過上述的一系列的技術配置，通過實地測試，基本解決了私接設備、隨意擴交換機的問題。但是在實際應用中，發現了一些問題，以上策略太過于死板，一點執行shutdown后，員工不能上網，如果企業規模較大，容易導致網絡管理員頻繁去修改交換機的端口狀態，針對這種情況，我們可以采用一下恢復策略，智能的處理違規情況。

（1）關閉（Shutdown）：發生安全違例事件時，端口立即呈現錯誤狀態，關閉端口。同時也會發送一個SNMP捕獲消息并記錄系統日志，違例計數器增加1。

（2）禁止VLAN（Shutdown VLAN）：適用于VLAN的安全違例模式。在這種模式下，在發生安全違者罰款例事件時，該端口對應的VLAN都將呈錯誤禁止狀態，關閉對應VLAN，而不關閉對應的端口。

（3）保護：當安全MAC地址數超過端口上配置的最大安全MAC地址數時，未知源MAC地址的包將被丟棄，直到MAC地址表中的安全MAC地址數降到所配置的最大安全MAC地址數以內，或者增加最大安全MAC地址數。而且這種行為沒有安全違例行為發生通知。

（4） 限制：在安全MAC地址數達到端口上配置的最大安全MAC地址數時，未知源MAC地址的包將被丟棄，直到MAC地址表中的安全MAC地址數降到所配置的最大安全MAC地址數以內，或者增加最大安全MAC地址數。

四、結論

以上介紹的幾種方法，各有各的特點。在可操作性上與安全性上各有不同。網絡管理員需要根據自己公司網絡的規模、對于安全性的要求等各個方面的因素來選擇采用的方案?？傊诰W絡安全逐漸成為管理員心頭大患的今天。交換機的端口安全必須引起大家的關注。

參考文獻

【1】焦昀，巫茜，劉曉輝，中小企業網絡管理員實戰指南（第2版） 科學出版社 2011

【2】崔北亮，非常網管：網絡管理從入門到精通（修訂版）人民郵電出版社 2010

【3】海吉（美），網絡安全技術與解決方案（修訂版） 人民郵電出版社 2010

【4】王云，網絡工程設計與系統集成（第2版）人民郵電出版社 2010