淺談交換機(jī)端口的安全配置方法

彭永余

（重慶城市管理職業(yè)學(xué)院，重慶 400131）

淺談交換機(jī)端口的安全配置方法

彭永余

（重慶城市管理職業(yè)學(xué)院，重慶 400131）

內(nèi)網(wǎng)連接中，交換機(jī)起著重要作用。對(duì)交換機(jī)的端口進(jìn)行合理的管理能有效地規(guī)避網(wǎng)絡(luò)入侵。文章主要從限制交換機(jī)端口的最大連接數(shù)、對(duì)交換機(jī)端口進(jìn)行MAC地址的綁定、限制交換機(jī)端口的工作方式等方面闡述交換機(jī)端口的安全配置方法。

交換機(jī)端口；MAC地址；配置命令

交換機(jī)端口安全，是指針對(duì)交換機(jī)的端口所設(shè)置的安全屬性。通過對(duì)交換機(jī)端口的管理，從而控制用戶的安全接入。

1 常見的交換機(jī)端口的安全設(shè)置方法

1.1 限制交換機(jī)端口的最大連接數(shù)

在設(shè)置交換機(jī)端口的最大連接數(shù)時(shí)，如果將最大連接數(shù)設(shè)置為1，并且為該端口配置了一個(gè)安全地址，則連接到這個(gè)端口的設(shè)備（指已為其配置了安全地址的設(shè)備）將獨(dú)占該端口的全部帶寬。交換機(jī)端口最大連接數(shù)的配置命令為：

其中value是設(shè)置的最大連接數(shù)，系統(tǒng)默認(rèn)值為1。

具體配置如下：

當(dāng)交換機(jī)的某一端口利用switchport port-security命令開啟安全功能時(shí)，該端口必須為訪問或者tag模式。

1.2 針對(duì)交換機(jī)端口進(jìn)行MAC地址（有些交換機(jī)支持IP地址）的綁定

為了增強(qiáng)交換機(jī)端口的安全性，可以對(duì)交換機(jī)進(jìn)行端口地址的綁定設(shè)置，將接入設(shè)備（主要為計(jì)算機(jī)）的MAC地址綁定到指定的端口上。有些設(shè)備還支持對(duì)接入設(shè)備IP地址的綁定，同時(shí)還可以實(shí)現(xiàn)MAC地址+IP地址的雙重綁定。通過對(duì)交換機(jī)端口地址的綁定，可以實(shí)現(xiàn)對(duì)接入設(shè)備的嚴(yán)格控制，保證用戶的安全接入，并防止常見的內(nèi)部網(wǎng)絡(luò)攻擊，如ARP欺騙、MAC地址欺騙、針對(duì)IP地址的攻擊等。交換機(jī)端口地址綁定的命令為：

其中，mac_address為接入設(shè)備的MAC地址。有些交換機(jī)還支持端口的IP地址綁定，ip_address為接入設(shè)備的IP地址。

交換機(jī)在默認(rèn)工作狀態(tài)下會(huì)自動(dòng)“學(xué)習(xí)”到接入端口的設(shè)備MAC地址，如果用戶想控制某些設(shè)備的接入時(shí)，可以通過此功能來完成。

1.3 限制交換機(jī)端口的工作方式

交換機(jī)一般都支持全雙工、半雙工，還支持不同連接速率的自動(dòng)協(xié)商功能。交換機(jī)端口工作方式的設(shè)置命令為：

其中，參數(shù)：

auto：指明端口的工作速率為自動(dòng)協(xié)商模式，即交換機(jī)端口根據(jù)所連接設(shè)備的速率（10 Mbit/s或100 Mbit/s）來自動(dòng)確定其速率。

full：強(qiáng)制以10 Mbit/s或100 Mbit/s速率進(jìn)入全雙工模式。

full-flow-control：強(qiáng)制以100 Mbit/s速率進(jìn)入帶流量控制的全雙工模式。該參數(shù)只能在100Base-TX端口上有效。

half：強(qiáng)制以10 Mbit/s或100 Mbit/s速率進(jìn)入半雙工模式。該參數(shù)一般對(duì)于10 Base-T端口是缺省的。

在配置了交換機(jī)端口的安全功能后，當(dāng)實(shí)際應(yīng)用超出配置的要求時(shí)將產(chǎn)生一個(gè)安全違規(guī)。這時(shí)，交換機(jī)一般會(huì)丟棄從未經(jīng)安全許可的設(shè)備來的數(shù)據(jù)，從而實(shí)現(xiàn)了對(duì)端口的安全保護(hù)。當(dāng)某個(gè)端口產(chǎn)生了安全違規(guī)時(shí)，可以設(shè)置下面幾種處理方式。

protect：端口保護(hù)，將丟棄未知名的數(shù)據(jù)幀。

restrict trap：通過SNMP產(chǎn)生一個(gè)陷阱（trap）通知，交上層管理軟件進(jìn)行處理。

shutdown：關(guān)閉端口，并發(fā)送一個(gè)trap通知，管理員可以通過no shutdown命令來開啟已關(guān)閉的端口。

2 實(shí)驗(yàn)驗(yàn)證

使用的網(wǎng)絡(luò)拓?fù)淙鐖D1所示，其中PC1和PC2分別連接交換機(jī)的兩個(gè)不同端口，其中PC1通過COM端口連接交換機(jī)的Console端口對(duì)交換機(jī)進(jìn)行配置。

圖1 實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)

2.1 使用show port-security命令查看交換機(jī)端口最大連接數(shù)

這時(shí)，如果在fastethernet 0/5 端口上通過級(jí)連Hub同時(shí)連接3臺(tái)以上的PC，當(dāng)?shù)?臺(tái)PC接入后該端口將自動(dòng)關(guān)閉。

2.2 利用show port-security address 命令查看交換機(jī)端口上綁定的MAC

2.3 驗(yàn)證fastethernet 0/5 端口以雙全工模式工作

在PC2上，打開網(wǎng)卡的連接屬性對(duì)話框，在圖2所示的“高級(jí)”標(biāo)簽中，將“Link Speed&Duplex”的值強(qiáng)制改為“10 Mbps/half Duplex”，然后在PC1上用Ping命令測(cè)試PC2的IP地址，系統(tǒng)將顯示網(wǎng)絡(luò)不同。說明交換機(jī)端口（fastethernet 0/5）與所連接的設(shè)備PC2的工作模式不匹配。

圖2 設(shè)置PC網(wǎng)卡的工作模式

[1]劉韜，趙大勇，趙亮.聯(lián)動(dòng)式入侵防御系統(tǒng)研究[J].軟件導(dǎo)刊，2013（10）：153-155.

[2]彭亞發(fā).基于端口的網(wǎng)絡(luò)安全控制的實(shí)現(xiàn)[J].電腦開發(fā)與應(yīng)用，2011（9）：77-78.

[3]譚呈祥.局域網(wǎng)交換機(jī)安全管理研究[J].信息安全與技術(shù)，2011（10）：90-92.

Expoundation of the security configuration method of switch port

Peng Yongyu
（Chongqing City Management College, Chongqing 401331, China）

In the network connection, the switch plays an important role. Reasonable management on switch port can effectively avoid network intrusion. The article mainly from limiting the biggest connection number of switch port, binding the MAC address to the switch port, limiting work methods of switch port to expounds the security configuration methods of switch port.

switch port; MAC address; configuration command

彭永余（1980—），女，重慶，初級(jí)職稱；研究方向：多媒體技術(shù)與網(wǎng)絡(luò)安全。