基于企業(yè)交換機的網(wǎng)絡(luò)端口安全技術(shù)

魯宏武 高海燕 王健

【摘 要】企業(yè)網(wǎng)絡(luò)安全涉及領(lǐng)域眾多，根據(jù)設(shè)備的不同，用途的差異，各種網(wǎng)絡(luò)安全技術(shù)層出不窮，但是網(wǎng)絡(luò)從交換機來說，首選需要保證交換機端口的安全。本文針對在企業(yè)環(huán)境中的網(wǎng)絡(luò)端口安全問題做相關(guān)測試，經(jīng)過大量實驗，得出如何正確利用思科交換機自身命令的相互配合，加強企業(yè)網(wǎng)絡(luò)的端口安全。

【關(guān)鍵詞】網(wǎng)絡(luò)端口，網(wǎng)絡(luò)安全，思科

【中圖分類號】TP393.01 【文獻標識碼】A 【文章編號】1672-5158（2013）03-0127-01

前言

企業(yè)網(wǎng)絡(luò)安全涉及領(lǐng)域眾多，根據(jù)設(shè)備的不同，用途的差異，各種網(wǎng)絡(luò)安全技術(shù)層出不窮，但是網(wǎng)絡(luò)從交換機來說，首選需要保證交換機端口的安全。在不少企業(yè)中，員工可以隨意地使用集線器等設(shè)備連接辦公交換機，或者使用自己的筆記本電腦連接到企業(yè)的網(wǎng)路中，這類的情況會給企業(yè)的網(wǎng)絡(luò)安全帶來相當(dāng)大的不利影響。本文針對以上情況，對交換機端口的常見安全威脅進行相關(guān)維護，并對相關(guān)措施做一總結(jié)。

一、常見的安全威脅

在企業(yè)中，威脅交換機端口的行為比較多?？偨Y(jié)一下有如下情形：

一：未經(jīng)授權(quán)的用戶主機隨意連接到企業(yè)的網(wǎng)絡(luò)中。如員工自己筆記本，可以在不經(jīng)管理員同意的情況下，拔下某臺主機的網(wǎng)線，插在自己帶來的筆記本，然后連入到企業(yè)的網(wǎng)絡(luò)中，這會帶來很大的安全隱患。

二：未經(jīng)采用同意安裝集線器HUB等網(wǎng)絡(luò)設(shè)備。有些員工為了增加網(wǎng)絡(luò)終端的數(shù)量，會在未經(jīng)授權(quán)的情況下。將集線器、交換機等設(shè)備插入到辦公室的網(wǎng)絡(luò)接口上。如此的話，會導(dǎo)致這個網(wǎng)絡(luò)接口對應(yīng)的交換機接口流量增加，從而導(dǎo)致網(wǎng)絡(luò)性能的下降。

三：網(wǎng)絡(luò)管理員在日常工作中對于交換機端口的安全性不怎么重視，這是他們網(wǎng)絡(luò)安全管理中的一個盲區(qū)。

二、主要的應(yīng)對措施

從以上的分析中可以看出，企業(yè)現(xiàn)在交換機端口的安全環(huán)境非常的薄弱。在這種情況下，僅僅靠管理上是不夠的，下面我重點介紹下如何利用技術(shù)應(yīng)對以上情況。

（1）應(yīng)對措施一：MAC地址與端口綁定。

最常用的對端口安全的理解就是可根據(jù)MAC地址來做對網(wǎng)絡(luò)流量的控制和管理，比如MAC地址與具體的端口綁定，MAC地址與端口綁定，當(dāng)發(fā)現(xiàn)主機的MAC地址與交換機上指定的MAC地址不同時，交換機相應(yīng)的端口將down掉。當(dāng)給端口指定MAC地址時，端口模式必須為access或者Trunk狀態(tài)。Cisco IOS交換機端口安全功能支持以下幾種安全MAC地址類型：

Switch#config terminal #進入配置模式

Switch（config）# Interface fastethernet 0/1 #進入具體端口配置模式

Switch（config-if）#Switchport port-secruity #配置端口安全模式

以上命令設(shè)置交換機上某個端口綁定一個具體的MAC地址，這樣只有這個主機可以使用網(wǎng)絡(luò)，如果對該主機的網(wǎng)卡進行了更換或者其他PC機想通過這個端口使用網(wǎng)絡(luò)都不可用。

（2）應(yīng)對措施二：根據(jù)MAC地址允許流量的配置

一個安全端口默認有一個安全MAC地址，這個默認值在1～3000之間。當(dāng)在一個端口上設(shè)置最大安全MAC數(shù)后，可以使用switchport port-security mac-address mac_address接口配置模式命令配置安全MAC地址；也可通過port-security mac-address VLAN范圍配置命令在中繼端口上一個范圍VLAN中配置所有安全MAC地址，以允許端口用所連接設(shè)備的MAC地址動態(tài)配置安全MAC地址。

Switch #conf t

Switch （config）#int f0/1

Switch （config-if）#switchport trunk encapsulation dot1q

Switch （config-if）#switchport mode trunk /配置端口模式為TRUNK。

Switch （config-if）#switchport port-security maximum 50 /允許此端口通過的最大MAC地址數(shù)目為50。

Switch （config-if）#switchport port-security violation protect /當(dāng)主機MAC地址數(shù)目超過50時，交換機繼續(xù)工作，但來自新的主機的數(shù)據(jù)幀將丟失。

（3）應(yīng)對措施三：啟用網(wǎng)絡(luò)身份認證功能

Switch#conf t

Switch（config）#aaa new-model /啟用AAA認證。

Switch（config）#aaa authentication dot1x default local /全局啟用802.1X協(xié)議認證，并使用本地用戶名與密碼。

Switch（config）#int range f0/1 -24

Switch（config-if-range）#dot1x port-control auto /在所有的接口上啟用802.1X身份驗證。

三、應(yīng)用后的效果分析

經(jīng)過上述的一系列的技術(shù)配置，通過實地測試，基本解決了私接設(shè)備、隨意擴交換機的問題。但是在實際應(yīng)用中，發(fā)現(xiàn)了一些問題，以上策略太過于死板，一點執(zhí)行shutdown后，員工不能上網(wǎng)，如果企業(yè)規(guī)模較大，容易導(dǎo)致網(wǎng)絡(luò)管理員頻繁去修改交換機的端口狀態(tài)，針對這種情況，我們可以采用一下恢復(fù)策略，智能的處理違規(guī)情況。

（1）關(guān)閉（Shutdown）：發(fā)生安全違例事件時，端口立即呈現(xiàn)錯誤狀態(tài)，關(guān)閉端口。同時也會發(fā)送一個SNMP捕獲消息并記錄系統(tǒng)日志，違例計數(shù)器增加1。

（2）禁止VLAN（Shutdown VLAN）：適用于VLAN的安全違例模式。在這種模式下，在發(fā)生安全違者罰款例事件時，該端口對應(yīng)的VLAN都將呈錯誤禁止狀態(tài)，關(guān)閉對應(yīng)VLAN，而不關(guān)閉對應(yīng)的端口。

（3）保護：當(dāng)安全MAC地址數(shù)超過端口上配置的最大安全MAC地址數(shù)時，未知源MAC地址的包將被丟棄，直到MAC地址表中的安全MAC地址數(shù)降到所配置的最大安全MAC地址數(shù)以內(nèi)，或者增加最大安全MAC地址數(shù)。而且這種行為沒有安全違例行為發(fā)生通知。

（4） 限制：在安全MAC地址數(shù)達到端口上配置的最大安全MAC地址數(shù)時，未知源MAC地址的包將被丟棄，直到MAC地址表中的安全MAC地址數(shù)降到所配置的最大安全MAC地址數(shù)以內(nèi)，或者增加最大安全MAC地址數(shù)。

四、結(jié)論

以上介紹的幾種方法，各有各的特點。在可操作性上與安全性上各有不同。網(wǎng)絡(luò)管理員需要根據(jù)自己公司網(wǎng)絡(luò)的規(guī)模、對于安全性的要求等各個方面的因素來選擇采用的方案。總之，在網(wǎng)絡(luò)安全逐漸成為管理員心頭大患的今天。交換機的端口安全必須引起大家的關(guān)注。

參考文獻

【1】焦昀，巫茜，劉曉輝，中小企業(yè)網(wǎng)絡(luò)管理員實戰(zhàn)指南（第2版） 科學(xué)出版社 2011

【2】崔北亮，非常網(wǎng)管：網(wǎng)絡(luò)管理從入門到精通（修訂版）人民郵電出版社 2010

【3】海吉（美），網(wǎng)絡(luò)安全技術(shù)與解決方案（修訂版） 人民郵電出版社 2010

【4】王云，網(wǎng)絡(luò)工程設(shè)計與系統(tǒng)集成（第2版）人民郵電出版社 2010