基于企业交换机网络端口安全技术.docVIP

基于企业交换机网络端口安全技术 　　【摘 要】企业网络安全涉及领域众多，根据设备的不同，用途的差异，各种网络安全技术层出不穷，但是网络从交换机来说，首选需要保证交换机端口的安全。本文针对在企业环境中的网络端口安全问题做相关测试，经过大量实验，得出如何正确利用思科交换机自身命令的相互配合，加强企业网络的端口安全。 　　【关键词】网络端口，网络安全，思科 　　【中图分类号】TP393.01 【文献标识码】A 【文章编号】1672-5158（2013）03-0127-01 　　前言 　　企业网络安全涉及领域众多，根据设备的不同，用途的差异，各种网络安全技术层出不穷，但是网络从交换机来说，首选需要保证交换机端口的安全。在不少企业中，员工可以随意地使用集线器等设备连接办公交换机，或者使用自己的笔记本电脑连接到企业的网路中，这类的情况会给企业的网络安全带来相当大的不利影响。本文针对以上情况，对交换机端口的常见安全威胁进行相关维护，并对相关措施做一总结。 　　一、常见的安全威胁 　　在企业中，威胁交换机端口的行为比较多。总结一下有如下情形： 　　一：未经授权的用户主机随意连接到企业的网络中。如员工自己笔记本，可以在不经管理员同意的情况下，拔下某台主机的网线，插在自己带来的笔记本，然后连入到企业的网络中，这会带来很大的安全隐患。 　　二：未经采用同意安装集线器HUB等网络设备。有些员工为了增加网络终端的数量，会在未经授权的情况下。将集线器、交换机等设备插入到办公室的网络接口上。如此的话，会导致这个网络接口对应的交换机接口流量增加，从而导致网络性能的下降。 　　三：网络管理员在日常工作中对于交换机端口的安全性不怎么重视，这是他们网络安全管理中的一个盲区。 　　二、主要的应对措施 　　从以上的分析中可以看出，企业现在交换机端口的安全环境非常的薄弱。在这种情况下，仅仅靠管理上是不够的，下面我重点介绍下如何利用技术应对以上情况。 　　（1）应对措施一：MAC地址与端口绑定。 　　最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口绑定，MAC地址与端口绑定，当发现主机的MAC地址与交换机上指定的MAC地址不同时，交换机相应的端口将down掉。当给端口指定MAC地址时，端口模式必须为access或者Trunk状态。Cisco IOS交换机端口安全功能支持以下几种安全MAC地址类型： 　　Switch#config terminal #进入配置模式 　　Switch（config）# Interface fastethernet 0/1 #进入具体端口配置模式 　　Switch（config-if）#Switchport port-secruity #配置端口安全模式 　　以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用。 　　（2）应对措施二：根据MAC地址允许流量的配置 　　一个安全端口默认有一个安全MAC地址，这个默认值在1～3000之间。当在一个端口上设置最大安全MAC数后，可以使用switchport port-security mac-address mac_address接口配置模式命令配置安全MAC地址；也可通过port-security mac-address VLAN范围配置命令在中继端口上一个范围VLAN中配置所有安全MAC地址，以允许端口用所连接设备的MAC地址动态配置安全MAC地址。 　　Switch #conf t 　　Switch （config）#int f0/1 　　Switch （config-if）#switchport trunk encapsulation dot1q 　　Switch （config-if）#switchport mode trunk /配置端口模式为TRUNK。 　　Switch （config-if）#switchport port-security maximum 50 /允许此端口通过的最大MAC地址数目为50。 　　Switch （config-if）#switchport port-security violation protect /当主机MAC地址数目超过50时，交换机继续工作，但来自新的主机的数据帧将丢失。 　　（3）应对措施三：启用网络身份认证功能 　　Switch#conf t 　　Switch（config）#aaa new-model /启用AAA认证。 　　Switch（config）#aaa authentication dot1x default l