信息技术运维与安全管理手册（执行版）.docxVIP

信息技术运维与安全管理手册（执行版）

第1章

1.1核心网络设备配置加固

针对交换机的端口安全功能，必须启用D（单点故障保护）和MAC地址绑定机制，禁止动态MAC地址学习，并设置“学习数量”为2，同时配置“允许MAC地址数量”为1，确保同一端口仅允许一个合法MAC地址接入，防止非法设备接入。在交换机上启用“违规端口”功能，当检测到非授权MAC地址或MAC地址数量异常时，系统会自动将该端口置为err状态并关闭，同时发送SNMPTrap告警，实现毫秒级的异常阻断。

配置VLAN隔离策略，将核心层、汇聚层与接入层划分不同VLAN，并在交换机上启用基于MAC地址的802.1X认证，强制用户必须先通过身份验证才能获取网络接入权限，杜绝未授权访问。设置端口安全限制，将违规端口限制在shutdown状态，并配置VLAN接口（SVI）的shutdown状态，确保一旦端口检测到异常流量，不仅物理链路断开，逻辑路由也立即中断。启用“端口安全”的“限制MAC地址数量”功能，将允许的最大MAC地址数量设置为3，并配置“最大MAC地址数量”为1，强制限制每个端口只能接入一台设备，防止端口被恶意抢占。

定期执行“端口安全”统计报告，查看违规端口数量及违规设备MAC地址，对发现的安全风险设备立即进行下线或更换，确保核心网