摘 要:内网连接中,交换机起着重要作用。对交换机的端口进行合理的管理能有效地规避网络入侵。文章主要从限制交换机端口的最大连接数、对交换机端口进行MAC地址的绑定、限制交换机端口的工作方式等方面阐述交换机端口的安全配置方法。
关键词:交换机端口;MAC地址;配置命令
交换机端口安全,是指针对交换机的端口所设置的安全属性。通过对交换机端口的管理,从而控制用户的安全接入。
1 常见的交换机端口的安全设置方法
1.1 限制交换机端口的最大连接数
在设置交换机端口的最大连接数时,如果将最大连接数设置为1,并且为该端口配置了一个安全地址,则连接到这个端口的设备(指已为其配置了安全地址的设备)将独占该端口的全部带宽。交换机端口最大连接数的配置命令为:
其中value是设置的最大连接数,系统默认值为1。
具体配置如下:
当交换机的某一端口利用switchport port-security命令开启安全功能时,该端口必须为访问或者tag模式。
1.2 针对交换机端口进行MAC地址(有些交换机支持IP地址)的绑定
为了增强交换机端口的安全性,可以对交换机进行端口地址的绑定设置,将接入设备(主要为计算机)的MAC地址绑定到指定的端口上。有些设备还支持对接入设备IP地址的绑定,同时还可以实现MAC地址+IP地址的双重绑定。通过对交换机端口地址的绑定,可以实现对接入设备的严格控制,保证用户的安全接入,并防止常见的内部网络攻击,如ARP欺骗、MAC地址欺骗、针对IP地址的攻击等。交换机端口地址绑定的命令为:
其中,mac_address为接入设备的MAC地址。有些交换机还支持端口的IP地址绑定,ip_address为接入设备的IP地址。
交换机在默认工作状态下会自动“学习”到接入端口的设备MAC地址,如果用户想控制某些设备的接入时,可以通过此功能来完成。
1.3 限制交换机端口的工作方式
交换机一般都支持全双工、半双工,还支持不同连接速率的自动协商功能。交换机端口工作方式的设置命令为:
其中,参数:
auto:指明端口的工作速率为自动协商模式,即交换机端口根据所连接设备的速率(10 Mbit/s或100 Mbit/s)来自动确定其速率。
full:强制以10 Mbit/s或100 Mbit/s速率进入全双工模式。
full-flow-control:强制以100 Mbit/s速率进入带流量控制的全双工模式。该参数只能在100base-TX端口上有效。
half:强制以10 Mbit/s或100 Mbit/s速率进入半双工模式。该参数一般对于10 base-T端口是缺省的。
在配置了交换机端口的安全功能后,当实际应用超出配置的要求时将产生一个安全违规。这时,交换机一般会丢弃从未经安全许可的设备来的数据,从而实现了对端口的安全保护。当某个端口产生了安全违规时,可以设置下面几种处理方式。
protect:端口保护,将丢弃未知名的数据帧。
restrict trap:通过SNMP产生一个陷阱(trap)通知,交上层管理软件进行处理。
shutdown:关闭端口,并发送一个trap通知,管理员可以通过no shutdown命令来开启已关闭的端口。
2 实验验证
使用的网络拓扑如图1所示,其中PC1和PC2分别连接交换机的两个不同端口,其中PC1通过COM端口连接交换机的Console端口对交换机进行配置。
图1 实验拓扑结构
2.1 使用show port-security命令查看交换机端口最大连接数
这时,如果在fastethernet 0/5 端口上通过级连Hub同时连接3台以上的PC,当第3台PC接入后该端口将自动关闭。
2.2 利用show port-security address 命令查看交换机端口上绑定的MAC
2.3 验证fastethernet 0/5 端口以双全工模式工作
在PC2上,打开网卡的连接属性对话框,在图2所示的“高级”标签中,将“link Speed&Duplex”的值强制改为“10 Mbps/half Duplex”,然后在PC1上用Ping命令测试PC2的IP地址,系统将显示网络不同。说明交换机端口(fastethernet 0/5)与所连接的设备PC2的工作模式不匹配。
图2 设置PC网卡的工作模式