淺談交換機(jī)端口安全技術(shù)

◆胡玲芳 趙秀麗

（六盤水職業(yè)技術(shù)學(xué)院 貴州 553000）

網(wǎng)絡(luò)安全是一個(gè)關(guān)系國(guó)家安全和主權(quán)、社會(huì)的穩(wěn)定、民族文化的繼承和發(fā)揚(yáng)的重要問(wèn)題。隨著全球信息化步伐的加快，網(wǎng)絡(luò)安全變得越來(lái)越重要。交換機(jī)是構(gòu)建大中小型網(wǎng)絡(luò)接入層必不可少的設(shè)備，在交換機(jī)上采取措施保證網(wǎng)絡(luò)安全也是每一個(gè)網(wǎng)絡(luò)管理員十分關(guān)心的問(wèn)題。交換機(jī)的安全措施有很多，例如鏈路聚合、生成樹(shù)等。本文所講的是交換機(jī)端口安全。交換機(jī)端口安全配置比較簡(jiǎn)單，但是很實(shí)用的一項(xiàng)技術(shù)，能防止網(wǎng)絡(luò)攻擊和破壞行為。端口安全，通俗講就是只允許某個(gè)MAC 地址通過(guò)本端口通信，其他MAC 地址發(fā)送的數(shù)據(jù)包通過(guò)此端口時(shí)，端口安全會(huì)阻止它。

1 交換機(jī)端口安全應(yīng)用場(chǎng)景

在一個(gè)對(duì)網(wǎng)絡(luò)安全有要求的場(chǎng)景中，然而設(shè)備又無(wú)法做到徹底物理隔絕時(shí)，這就需要通過(guò)在設(shè)備上進(jìn)行配置，限制連接到設(shè)備端口上的用戶PC，僅指定用戶可以連接到端口，并正常使用網(wǎng)絡(luò)，其他用戶即使連接上端口，也無(wú)法使用。配置完成后，無(wú)須管理員經(jīng)常維護(hù)。這可以防止公司內(nèi)部的網(wǎng)絡(luò)攻擊和破壞行為，不僅為員工分配了固定的合法IP 地址，而且還限制了只允許分配的合法IP 地址可以使用網(wǎng)絡(luò)，并不得隨意連接其他主機(jī)。

2 端口安全概述

端口安全是指通過(guò)定義報(bào)文的源MAC 地址來(lái)限定報(bào)文是否可以進(jìn)入交換機(jī)的端口，可以靜態(tài)設(shè)置特定的MAC 地址或者限定動(dòng)態(tài)學(xué)習(xí)的MAC 地址的個(gè)數(shù)來(lái)控制報(bào)文是否可以進(jìn)入端口。只有源MAC地址為端口安全地址表中配置或者學(xué)習(xí)到的MAC 地址的報(bào)文才可以進(jìn)入交換機(jī)通信，其他報(bào)文將被丟棄。交換機(jī)端口安全可以設(shè)定端口安全地址綁定IP+MAC，或者僅綁定IP 實(shí)現(xiàn)。

安全端口最大連接數(shù)，指的是允許此端口通過(guò)的最大MAC 地址的數(shù)目，控制交換機(jī)端口下連主機(jī)的數(shù)量。既可以通過(guò)手工配置端口的所有安全地址，也可以通過(guò)端口自動(dòng)學(xué)習(xí)地址，這些自動(dòng)學(xué)習(xí)到的地址將變成該端口上的安全地址，直到達(dá)到最大個(gè)數(shù)。

安全端口違例的處理模式有三種，protect：當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個(gè)）的數(shù)據(jù)包；restrict：產(chǎn)生違例時(shí)，發(fā)送一個(gè)Trap 通知；shutdown：產(chǎn)生違例時(shí)，發(fā)送一個(gè)Trap 通知且關(guān)閉端口，端口進(jìn)入“err-disabled”狀態(tài)，之后端口將不再接收任何數(shù)據(jù)幀。

3 銳捷設(shè)備的交換機(jī)安全端口配置命令

（1）啟動(dòng)端口安全功能

Switch（config-if）#switchport port-security

（2）設(shè)置端口安全地址

Switch（config-if）#switchport port-security mac-address mac-address [ip-address ip-address]

其中：mac-address：端口的安全地址

ip-address：這個(gè)安全地址綁定的IP 地址

（3）設(shè)置端口安全地址的最大個(gè)數(shù)

Switch（config-if）#switchport port-security maximum value

其中：

value：端口上安全地址的最大個(gè)數(shù)，范圍是1～128。

（4）設(shè)置安全端口違例處理

Switch（config-if）#switchport port-security violation {protect | restrict | shutdown}

其中：

protect：當(dāng)違例產(chǎn)生時(shí)，將丟棄未知名地址（不是該端口的安全地址）的報(bào)文；

restrict：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap 通知；

shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap 通知。

案例1 在交換機(jī)Fa 0/1 端口上設(shè)置端口安全功能，最大連接數(shù)設(shè)置為8。

Switch#config

Switch（config）# interface fastethernet 0/1

Switch（config-if）# switchport mode access

Switch（config-if）# switchport port-security

Switch（config-if）# switchport port-security maximum 8

Switch（config-if）# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.10

Switch（config-if）#end

Switch#show port-security

案例2 要求F0/3 端口只能接入192.168.1.3 且mac 地址是0011.1111.1113 的電腦

Ruijie>enable

Ruijie#configure terminal

Ruijie（config）#interface fastEthernet 0/3 Ruijie（config-if-FastEthernet 0/2）#switchport port-security binding 0011.1111.1113 VLAN 1 192.168.1.2//把屬于VLAN1，且mac 地址是0011.1111.1113，ip 地址192.168.1.3，綁定在交換機(jī)的0/3

Ruijie（config-if-FastEthernet 0/2）#switchport port-security//開(kāi)啟端口安全功能

Ruijie（config-if-FastEthernet 0/2）#end// 退出

Ruijie#write//存配置

案例3 要求F0/4 端口要求只能接入ip 地址是192.168.1.4 的電腦，mac 地址無(wú)要求。即F0/4 下的電腦ip 地址只能成192.168.1.4

Ruijie>enable

Ruijie#configure terminal

Ruijie（config）#interfac fastEthernet 0/4

Ruijie（config-if-FastEthernet 0/3）# switchport port-security binding

192.168.1.4//把ip 地址是192.168.1.4 的終端定在交換機(jī)的第四個(gè)接口

Ruijie（config-if-FastEthernet 0/3）#switchport port-security//開(kāi)啟端口安全功能

Ruijie（config-if-FastEthernet 0/3）#end

Ruijie#write//確認(rèn)配置正確，保存配置

（5）要求F0/5 接口只能接入PC6 和PC7，其他電腦即mac 地

址接入了也不能通信

Ruijie>enable

Ruijie#configure terminal

Ruijie（config）#interface fastEthernet 0/4

Ruijie（config-if-FastEthernet 0/4）# switchport port-security mac-address 0011.1111.1116 VLAN 1//把屬于 VLAN1，且 mac 地址是0011.1111.1114 的終端綁定在交換機(jī)的第五個(gè)百兆接口

Ruijie（config-if-FastEthernet 0/4）# switchport port-security mac-address 0011.1111.1117 VLAN 1//把屬于 VLAN1，且 mac 地址是0011.1111.1115 的終端綁定在交換機(jī)的第五個(gè)百兆接口

Ruijie（config-if-FastEthernet 0/4）#switchport port-security maximum 2//默認(rèn)128

Ruijie（config-if-FastEthernet 0/4）#switchport port-security//開(kāi)啟端口安全功能

Ruijie（config-if-FastEthernet 0/3）#end

Ruijie#write//確認(rèn)配置正確，保存配置

4 華為設(shè)備的交換機(jī)端口安全配置

（1）查看mac 地址表

display mac-address

（2）配置靜態(tài)mac 地址表

[Huawei]mac-address static 5489-98C0-7E34 GigabitEthernet 0/0/1 VLAN 1 將mac 地址綁定到接口g0/0/1 在VLAN1 中有效

（3）配置端口安全動(dòng)態(tài)mac 地址

此功能是將動(dòng)態(tài)學(xué)習(xí)到的MAC 地址設(shè)置為安全屬性，其他沒(méi)有被學(xué)習(xí)到的非安全屬性的MAC 的幀將被端口丟棄

[Huawei-GigabitEthernet0/0/3]port-security enable//打開(kāi)端口安全功能

[Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1//限制安全MAC 地址最大數(shù)量為1 個(gè)，默認(rèn)為1

[Huawei-GigabitEthernet0/0/3]port-security protect-action protect// 配置其他非安全mac 地址數(shù)據(jù)幀的處理動(dòng)作 注：protect Discard packets//丟棄，不產(chǎn)生告警信息 restrict Discard packets and warning//丟棄，產(chǎn)生告警信息（默認(rèn)的）shutdown Shutdown//丟棄，并將端口shutdown

[Huawei-GigabitEthernet0/0/3]port-security aging-time 300//配置安全MAC 地址的老化時(shí)間300s，默認(rèn)不老化

5 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全是國(guó)家安全的奠基石，目前國(guó)家也越來(lái)越重視網(wǎng)絡(luò)安全。網(wǎng)絡(luò)中設(shè)備很多，有防火墻、路由器、交換機(jī)等，本文主要講了交換機(jī)的端口安全。網(wǎng)絡(luò)安全任重道遠(yuǎn)。