交換機(jī)的端口安全

在企業(yè)中，交換機(jī)特別是第二層的交換機(jī)一般用途是用來連接終端設(shè)備如計(jì)算機(jī)，所以都會(huì)放在相對(duì)容易被用戶接觸到的地方，基于信息安全的角度考慮，網(wǎng)管人員往往希望禁止用戶私自將未經(jīng)驗(yàn)證的終端設(shè)備接上交換機(jī)的端口上，又或者基于封包流量、保證服務(wù)質(zhì)量、交換器性能等方面考慮，不希望交換機(jī)上的端口串接太多的終端設(shè)備，這時(shí)候，交換機(jī)的端口安全就大派用場(chǎng)，通過設(shè)定，可以限制未經(jīng)驗(yàn)證的設(shè)備接上公司網(wǎng)絡(luò)，又或者限制交換器端口上連接的設(shè)備數(shù)量。

圖1 實(shí)例一架構(gòu)圖

我們知道，第二層交換機(jī)有認(rèn)識(shí)MAC-address的本領(lǐng)，也可以通過MAC-address做到數(shù)據(jù)封包的精準(zhǔn)傳送，我們可以利用交換機(jī)能夠?qū)W習(xí)到設(shè)備的MAC-address功能對(duì)交換機(jī)上的端口做一些安全性的設(shè)定。

在具體設(shè)定交換機(jī)的端口安全之前，有一些概念和事項(xiàng)需要留意，交換機(jī)的安全MAC有三種形式：

1.動(dòng)態(tài)安全MAC：交換機(jī)端口動(dòng)態(tài)學(xué)習(xí)安全 MAC，這是默認(rèn)選項(xiàng)。

2.靜態(tài)安全MAC：交換機(jī)端口靜態(tài)學(xué)習(xí)安全MAC，主要由網(wǎng)管人員靜態(tài)將MAC地址與端口綁定。

3.粘滯安全MAC：交換機(jī)端口學(xué)習(xí)安全MAC是先到先得的方法。

如果一個(gè)端口違反了安全MAC的規(guī)則，可以受到以下的“懲罰”。

端口受到保護(hù)（protect）。將違反安全MAC規(guī)則的設(shè)備封包丟棄。

端口受到限制（restrict）。 將 違反 安全MAC規(guī)則的設(shè)備封包丟棄，并且做日志記錄。

端口被關(guān)閉。將違反安全MAC規(guī)則的端口關(guān)閉，不傳送任何設(shè)備的封包，并且做日志記錄。

此外，值得留意的是，交換機(jī)上每一個(gè)端口都可以設(shè)定成access模式或者trunk模式，要啟動(dòng)端口安全功能，端口一定要設(shè)定成access模式，trunk模式無法啟動(dòng)端口安全功能。

接下來我們進(jìn)行兩個(gè)實(shí)例，并對(duì)以上提到的概念做講解。

實(shí)例一：

如圖1為架構(gòu)圖，交換機(jī)的所有界面一開始都是默認(rèn)關(guān)閉的，可以用“show port-security interface fa0/1”指令來查看，如圖2所示。

我們需要在SW1中輸入以下指令啟動(dòng)fa0/1界面的端口安全功能，如圖3所示。

設(shè)定好后使用“show port-security interface fa0/1”查 看信息。

我們發(fā)現(xiàn)將PC2接上SW1的fa0/1界面后界面立即被關(guān)閉。

查看 fa0/1界面的端口安全信息可以知道這個(gè)界面最后接上的設(shè)備的MAC地址是PC2，如圖4所示。

圖2 查看界面信息

圖3 啟動(dòng)fa0/1界面端口安全功能

圖4 查看 fa0/1界面端口安全信息

圖5 實(shí)例二架構(gòu)圖

圖6 在SW1上啟動(dòng)端口安全功能

圖7 將PC4接在fa0/1界面

實(shí)例二：

架構(gòu)如圖5所示，先在SW1上啟動(dòng)端口安全功能（如圖 6）。

使 用PC1 ping 192.168.10.255 產(chǎn)生廣播封包，讓SW1的fa0/1界面學(xué)習(xí)到目前連在上面的3臺(tái)計(jì)算機(jī)，然后查看一下fa0/1界面的端口安全信息，可以發(fā)現(xiàn)fa0/1已經(jīng)學(xué)習(xí)到3臺(tái)計(jì)算機(jī)的MAC信息，而且也達(dá)到安全MAC的上限。

現(xiàn)在我們?cè)囈幌掳裀C4也接在fa0/1界面下，如圖7所示。

PC4 ping PC5，發(fā)現(xiàn)根本無法ping通。

而PC1、PC2、PC3由于是一開始被fa0/1學(xué)習(xí)到的，是屬于安全MAC內(nèi)合法計(jì)算機(jī)，所以fa0/1界面會(huì)幫忙轉(zhuǎn)發(fā)其封包。

但PC4的封包則會(huì)被丟棄，解決的方法很簡(jiǎn)單，就是在fa0/1界面下輸 入“switchport portsecurity maximum 4”，將安全MAC的數(shù)目上限調(diào)整為4就可以了。