淺談交換機端口安全技術

◆胡玲芳 趙秀麗

（六盤水職業(yè)技術學院 貴州 553000）

網(wǎng)絡安全是一個關系國家安全和主權、社會的穩(wěn)定、民族文化的繼承和發(fā)揚的重要問題。隨著全球信息化步伐的加快，網(wǎng)絡安全變得越來越重要。交換機是構建大中小型網(wǎng)絡接入層必不可少的設備，在交換機上采取措施保證網(wǎng)絡安全也是每一個網(wǎng)絡管理員十分關心的問題。交換機的安全措施有很多，例如鏈路聚合、生成樹等。本文所講的是交換機端口安全。交換機端口安全配置比較簡單，但是很實用的一項技術，能防止網(wǎng)絡攻擊和破壞行為。端口安全，通俗講就是只允許某個MAC 地址通過本端口通信，其他MAC 地址發(fā)送的數(shù)據(jù)包通過此端口時，端口安全會阻止它。

1 交換機端口安全應用場景

在一個對網(wǎng)絡安全有要求的場景中，然而設備又無法做到徹底物理隔絕時，這就需要通過在設備上進行配置，限制連接到設備端口上的用戶PC，僅指定用戶可以連接到端口，并正常使用網(wǎng)絡，其他用戶即使連接上端口，也無法使用。配置完成后，無須管理員經(jīng)常維護。這可以防止公司內部的網(wǎng)絡攻擊和破壞行為，不僅為員工分配了固定的合法IP 地址，而且還限制了只允許分配的合法IP 地址可以使用網(wǎng)絡，并不得隨意連接其他主機。

2 端口安全概述

端口安全是指通過定義報文的源MAC 地址來限定報文是否可以進入交換機的端口，可以靜態(tài)設置特定的MAC 地址或者限定動態(tài)學習的MAC 地址的個數(shù)來控制報文是否可以進入端口。只有源MAC地址為端口安全地址表中配置或者學習到的MAC 地址的報文才可以進入交換機通信，其他報文將被丟棄。交換機端口安全可以設定端口安全地址綁定IP+MAC，或者僅綁定IP 實現(xiàn)。

安全端口最大連接數(shù)，指的是允許此端口通過的最大MAC 地址的數(shù)目，控制交換機端口下連主機的數(shù)量。既可以通過手工配置端口的所有安全地址，也可以通過端口自動學習地址，這些自動學習到的地址將變成該端口上的安全地址，直到達到最大個數(shù)。

安全端口違例的處理模式有三種，protect：當安全地址個數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個）的數(shù)據(jù)包；restrict：產(chǎn)生違例時，發(fā)送一個Trap 通知；shutdown：產(chǎn)生違例時，發(fā)送一個Trap 通知且關閉端口，端口進入“err-disabled”狀態(tài)，之后端口將不再接收任何數(shù)據(jù)幀。

3 銳捷設備的交換機安全端口配置命令

（1）啟動端口安全功能

Switch（config-if）#switchport port-security

（2）設置端口安全地址

Switch（config-if）#switchport port-security mac-address mac-address [ip-address ip-address]

其中：mac-address：端口的安全地址

ip-address：這個安全地址綁定的IP 地址

（3）設置端口安全地址的最大個數(shù)

Switch（config-if）#switchport port-security maximum value

其中：

value：端口上安全地址的最大個數(shù)，范圍是1～128。

（4）設置安全端口違例處理

Switch（config-if）#switchport port-security violation {protect | restrict | shutdown}

其中：

protect：當違例產(chǎn)生時，將丟棄未知名地址（不是該端口的安全地址）的報文；

restrict：當違例產(chǎn)生時，將發(fā)送一個Trap 通知；

shutdown：當違例產(chǎn)生時，將關閉端口并發(fā)送一個Trap 通知。

案例1 在交換機Fa 0/1 端口上設置端口安全功能，最大連接數(shù)設置為8。

Switch#config

Switch（config）# interface fastethernet 0/1

Switch（config-if）# switchport mode access

Switch（config-if）# switchport port-security

Switch（config-if）# switchport port-security maximum 8

Switch（config-if）# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.10

Switch（config-if）#end

Switch#show port-security

案例2 要求F0/3 端口只能接入192.168.1.3 且mac 地址是0011.1111.1113 的電腦

Ruijie>enable

Ruijie#configure terminal

Ruijie（config）#interface fastEthernet 0/3 Ruijie（config-if-FastEthernet 0/2）#switchport port-security binding 0011.1111.1113 VLAN 1 192.168.1.2//把屬于VLAN1，且mac 地址是0011.1111.1113，ip 地址192.168.1.3，綁定在交換機的0/3

Ruijie（config-if-FastEthernet 0/2）#switchport port-security//開啟端口安全功能

Ruijie（config-if-FastEthernet 0/2）#end// 退出

Ruijie#write//存配置

案例3 要求F0/4 端口要求只能接入ip 地址是192.168.1.4 的電腦，mac 地址無要求。即F0/4 下的電腦ip 地址只能成192.168.1.4

Ruijie>enable

Ruijie#configure terminal

Ruijie（config）#interfac fastEthernet 0/4

Ruijie（config-if-FastEthernet 0/3）# switchport port-security binding

192.168.1.4//把ip 地址是192.168.1.4 的終端定在交換機的第四個接口

Ruijie（config-if-FastEthernet 0/3）#switchport port-security//開啟端口安全功能

Ruijie（config-if-FastEthernet 0/3）#end

Ruijie#write//確認配置正確，保存配置

（5）要求F0/5 接口只能接入PC6 和PC7，其他電腦即mac 地

址接入了也不能通信

Ruijie>enable

Ruijie#configure terminal

Ruijie（config）#interface fastEthernet 0/4

Ruijie（config-if-FastEthernet 0/4）# switchport port-security mac-address 0011.1111.1116 VLAN 1//把屬于 VLAN1，且 mac 地址是0011.1111.1114 的終端綁定在交換機的第五個百兆接口

Ruijie（config-if-FastEthernet 0/4）# switchport port-security mac-address 0011.1111.1117 VLAN 1//把屬于 VLAN1，且 mac 地址是0011.1111.1115 的終端綁定在交換機的第五個百兆接口

Ruijie（config-if-FastEthernet 0/4）#switchport port-security maximum 2//默認128

Ruijie（config-if-FastEthernet 0/4）#switchport port-security//開啟端口安全功能

Ruijie（config-if-FastEthernet 0/3）#end

Ruijie#write//確認配置正確，保存配置

4 華為設備的交換機端口安全配置

（1）查看mac 地址表

display mac-address

（2）配置靜態(tài)mac 地址表

[Huawei]mac-address static 5489-98C0-7E34 GigabitEthernet 0/0/1 VLAN 1 將mac 地址綁定到接口g0/0/1 在VLAN1 中有效

（3）配置端口安全動態(tài)mac 地址

此功能是將動態(tài)學習到的MAC 地址設置為安全屬性，其他沒有被學習到的非安全屬性的MAC 的幀將被端口丟棄

[Huawei-GigabitEthernet0/0/3]port-security enable//打開端口安全功能

[Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1//限制安全MAC 地址最大數(shù)量為1 個，默認為1

[Huawei-GigabitEthernet0/0/3]port-security protect-action protect// 配置其他非安全mac 地址數(shù)據(jù)幀的處理動作 注：protect Discard packets//丟棄，不產(chǎn)生告警信息 restrict Discard packets and warning//丟棄，產(chǎn)生告警信息（默認的）shutdown Shutdown//丟棄，并將端口shutdown

[Huawei-GigabitEthernet0/0/3]port-security aging-time 300//配置安全MAC 地址的老化時間300s，默認不老化

5 結束語

網(wǎng)絡安全是國家安全的奠基石，目前國家也越來越重視網(wǎng)絡安全。網(wǎng)絡中設備很多，有防火墻、路由器、交換機等，本文主要講了交換機的端口安全。網(wǎng)絡安全任重道遠。