通過(guò)配置交換機(jī)端口增強(qiáng)安全性

網(wǎng)絡(luò)管理員面臨的一個(gè)日漸嚴(yán)峻的挑戰(zhàn)是決定哪些人可以訪(fǎng)問(wèn)單位內(nèi)部的網(wǎng)絡(luò)，哪些人不可以。如果公司需要演示某個(gè)外來(lái)客戶(hù)的產(chǎn)品,將以太網(wǎng)電纜從公司內(nèi)部一臺(tái)計(jì)算機(jī)上拔下來(lái)，插到的客戶(hù)計(jì)算機(jī)上。這樣一來(lái)，他計(jì)算機(jī)內(nèi)部的蠕蟲(chóng)、病毒什么的對(duì)你的局域網(wǎng)就是一個(gè)極大威脅了。今天我們看一下怎樣通過(guò)配置交換機(jī)端口來(lái)解決類(lèi)似的安全問(wèn)題。
    從基本原理上講，Port Security(端口安全)特性記住的是連接到交換機(jī)端口的以太網(wǎng)MAC地址即網(wǎng)卡號(hào)，并只允許某個(gè)MAC地址通過(guò)本端口通信。如果任何其它MAC地址試圖通過(guò)此端口通信，端口安全特性會(huì)阻止它。使用端口安全特性可以防止某些設(shè)備訪(fǎng)問(wèn)網(wǎng)絡(luò)，并增強(qiáng)安全性。
    配置端口安全是相對(duì)比較簡(jiǎn)單的。最簡(jiǎn)單的形式，就是Port Security需要指向一個(gè)已經(jīng)啟用的端口并輸入Port Security接口模式命令。
    Switch)# config t
    Switch(config)# int fa0/18
    Switch(config-if)# switchport port-security
    aging Port-security aging commands
    mac-address Secure mac address
    maximum Max secure addresses
    violation Security violation mode
    Switch(config-if)# switchport port-security
    Switch(config-if)#^Z
    在此我們通過(guò)輸入最基本的命令來(lái)配置端口安全，接授了只允許一個(gè)MAC地址的默認(rèn)設(shè)置，這就決定了只有第一個(gè)設(shè)備的MAC地址可以與這個(gè)端口通信；如果另一MAC地址試圖通過(guò)此端口通信，交換機(jī)會(huì)關(guān)閉此端口。下面談一下如何可以改變此設(shè)置。
    當(dāng)然應(yīng)該根據(jù)實(shí)際情況來(lái)配置端口安全。此例中，實(shí)際上用戶(hù)還可以配置其它的端口安全命令：
    switchport port-security maximum {允許的最多MAC地址數(shù)量}:可以使用這個(gè)選項(xiàng)允許多個(gè)MAC地址。例如，如果用戶(hù)有一個(gè)12端口的集線(xiàn)器連接到交換機(jī)的此端口，就需要12個(gè)MAC：switchport port-security maximum 12 /允許此端口通過(guò)的MAC地址數(shù)目為12。
    switchport port-security violation {shutdown 　 restrict 　 protect}:此命令告訴交換機(jī)當(dāng)端口上MAC地址數(shù)超過(guò)了數(shù)量之后交換機(jī)應(yīng)該怎么做。默認(rèn)是關(guān)閉端口。我們可以選擇使用restrict來(lái)警告網(wǎng)絡(luò)管理員，也可以選擇protect來(lái)允許通過(guò)安全端口通信并丟棄來(lái)自其它MAC地址的數(shù)據(jù)包。
    switchport port-security mac-address {MAC 地址}:使用此選項(xiàng)來(lái)手動(dòng)定義允許使用此端口的MAC地址而不是由端口動(dòng)態(tài)地定義MAC地址。