引言：交換機自身具備不少有特色的安全功能，如果能夠深入了解并加以利用，可以為企業(yè)帶來很好的安全防護效果，b并能節(jié)省大量的IT支出成本，這對于不少IT投資預算不足的企業(yè)是很有價值的。本文將結合實際應用，介紹交換機常用的安全功能，希望給各位同行帶來一些幫助。

交換機作為企業(yè)信息化建設基礎設施的重要組成部分，是使用數(shù)量最多的網(wǎng)絡設備之一。近年來，隨著智能交換機技術的發(fā)展，交換機的功能有了很多擴展，除了傳統(tǒng)的二層（數(shù)據(jù)鏈路層）數(shù)據(jù)轉發(fā)功能以外，還具備了很多三層（網(wǎng)絡層）和四層（傳輸層）的功能。特別是交換機所具備的安全防護方面的功能，如果運用得當，可以以非常低的成本獲得較高的安全防護回報，為企業(yè)節(jié)省大量投資成本。下面將介紹Port security（端口安全）和ACL（訪問控制列表）兩種常用的交換機安全功能。

端口安全

端口安全的基本功能就是根據(jù)交換機所轉發(fā)的二層數(shù)據(jù)包中的MAC地址來對網(wǎng)絡流量進行管理和控制，只允許經(jīng)過授權的MAC地址或者符合控制策略的MAC地址通過本端口通信，其他MAC地址發(fā)送的數(shù)據(jù)包經(jīng)過此端口時，端口安全特性會按照特定的策略進行阻止。使用端口安全特性可以防止未經(jīng)授權的設備接入網(wǎng)絡，起到一定的終端安全防護作用；另外，端口安全特性也可用于防止MAC地址泛洪而造成MAC地址轉發(fā)表溢出。

下面給出一個常用的示例場景：某公司人數(shù)不多，大概三十人的規(guī)模，利用1臺48口的思科3560交換機作為用戶接入，公司對于信息安全非常重視，為防止其他不安全的終端接入網(wǎng)絡，規(guī)定每個員工只允許一臺辦公電腦通過交換機端口接入網(wǎng)絡，但是少數(shù)員工為方便自己使用公司網(wǎng)絡資源，私自利用集線器擴展接入點，接入無線路由器、筆記本等其他終端，給公司的信息安全帶來很大的隱患。

在行政管理手段無法奏效的情況下，公司領導要求網(wǎng)絡管理人員利用技術手段徹底屏蔽這種私接，保障內網(wǎng)安全。其實對于這種典型的終端安全管理問題，引進基于802.1X技術的準入控制產品即可迎刃而解，但是公司領導明確要求不能花錢，必須利用公司現(xiàn)有的設備和技術去解決這個問題。

所以經(jīng)過分析上述需求，其實就是要求交換機端口與辦公電腦做到一一對應的關系，可利用接入交換機上的端口安全技術輕松解決。

簡單來說就是將辦公電腦的MAC地址與交換機的端口進行靜態(tài)綁定。首先，需要統(tǒng)計公司辦公電腦和交換機端口的接入對應關系，以及每臺辦公電腦的MAC地址。由于公司人數(shù)不多，統(tǒng)計相對簡單，最終整理出辦公電腦MAC地址與交換機端口的對照表即可；其次，在接入交換機上啟用端口安全，實施綁定策略，具體操作如下所示：

當端口接收到違反策略的MAC地址流量時，可以配置三種違規(guī)處理動作：

Protect：直接丟棄違規(guī)的MAC地址流量，但不會創(chuàng)建日志消息。

Restrict：直接丟棄違規(guī)的MAC地址流量，創(chuàng)建日志消息并發(fā)送SNMP Trap消息。

Shutdown：默認選項，將端口置于err-disabled狀態(tài)，創(chuàng)建日志消息并發(fā)送SNMP Trap消息，需要手動恢復或者使用errdisable recovery特性重新開啟該端口。

通過在接入交換機每個端口上重復配置上述命令，即可徹底杜絕私接非法終端的行為，而且不需要花錢購買任何商業(yè)產品。如果用戶私接終端，那么就會觸發(fā)交換機的端口安全機制，自動將該端口關閉，只有通過網(wǎng)絡管理人員才能重新開啟。這樣就能嚴格規(guī)范用戶的網(wǎng)絡接入行為，保障了公司的信息安全，實現(xiàn)了技術與管理的深度融合。

訪問控制列表

訪問控制是實施網(wǎng)絡安全防護的基本策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問，它是保障網(wǎng)絡安全最重要的核心策略之一。訪問控制列表是應用在網(wǎng)絡設備接口的訪問控制指令的集合。這些指令集合通過數(shù)據(jù)包匹配，告訴網(wǎng)絡設備哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包應該拒絕，匹配條件包括源地址、目的地址、源端口、目的端口、優(yōu)先級等。

如果合理利用，訪問控制列表不僅可以控制網(wǎng)絡流量，更能夠起到保護網(wǎng)絡設備、服務器、應用系統(tǒng)的關鍵作用，作為進入企業(yè)內網(wǎng)的首道關卡，網(wǎng)絡設備上的訪問控制列表成為保護內網(wǎng)安全的有效手段。此外，在網(wǎng)絡設備的許多其他配置任務中都需要使用訪問控制列表，如Routemap策略路由、網(wǎng)絡地址轉換、路由重分布等等。

訪問控制列表主要包括標準ACL和擴展ACL兩類。標準ACL匹配IP數(shù)據(jù)包里的源地址，可對匹配成功的數(shù)據(jù)包采取permit和deny兩種操作，標準ACL的編號范圍是從1到99；擴展ACL比標準ACL具備更多的匹配項，包括協(xié)議類型、源地址、目的地址、源端口、目的端口等，擴展ACL的編號范圍是從100到1999。由于擴展ACL具備更精細的網(wǎng)絡防護功能，在企業(yè)實際應用中更為普遍，下面給出一個擴展ACL應用的場景：

某大型企業(yè)，用戶近千人，擁有自建數(shù)據(jù)中心，數(shù)據(jù)中心有近百臺服務器提供各類業(yè)務應用給用戶訪問；企業(yè)整體網(wǎng)絡架構是典型的“核心-匯聚-接入”三層架構，通過VLAN技術進行邏輯網(wǎng)絡隔離，其中服務器在192.168.1.0/24網(wǎng) 段，屬 于 VLAN2，用戶分 布 在192.168.4.0/24，192.168.5.0/24，192.168.6.0/24和192.168.7.0/24四個網(wǎng)段，分別屬于VLAN3，VLAN4，VLAN5和VLAN6。由于業(yè)務數(shù)據(jù)的保密要求較高，該企業(yè)需要實施較為嚴格的信息安全管控手段。在Internet出口處，已經(jīng)部署了防火墻、防毒墻、IPS等防護設備，能夠很好地防護來自Internet的安全威脅，但是由于部署位置的原因，這些高端的安全設備對于來自內網(wǎng)的安全威脅無能為力，為了保障內網(wǎng)服務器及業(yè)務數(shù)據(jù)的安全，公司領導要求僅僅開放業(yè)務系統(tǒng)使用的端口80，443 和 1433，服務器的其他端口全部禁止使用，并且要求盡可能節(jié)約成本。仔細分析，這個問題其實有兩種解決方案：

1.逐個在每臺服務器防火墻上設置相應的端口訪問控制策略。

2.在交換機對應端口實施ACL控制，按照策略過濾對應數(shù)據(jù)流量。

由于數(shù)據(jù)中心服務器數(shù)量較多，第一種方案工作量非常大，而且擴展性也很差，如果未來新添加服務器，還得手動進行設置，達不到“一勞永逸”的效果；而第二種方案則可以很好地規(guī)避上述這些問題，具體操作如下：

在核心交換機上創(chuàng)建相應的ACL：

通過上述設置后，核心交換機會根據(jù)port_protect的策略去過濾發(fā)往服務器VLAN2網(wǎng)段的IP數(shù)據(jù)包，只有來自VLAN3、VLAN4、VLAN5和VLAN6網(wǎng)段的用戶能夠訪問業(yè)務系統(tǒng)端口（80，443 和 1433），其他任何數(shù)據(jù)包均會被丟棄。如未來新添加服務器，也不需要再變更任何配置，這種集中式的網(wǎng)絡訪問控制策略降低了網(wǎng)絡管理人員的維護難度。

總結

大多數(shù)交換機都具備一定的安全防護功能，無論大型企業(yè)還是中小型企業(yè)，均能利用交換機的安全特性靈活實施安全策略，保障企業(yè)網(wǎng)絡安全。交換機作為終端接入的首道關卡，特殊的部署位置決定了交換機在安全防護方面大有可為。網(wǎng)絡管理人員應避免將交換機簡單視為數(shù)據(jù)轉發(fā)工具，充分挖掘其安全特性并加以利用，以實現(xiàn)交換機真正價值。