彭永余

（重慶城市管理職業(yè)學院，重慶 400131）

淺談交換機端口的安全配置方法

彭永余

（重慶城市管理職業(yè)學院，重慶 400131）

內(nèi)網(wǎng)連接中，交換機起著重要作用。對交換機的端口進行合理的管理能有效地規(guī)避網(wǎng)絡入侵。文章主要從限制交換機端口的最大連接數(shù)、對交換機端口進行MAC地址的綁定、限制交換機端口的工作方式等方面闡述交換機端口的安全配置方法。

交換機端口；MAC地址；配置命令

交換機端口安全，是指針對交換機的端口所設置的安全屬性。通過對交換機端口的管理，從而控制用戶的安全接入。

1 常見的交換機端口的安全設置方法

1.1 限制交換機端口的最大連接數(shù)

在設置交換機端口的最大連接數(shù)時，如果將最大連接數(shù)設置為1，并且為該端口配置了一個安全地址，則連接到這個端口的設備（指已為其配置了安全地址的設備）將獨占該端口的全部帶寬。交換機端口最大連接數(shù)的配置命令為：

其中value是設置的最大連接數(shù)，系統(tǒng)默認值為1。

具體配置如下：

當交換機的某一端口利用switchport port-security命令開啟安全功能時，該端口必須為訪問或者tag模式。

1.2 針對交換機端口進行MAC地址（有些交換機支持IP地址）的綁定

為了增強交換機端口的安全性，可以對交換機進行端口地址的綁定設置，將接入設備（主要為計算機）的MAC地址綁定到指定的端口上。有些設備還支持對接入設備IP地址的綁定，同時還可以實現(xiàn)MAC地址+IP地址的雙重綁定。通過對交換機端口地址的綁定，可以實現(xiàn)對接入設備的嚴格控制，保證用戶的安全接入，并防止常見的內(nèi)部網(wǎng)絡攻擊，如ARP欺騙、MAC地址欺騙、針對IP地址的攻擊等。交換機端口地址綁定的命令為：

其中，mac_address為接入設備的MAC地址。有些交換機還支持端口的IP地址綁定，ip_address為接入設備的IP地址。

交換機在默認工作狀態(tài)下會自動“學習”到接入端口的設備MAC地址，如果用戶想控制某些設備的接入時，可以通過此功能來完成。

1.3 限制交換機端口的工作方式

交換機一般都支持全雙工、半雙工，還支持不同連接速率的自動協(xié)商功能。交換機端口工作方式的設置命令為：

其中，參數(shù)：

auto：指明端口的工作速率為自動協(xié)商模式，即交換機端口根據(jù)所連接設備的速率（10 Mbit/s或100 Mbit/s）來自動確定其速率。

full：強制以10 Mbit/s或100 Mbit/s速率進入全雙工模式。

full-flow-control：強制以100 Mbit/s速率進入帶流量控制的全雙工模式。該參數(shù)只能在100Base-TX端口上有效。

half：強制以10 Mbit/s或100 Mbit/s速率進入半雙工模式。該參數(shù)一般對于10 Base-T端口是缺省的。

在配置了交換機端口的安全功能后，當實際應用超出配置的要求時將產(chǎn)生一個安全違規(guī)。這時，交換機一般會丟棄從未經(jīng)安全許可的設備來的數(shù)據(jù)，從而實現(xiàn)了對端口的安全保護。當某個端口產(chǎn)生了安全違規(guī)時，可以設置下面幾種處理方式。

protect：端口保護，將丟棄未知名的數(shù)據(jù)幀。

restrict trap：通過SNMP產(chǎn)生一個陷阱（trap）通知，交上層管理軟件進行處理。

shutdown：關閉端口，并發(fā)送一個trap通知，管理員可以通過no shutdown命令來開啟已關閉的端口。

2 實驗驗證

使用的網(wǎng)絡拓撲如圖1所示，其中PC1和PC2分別連接交換機的兩個不同端口，其中PC1通過COM端口連接交換機的Console端口對交換機進行配置。

圖1 實驗拓撲結構

2.1 使用show port-security命令查看交換機端口最大連接數(shù)

這時，如果在fastethernet 0/5 端口上通過級連Hub同時連接3臺以上的PC，當?shù)?臺PC接入后該端口將自動關閉。

2.2 利用show port-security address 命令查看交換機端口上綁定的MAC

2.3 驗證fastethernet 0/5 端口以雙全工模式工作

在PC2上，打開網(wǎng)卡的連接屬性對話框，在圖2所示的“高級”標簽中，將“Link Speed&Duplex”的值強制改為“10 Mbps/half Duplex”，然后在PC1上用Ping命令測試PC2的IP地址，系統(tǒng)將顯示網(wǎng)絡不同。說明交換機端口（fastethernet 0/5）與所連接的設備PC2的工作模式不匹配。

圖2 設置PC網(wǎng)卡的工作模式

[1]劉韜，趙大勇，趙亮.聯(lián)動式入侵防御系統(tǒng)研究[J].軟件導刊，2013（10）：153-155.

[2]彭亞發(fā).基于端口的網(wǎng)絡安全控制的實現(xiàn)[J].電腦開發(fā)與應用，2011（9）：77-78.

[3]譚呈祥.局域網(wǎng)交換機安全管理研究[J].信息安全與技術，2011（10）：90-92.

Expoundation of the security configuration method of switch port

Peng Yongyu
（Chongqing City Management College, Chongqing 401331, China）

In the network connection, the switch plays an important role. Reasonable management on switch port can effectively avoid network intrusion. The article mainly from limiting the biggest connection number of switch port, binding the MAC address to the switch port, limiting work methods of switch port to expounds the security configuration methods of switch port.

switch port; MAC address; configuration command

彭永余（1980—），女，重慶，初級職稱；研究方向：多媒體技術與網(wǎng)絡安全。