提高网络安全性 安全配置交换机端口

关键词： 防止 接入 网络 控制

提高网络安全性 安全配置交换机端口（通用12篇）

篇1：提高网络安全性 安全配置交换机端口

交换机端口安全：交换机端口安全是通过对交换接接口的配置，来限定只允许特定的mac地址向交换机接口发送帧，如果交换机收到mac地址的帧，则丢弃来自该设备的帧，

基本配置命令：

switch(config)#int f0/0

switch(config-if)#switchport mode access /配置此接口为接入接口，不能是中继接口/

switch(config-if)#switchport port-security /启用端口安全/

switch(config-if)#switchport port-security mac-address mac /指定允许向这个接口内发送帧的mac地址，

多次使用此命令，可定义多个mac地址/

其它命令：

switch(config-if)#switchport port-security macaddress sticky /与上面命令功能一样。利用粘带学习，动态的获悉和配置当前已连接主机的mac地址/ switch(config-if)#switchport port-security maxinum /指定当前接口最多允许多少个mac地址，默认为一个/ switch(config-if)#switchport port-security violation {protect restrict shutdown} /规定在接收到来自规定地址之外某个mac地址帧时应该采取的动作，默认是关闭该端口/

switch#show port-security int f0/0 /查看接口安全的状态/

篇2：提高网络安全性 安全配置交换机端口

首先谈一下MAC地址与端口绑定，以及根据MAC地址允许流量的配置。

1.MAC地址与端口绑定，当发现主机的MAC地址与交换机上指定的MAC地址不同时，交换机相应的端口将down掉。当给端口指定MAC地址时，端口模式必须为access或者Trunk状态。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport mode access /指定端口模式。

3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。

3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1。

3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时，端口down掉。

2.通过MAC地址来限制端口流量，此配置允许一TRUNK口最多通过100个MAC地址，超过100时，但来自新的主机的数据帧将丢失。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport trunk encapsulation dot1q

3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。

3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。

3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时，交换机继续工作，但来自新的主机的数据帧将丢失，

上面的配置根据MAC地址来允许流量，下面的配置则是根据MAC地址来拒绝流量。

1.此配置在Catalyst交换机中只能对单播流量进行过滤，对于多播流量则无效。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量。

最后说一下802.1X的相关概念和配置。

802.1X身份验证协议最初使用于无线网络，后来才在普通交换机和路由器等网络设备上使用。它可基于端口来对用户身份进行认证，即当用户的数据流量企图通过配置过802.1X协议的端口时，必须进行身份的验证，合法则允许其访问网络。这样的做的好处就是可以对内网的用户进行认证，并且简化配置，在一定的程度上可以取代Windows 的AD。

配置802.1X身份验证协议，首先得全局启用AAA认证，这个和在网络边界上使用AAA认证没有太多的区别，只不过认证的协议是802.1X;其次则需要在相应的接口上启用802.1X身份验证。(建议在所有的端口上启用802.1X身份验证，并且使用radius服务器来管理用户名和密码)

下面的配置AAA认证所使用的为本地的用户名和密码。

3550-1#conf t

3550-1(config)#aaa new-model /启用AAA认证。

3550-1(config)#aaa authentication dot1x default local /全局启用802.1X协议认证，并使用本地用户名与密码。

3550-1(config)#int range f0/1 -24

3550-1(config-if-range)#dot1x port-control auto /在所有的接口上启用802.1X身份验证。

后记

通过MAC地址来控制网络的流量既可以通过上面的配置来实现，也可以通过访问控制列表来实现，比如在Cata3550上可通过700-799号的访问控制列表可实现MAC地址过滤。但是利用访问控制列表来控制流量比较麻烦，似乎用的也比较少，这里就不多介绍了。

篇3：浅谈交换机端口的安全配置方法

关键词：交换机端口,MAC地址,配置命令

交换机端口安全, 是指针对交换机的端口所设置的安全属性。通过对交换机端口的管理, 从而控制用户的安全接入。

1 常见的交换机端口的安全设置方法

1.1 限制交换机端口的最大连接数

在设置交换机端口的最大连接数时, 如果将最大连接数设置为1, 并且为该端口配置了一个安全地址, 则连接到这个端口的设备 (指已为其配置了安全地址的设备) 将独占该端口的全部带宽。交换机端口最大连接数的配置命令为:

Switchport port-secutiry maximum value

其中value是设置的最大连接数, 系统默认值为1。

具体配置如下:

Switch#conft (进入交换机的全局配置模式)

Switch (config) #interface fastethernet 0/5 (进入交换机端口5的配置模式)

Switch (config-if) #switchport port-security (开启端口的安全功能)

Switch (config-if) #switchport port-securtity maximum? (查看该交换机所支持的最大端口连接数)

<1-5120>Maximum addresses (显示该交换机最大支持5120个连接数)

S w i t c h (c o n f i g-i f) #s w i t c h p o r t p o r t-s e c u r t i t y maximnm2 (设置该交换机端口0/5的最大连接数为2)

Switch (config-if) #switchport port-security violation shutdown (设置当发生违规现象时, 自动关闭端口)

Switch (config-if-range) #end

Switch#write memory (保存设置)

当交换机的某一端口利用switchport port-security命令开启安全功能时, 该端口必须为访问或者tag模式。

1.2 针对交换机端口进行MAC地址 (有些交换机支持IP地址) 的绑定

为了增强交换机端口的安全性, 可以对交换机进行端口地址的绑定设置, 将接入设备 (主要为计算机) 的MAC地址绑定到指定的端口上。有些设备还支持对接入设备IP地址的绑定, 同时还可以实现MAC地址+IP地址的双重绑定。通过对交换机端口地址的绑定, 可以实现对接入设备的严格控制, 保证用户的安全接入, 并防止常见的内部网络攻击, 如ARP欺骗、MAC地址欺骗、针对IP地址的攻击等。交换机端口地址绑定的命令为:

Switchport port-secutiry mac-address mac_address[ipaddress ip_address]

其中, mac_address为接入设备的MAC地址。有些交换机还支持端口的IP地址绑定, ip_address为接入设备的IP地址。

交换机在默认工作状态下会自动“学习”到接入端口的设备MAC地址, 如果用户想控制某些设备的接入时, 可以通过此功能来完成。

1.3 限制交换机端口的工作方式

交换机一般都支持全双工、半双工, 还支持不同连接速率的自动协商功能。交换机端口工作方式的设置命令为:

duplex{auto|full|full-flow-control|half}

其中, 参数:

auto:指明端口的工作速率为自动协商模式, 即交换机端口根据所连接设备的速率 (10 Mbit/s或100 Mbit/s) 来自动确定其速率。

full:强制以10 M bit/s或10 0 M bit/s速率进入全双工模式。

full-f low-control:强制以100 Mbit/s速率进入带流量控制的全双工模式。该参数只能在100Base-TX端口上有效。

half:强制以10 Mbit/s或100 Mbit/s速率进入半双工模式。该参数一般对于10 Base-T端口是缺省的。

在配置了交换机端口的安全功能后, 当实际应用超出配置的要求时将产生一个安全违规。这时, 交换机一般会丢弃从未经安全许可的设备来的数据, 从而实现了对端口的安全保护。当某个端口产生了安全违规时, 可以设置下面几种处理方式。

protect:端口保护, 将丢弃未知名的数据帧。

restrict trap:通过SNMP产生一个陷阱 (trap) 通知, 交上层管理软件进行处理。

shutdown:关闭端口, 并发送一个trap通知, 管理员可以通过no shutdown命令来开启已关闭的端口。

2 实验验证

使用的网络拓扑如图1所示, 其中PC1和PC2分别连接交换机的两个不同端口, 其中PC1通过COM端口连接交换机的Console端口对交换机进行配置。

2.1 使用show port-security命令查看交换机端口最大连接数

这时, 如果在fastethernet 0/5端口上通过级连Hub同时连接3台以上的PC, 当第3台PC接入后该端口将自动关闭。

2.2 利用show port-security address命令查看交换机端口上绑定的MAC

2.3 验证fastethernet 0/5端口以双全工模式工作

在PC2上, 打开网卡的连接属性对话框, 在图2所示的“高级”标签中, 将“Link Speed&Duplex”的值强制改为“10 Mbps/half Duplex”, 然后在PC1上用Ping命令测试PC2的IP地址, 系统将显示网络不同。说明交换机端口 (fastethernet 0/5) 与所连接的设备PC2的工作模式不匹配。

参考文献

[1]刘韬, 赵大勇, 赵亮.联动式入侵防御系统研究[J].软件导刊, 2013 (10) :153-155.

[2]彭亚发.基于端口的网络安全控制的实现[J].电脑开发与应用, 2011 (9) :77-78.

篇4：提高网络安全性 安全配置交换机端口

【摘 要】企业网络安全涉及领域众多，根据设备的不同，用途的差异，各种网络安全技术层出不穷，但是网络从交换机来说，首选需要保证交换机端口的安全。本文针对在企业环境中的网络端口安全问题做相关测试，经过大量实验，得出如何正确利用思科交换机自身命令的相互配合，加强企业网络的端口安全。

【关键词】网络端口，网络安全，思科

【中图分类号】TP393.01 【文献标识码】A 【文章编号】1672-5158（2013）03-0127-01

前言

企业网络安全涉及领域众多，根据设备的不同，用途的差异，各种网络安全技术层出不穷，但是网络从交换机来说，首选需要保证交换机端口的安全。在不少企业中，员工可以随意地使用集线器等设备连接办公交换机，或者使用自己的笔记本电脑连接到企业的网路中，这类的情况会给企业的网络安全带来相当大的不利影响。本文针对以上情况，对交换机端口的常见安全威胁进行相关维护，并对相关措施做一总结。

一、常见的安全威胁

在企业中，威胁交换机端口的行为比较多。总结一下有如下情形：

一：未经授权的用户主机随意连接到企业的网络中。如员工自己笔记本，可以在不经管理员同意的情况下，拔下某台主机的网线，插在自己带来的笔记本，然后连入到企业的网络中，这会带来很大的安全隐患。

二：未经采用同意安装集线器HUB等网络设备。有些员工为了增加网络终端的数量，会在未经授权的情况下。将集线器、交换机等设备插入到办公室的网络接口上。如此的话，会导致这个网络接口对应的交换机接口流量增加，从而导致网络性能的下降。

三：网络管理员在日常工作中对于交换机端口的安全性不怎么重视，这是他们网络安全管理中的一个盲区。

二、主要的应对措施

从以上的分析中可以看出，企业现在交换机端口的安全环境非常的薄弱。在这种情况下，仅仅靠管理上是不够的，下面我重点介绍下如何利用技术应对以上情况。

（1）应对措施一：MAC地址与端口绑定。

最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口绑定，MAC地址与端口绑定，当发现主机的MAC地址与交换机上指定的MAC地址不同时，交换机相应的端口将down掉。当给端口指定MAC地址时，端口模式必须为access或者Trunk状态。Cisco IOS交换机端口安全功能支持以下几种安全MAC地址类型：

Switch#config terminal #进入配置模式

Switch（config）# Interface fastethernet 0/1 #进入具体端口配置模式

Switch（config-if）#Switchport port-secruity #配置端口安全模式

以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用。

（2）应对措施二：根据MAC地址允许流量的配置

一个安全端口默认有一个安全MAC地址，这个默认值在1～3000之间。当在一个端口上设置最大安全MAC数后，可以使用switchport port-security mac-address mac_address接口配置模式命令配置安全MAC地址；也可通过port-security mac-address VLAN范围配置命令在中继端口上一个范围VLAN中配置所有安全MAC地址，以允许端口用所连接设备的MAC地址动态配置安全MAC地址。

Switch #conf t

Switch （config）#int f0/1

Switch （config-if）#switchport trunk encapsulation dot1q

Switch （config-if）#switchport mode trunk /配置端口模式为TRUNK。

Switch （config-if）#switchport port-security maximum 50 /允许此端口通过的最大MAC地址数目为50。

Switch （config-if）#switchport port-security violation protect /当主机MAC地址数目超过50时，交换机继续工作，但来自新的主机的数据帧将丢失。

（3）应对措施三：启用网络身份认证功能

Switch#conf t

Switch（config）#aaa new-model /启用AAA认证。

Switch（config）#aaa authentication dot1x default local /全局启用802.1X协议认证，并使用本地用户名与密码。

Switch（config）#int range f0/1 -24

Switch（config-if-range）#dot1x port-control auto /在所有的接口上启用802.1X身份验证。

三、应用后的效果分析

经过上述的一系列的技术配置，通过实地测试，基本解决了私接设备、随意扩交换机的问题。但是在实际应用中，发现了一些问题，以上策略太过于死板，一点执行shutdown后，员工不能上网，如果企业规模较大，容易导致网络管理员频繁去修改交换机的端口状态，针对这种情况，我们可以采用一下恢复策略，智能的处理违规情况。

（1）关闭（Shutdown）：发生安全违例事件时，端口立即呈现错误状态，关闭端口。同时也会发送一个SNMP捕获消息并记录系统日志，违例计数器增加1。

（2）禁止VLAN（Shutdown VLAN）：适用于VLAN的安全违例模式。在这种模式下，在发生安全违者罚款例事件时，该端口对应的VLAN都将呈错误禁止状态，关闭对应VLAN，而不关闭对应的端口。

（3）保护：当安全MAC地址数超过端口上配置的最大安全MAC地址数时，未知源MAC地址的包将被丢弃，直到MAC地址表中的安全MAC地址数降到所配置的最大安全MAC地址数以内，或者增加最大安全MAC地址数。而且这种行为没有安全违例行为发生通知。

（4） 限制：在安全MAC地址数达到端口上配置的最大安全MAC地址数时，未知源MAC地址的包将被丢弃，直到MAC地址表中的安全MAC地址数降到所配置的最大安全MAC地址数以内，或者增加最大安全MAC地址数。

四、结论

以上介绍的几种方法，各有各的特点。在可操作性上与安全性上各有不同。网络管理员需要根据自己公司网络的规模、对于安全性的要求等各个方面的因素来选择采用的方案。总之，在网络安全逐渐成为管理员心头大患的今天。交换机的端口安全必须引起大家的关注。

参考文献

【1】焦昀，巫茜，刘晓辉，中小企业网络管理员实战指南（第2版） 科学出版社 2011

【2】崔北亮，非常网管：网络管理从入门到精通（修订版）人民邮电出版社 2010

【3】海吉（美），网络安全技术与解决方案（修订版） 人民邮电出版社 2010

篇5：华为交换机端口镜像配置

monitor-port e0/8

2。 配置被镜像端口

port mirror Ethernet 0/1 to Ethernet 0/2

★ 端口数量

★ 网络交换机?什么是网络交换机

★ 加速的意思和造句

★ WORD 无法初始化vb环境

★ WinXP注册表如何初始化有哪些方法

★ 伟大的进程作文

★ 教你如何进入交换机管理页面

★ 华为交换机打补丁的教程

★ 交换机TRUNK配置的问题

篇6：华为交换机端口镜像配置的方法

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8

【8016交换机端口镜像配置】

1. 假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。

[SwitchA] port monitor ethernet 1/0/15

2. 设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。

[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15

也可以通过两个不同的端口，对输入和输出的数据分别镜像

1. 设置E1/0/15和E2/0/0为镜像(观测)端口

[SwitchA] port monitor ethernet 1/0/15

2. 设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像，

[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15

[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0

『基于流镜像的数据流程』

基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。

【3500/3026E/3026F/3050】

〖基于三层流的镜像〗

1. 定义一条扩展访问控制列表

[SwitchA]acl num 100

2. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址

[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any

3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32

[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0

4. 将符合上述ACL规则的报文镜像到E0/8端口

[SwitchA]mirrored-to ip-group 100 interface e0/8

〖基于二层流的镜像〗

1. 定义一个ACL

[SwitchA]acl num 200

2. 定义一个规则从E0/1发送至其它所有端口的数据包

[SwitchA]rule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/2

3. 定义一个规则从其它所有端口到E0/1端口的数据包

[SwitchA]rule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/1

4. 将符合上述ACL的数据包镜像到E0/8www.hanwangtx.com

[SwitchA]mirrored-to link-group 200 interface e0/8

【5516/6506/6503/6506R】

目前该三款产品支持对入端口流量进行镜像

1. 定义镜像端口

[SwitchA]monitor-port Ethernet 3/0/2

2. 定义被镜像端口

[SwitchA]mirroring-port Ethernet 3/0/1 inbound

【补充说明】

1. 镜像一般都可以实现高速率端口镜像低速率端口，例如1000M端口可以镜像100M端口，反之则无法实现

2. 8016支持跨单板端口镜像端口镜像配置

篇7：提高网络安全性 安全配置交换机端口

『环境交换机端口镜像配置参数』

◆PC1接在交换机E0/1端口，IP地址1.1.1.1/24

◆PC2接在交换机E0/2端口，IP地址2.2.2.2/24

◆E0/24为交换机上行端口，Server接在交换机端口镜像配置E0/8端口，该端口作为镜像端口

『组网需求』

◆通过交换机端口镜像配置的功能使用server对两台pc的业务报文进行监控。

◆按照镜像的不同方式进行配置：

◆基于端口的镜像

◆基于流的镜像

数据配置步骤『端口镜像的数据流程』基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。

【3026等交换机端口镜像配置】

S/S/S2026/S2403H/S3026等交换机端口镜像配置支持的都是基于端口的镜像，有两种方法：

◆配置镜像(观测)端口monitor-port e0/8

◆配置被镜像端口port mirror Ethernet 0/1 to Ethernet 0/2

◆可以一次性定义镜像和被镜像端口port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8

【8016交换机端口镜像配置】

◆假设8016交换机端口镜像配置端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为交换机端口镜像配置的观测端口。 port monitor ethernet 1/0/15

◆设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。 port mirroring ethernet 1/0/0 both ethernet 1/0/15也可以通过两个不同的端口，对输入和输出的数据分别镜像。

◆设置E1/0/15和E2/0/0为镜像(观测)端口 port monitor ethernet 1/0/15

◆设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。 port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15 port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0

基于流镜像的数据流程，基于流镜像的交换机端口镜像配置针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机端口镜像配置来说这两个数据流是要分开镜像的，

【3500/3026E/3026F/3050】

〖基于三层流的交换机端口镜像配置〗

◆定义一条扩展访问控制列表acl num 100

◆定义一条规则报文源地址为1.1.1.1/32去往所有目的地址rule 0 permit ip source 1.1.1.1 0 destination any

◆定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32rule 1 permit ip source any destination 1.1.1.1 0

◆将符合上述ACL规则的报文镜像到E0/8端口mirrored-to ip-group 100 interface e0/8

〖基于二层流的交换机端口镜像配置〗

◆定义一个ACLacl num 200

◆定义一个规则从E0/1发送至其它所有端口的数据包rule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/2

◆定义一个规则从其它所有端口到E0/1端口的数据包rule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/1

◆将符合上述ACL的数据包镜像到E0/8mirrored-to link-group 200 interface e0/8

【5516/6506/6503/6506R】

目前该三款产品支持对入交换机端口镜像配置进行镜像

◆定义镜像端口monitor-port Ethernet 3/0/2

◆定义被镜像端口mirroring-port Ethernet 3/0/1 inbound

【交换机端口镜像配置补充说明】

◆镜像一般都可以实现高速率端口镜像低速率端口，例如1000M端口可以镜像100M端口，反之则无法实现。

◆8016支持跨单板端口镜像。

篇8：提高网络安全性 安全配置交换机端口

如何防止非法外联等重大信息安全事件发生是信息安全工作关注的一个焦点, 因此有必要采取一定技术措施来管制各类计算机 (含服务器、办公PC、移动便携式上网设备) 接入内部网络, 防止各类非法接入, 实现网络接入控制 (准入控制) 。经实践检验, 实现接入控制是避免非法外联等信息安全事件的关键一环, 本文介绍如何运用交换机提供的端口安全特性, 实现接入层对各类计算机接入内部网络进行控制的方法。

二、交换机端口安全特性介绍

交换机端口安全 (switchport portsecurity) 功能是指通过定义交换机端口安全策略, 实现人为控制某台计算机设备MAC地址 (计算机设备网卡硬件地址) 的数据流通过该交换机端口;对其他任何设备MAC地址试图与该交换机端口进行通信的数据流进行限制, 甚至可设置成直接关闭交换机端口 (shutdown) 的行为。通过配置适合的交换机端口安全策略并与IP访问控制列表相结合, 可轻松实现在接入层交换机 (二层) 上完成对计算机IP地址、MAC地址与交换机端口的相互绑定, 达到网络接入控制的目的。

在接入层设备开启端口安全功能实现接入控制具有明显优势, 具体体现为:一是尽可能减少核心交换机的访问控制条目, 不影响核心交换机交换性能, 极大地降低核心交换机用于处理访问控制的开销, 保障核心网络的稳定与可靠, 最大限度发挥核心交换机的核心交换这一主要功能。二是尽量减少核心交换机配置修改的频率, 最大程度消除核心交换机配置变更影响全局的各类操作安全隐患。因此, 在实际工作中, 接入控制适合在楼层等接入交换设备上实现, 而不宜在三层核心交换机上实现接入控制。

三、实际运用

以工作实际中常见的Cisco与H3C品牌交换机为例, 介绍运用交换机端口安全特性功能实现网络接入控制的配置思路与方法。

(一) Cisco品牌系列交换机配置案例 (以Cisco2960为例, *为配置注释)

第一步:运用端口安全功能实现计算机设备MAC地址与交换机对应接口的绑定。

Cisco2960 (config) #interface fastEthernet0/8*以fastEthernet0/8端口为例*

Cisco2960 (config-if) #description to kjc-tls*接口描述说明*

Cisco2960 (config-if) #switchport mode access*设置交换机端口工作模式*

Cisco2960 (config-if) #switchport port-security*在接口配置模式下开启端口安全功能*

Cisco2960 (config-if) #switchport port-security maximum 1*该接口只允许一台计算机MAC地址的访问通过*

Cisco2960 (config-if) #switchport port-security violation restrict*其他MAC地址试图访问该端口时设置成限制接入*

Cisco2960 (config-if) #switchport port-security macaddress sticky*开启MAC地址绑定选项*

Cisco2960 (config-if) #switchport port-security macaddress sticky 0016.35ac.a1cf*开启MAC地址绑定后, 交换机将该接口学习到的mac地址完成绑定配置*

第二步:定义IP访问列表实现计算机IP地址与交换机端口的绑定操作。

Cisco2960 (config) #access-list 2008 permit ip host192.168.1.1 any*允许IP为192.168.1.1的计算机访问通过该端口*

Cisco2960 (config) #access-list 2008 deny ip any any*禁止其他IP地址接入访问*

Cisco2960 (config-if) #ip access-group 2008 in*在接入端口应用访问控制策略*

完成以上配置步骤后, 交换机端口fastEthernet0/8设置成只允许MAC地址为0016.35ac.a1cf, IP地址为192.168.1.1的计算机接入该交换机端口。同样MAC地址为0016.35ac.a1cf, IP设置成192.168.1.1的计算机只能接入交换机端口8, 其他端口禁止接入, 完成了IP, MC地址与交换机端口三者绑定。用户如果自行修改IP, MC地址与交换机接入端口三者中任意一项, 该用户计算机均无法上网, 达到网络接入控制的目标。

(二) H3C品牌系列交换机配置方案 (以S5500-SI型号为例, *为配置注释部分)

接下来以H3C品牌交换机为例进行说明, H3C交换机端口安全MAC绑定与Cisco系列配置类似, 但H3C系列IP访问列表配置较复杂, 以下分步进行说明。

第一步:运用端口安全功能实现计算机设备MAC地址与交换机对应端口的绑定。

[F16-H3C S5500]port-security enable*全局配置模式下开启端口安全功能*

[F16-H3C S5500]interface GigabitEthernet1/0/8*以GigabitEthernet1/0/8端口为例进行接入控制说明*

[F16-H3C S5500-GigabitEthernet1/0/8]description tokjc-wlaqk*接口描述说明*

[F16-H3C S5500-GigabitEthernet1/0/8]portsecurity max-mac-count 1*该接口只允许一台计算机MAC地址的访问通过*

[F16-H3C S5500-GigabitEthernet1/0/8]portsecurity port-mode autolearn*在接口配置模式下开启端口MAC地址学习功能*

[F16-H3C S5500-GigabitEthernet1/0/8]port-security mac-address security 0016.35ac.a1cf vlan 1*开启MAC地址学习功能后, 交换机将该接口学习到的MAC地址完成与接口及vlan的绑定配置*

第二步:定义ip访问列表实现IP地址与交换机端口绑定。

1. 定义ip访问控制列表

[F16-H3C S5500]acl number 3008*允许通过IP访问列表3008*

[F16-H3C S5500-acl-adv-3008]rule 0 permit ip source 192.168.1.1 0

[F16-H3C S5500-acl-adv-3008]quit

[F16-H3C S5500]acl number 3000*定义deny ip访问列表3000*

[F16-H3C S5500-acl-adv-3000]rule 0 deny ip

[F16-H3C S5500-acl-adv-3000]quit

2. 定义两类流行为, 即permitip与denyip行为

[F16-H3C S5500]traffic behavior permitip*定义流行为permitip*

[F16-H3C S5500-behavior-permitip]filter permit*匹配permit过滤器*

[F16-H3C S5500]traffic behavior denyip*定义流行为denyip*

[F16-H3C S5500-behavior-denytip]filter deny*匹配deny过滤器*

3. 定义两类流分类器port8dc与port8pc

traffic classifier port8dc operator and*定义port8dc分类器标识符表示IP访问列表规则间逻辑与关系*

[F16-H3C S5500-classifier-port8dc]if-match acl3000*匹配IP访问列表3000*

[F16-H3C S5500]traffic classifier port8pc operator and*定义port8pc分类器标识符表示ip访问列表规则间逻辑与关系*

[F16-H3C S5500-classifier-port8pc]if-match acl3008*匹配IP访问列表3008*

4. 定义交换机端口8的qos策略port8policy

[F16-H3C S5500]qos policy port8policy*port8policy为端口8策略标识符*

[F16-H3C S5500-qospolicy-port8policy]classifier port8pc behavior permitip*分类器port8pc调用permitip流行为动作*

[F16-H3C S5500-qospolicy-port8policy]classifier port8dc behavior denyip*分类器port8dc调用denyip流行为动作*

5. 在交换机端口8上应用qos策略port8policy

[F16-H3C S5500]interface GigabitEthernet1/0/8

[F16-H3C S5500-GigabitEthernet1/0/8]qos apply policy port8policy inbound*在接口inbound方向调用策略port8policy*

篇9：交换机端口的安全管理技术

关键词：交换机；端口；安全管理；技术

中图分类号：TP

随着校园信息化建设的持续推进，接入校园网的用户数量急剧增加，致使大量交换机端口信息缺乏有效的管理，由此应建立相应的交换机端口的统一管理体系。传统的交换机端口信息是通过人工管理的。人工管理的方式较为复杂、同时也受到交换机地点的限制，并且人工管理过程中，相应的端口数据容易丢失，为了有效提高管理效率，还应在明确端口管理现状以及端口管理技术的基础之上，根据网络建设和使用实际选择相应的管理技术，为交换机端口的安全管理奠定了基础。

1 交换机端口管理

对于交换机端口管理工作而言，以太网应用初始阶段并未受到重视，在由HuB至交换机转变过程中，因硬件自身所存在着的局限性，网络设备基本上都是即插即用样式，而交换机则因其端口位置是开放状态，所以只要是兼容二层及以上网络协议的关联性内容即可使用。近年来，随着科技水平的不断提高，网络范围也在不断的扩展，一系列中型、大型网络系统快速出现，交换机端口管理工作显得越来越重要则，其中重要的交换机端口管理工作机器管理方式，基本上都是从互联、认证以及分割和隔离等，四个环节开展。

2 交换机端口管理的重要价值

实践中可以看到，虽然交换机端口采用的即插即用应用方式相对比较简便，但同时也存在着一些弊端与不足，比如APR病毒非常的泛滥，因ARP协议存在着一定的缺陷，导致交换机难以有效地辨别冒充网关的一系列MAC地址，从而造成网络中断、网络嗅探等问题的频频发生，同时在企业信息网络系统之中，基于对安全的充分考虑，我国不希望即插即用出现在链路层，因此应当对接入系统中的网络设备予以辨认。同时，大型的网络系统中的广播域相互之间可能会产生一定的影响，这无形中增大了网管人员的管理力度。在该种情况下，应当通过较为严格的交换机管理程序，来有效保证网络持续运行。目前来看，交换机性能持续增加，这主要表现在背板的有效的宽带方面，而且交换机端口速率也由原来的10M发展到现代的千兆，甚至万兆速率。

3 加强交换机端口管理

3.1 LAN技术

对于传统的以太网而言，它是平面网络的一种，而且网络之中的全部主机均通过Hub、交换机等有效的连接在一起，即隶属于相同的广播域。从本质上来讲，Hub即物理层机械设备，没有所谓的交换功能，但可将接收的所有报文转发给所有的端口；交换机则是链路层设备，其主要是依据报文目的MAC地质予以有效转发，然在收到广播报文、未知单播报文过程中，也会将所收到的报文向所有端口进行转发。上述情况下，网络主机将收到大量的、并非目的性的报文，在大量带宽资源严重浪费的情况下，也可能会造成非常严重的一系列安全隐患问题。传统的广播域隔离方式是路由器，但路由器的应用成本非常的高，而且端口相对比较少，因此难以对一些较为细致的网络系统予以划分。

3.2 VLAN技术

随着交换技术的发展，当前新交换技术（VLAN）的应用也在加快。该技术可以先将企业中的网络系统有效地划分成虚拟网络网段，这对于加强网络管理、不断提高其安全性以及实现数据广播管理，具有非常重要的作用。在网络资源共享过程中，物理网段即为广播域，然而在交换网络当中，广播域则是一组可根据需要选定的网络地址，即由MAC地址形成的一个虚拟网段。在网络组运行过程中，通过工作组的有效划分可突破共享网络中的相关地理位置大量闲置等藩篱，严格按照管理功能之要求，可以实现对网络系统的有效划分。从实践来看，这种基于工作流的管理与分组模式，即可以有效的提高网络规划效率，又可以对网络管理功能进行有效的重组。

对于相同的VLAN工作站而言，不管其实际上是否与某一个交换机有所连接，二者之间的通讯均类似于在相同的交换机之上，对于相同的VLAN广播而言，通常只有VLAN中的组员能够接收到信息，而并不会传输到VLAN当中，由此能对不必要的广播风暴进行了控制。由此，若是缺乏路由器，那么在不同类型的VLAN间将难以实现有效的通讯。由此不仅便利了企业用户的应用，也在很大程度上提高了交换机的管理效率。

3.3 IP-MAC绑定技术

早期的校园网当中，常出现IP盗用的状况，这是由于网络接入交换机时，太随意，而且接入时并未设置任何安全装置，因此用户只要接入网线，无论在什么地方均可以上网。虽然这种模式方便，却很容易出现IP被盗等问题。

网卡MAC地址，即12位16进制数，而且是唯一的，它对MAC地址在系统网络中的计算机身份进行了明确。实践中，为方便管理，管理员通过对用户MAC地址登记，将该地址和交换机端口有效的绑定在一起。通常情况下，MAC地址主要集中在交换机端口绑定以后，其地址数据流严格自绑定端口位置进入，决不允许由另外的端口大量出入。简单地说，就是特定主机只允许在特定端口位置下发送数据帧，只有这样才能被交换机所接收，并予以转发。实践中，若干该主机移动至其他位置，那么将难以正常连接网络。

MAC与交换机端口相互绑定以后，该交换机端口可让其他MAC地址的数据流通过。然而在实际的运行过程中，部分工具软件、病毒等，很容易伪造成MAC地址，然后进入到网络系统之中。基于对网络系统的安全运行之考虑，决不可将网络系统的安全信任关系一味地建立于IP基础、MAC地址之上，最为理想的方式是将网络安全信任建立在IP+MAC之上，采用MAC地址+端口+IP的绑定模式，由此实现了对报文转发的过滤控制，有效提高了网络的安全性能。

4 结束语

根据实际的分析可了解到，在企业、校园网环境之中，为能够有效保证用户的安全应用性，管理人员都应当采用多元化的管理模式，对LAN、VLAN、IP绑定技术的分析，明确了不同端口管理技术的特点，相应的企业以及校园应根据自身的网络应用现状，选择合理的交换机端口的管理模式和手段。上述的交换机端口管理方式相辅相成，由此在实际的应用过程中应结合自身管理需求进行考虑，从而营造一个健康、安全、快速、高效的网络管理体系。同时通过对相应交换机端口安全管理技术的分析，为相应的交换机的安全管理和有效实践奠定了良好的基础。

参考文献：

[1]高国璐.虚拟局域网VLAN在网络管理中的应用[J].时代教育（教育教学），2010（09）.

[2]陈程，欧阳昌华.互联网网络安全性及其对策[J].企业技术开发，2007（09）.

[3]崔炜.基于VC++6.0的登录控制设计[J].佳木斯教育学院学报，2011（04）.

[4]任娟，裘正定.普适计算中的隐私保护[J].信息安全与通信保密，2006（02）.

[5]王以伍，任宇，陈俊.IPv6安全技术分析[J].电脑知识与技术，2008（32）.

[6]赖志刚，宁辉华.浅谈VLAN技术[J].科技资讯，2008（03）.

篇10：提高网络安全性 安全配置交换机端口

第一步：创建VLAN：

Switch>enSwitch#Vlan DatabaseSwitch(Vlan)>Vlan 2 Name serverSwitch(Vlan)>Vlan 3 Name work01Switch(vlan)>Vlan 4 Name work02

第二步：设置VLAN IP地址：

Switch#Config TSwitch(Config)>Int Vlan 2Switch(Config-vlan)Ip Address 192.168.2.1 255.255.255.0Switch(Config-vlan)No ShutSwitch(Config-vlan)>Int Vlan 3Switch(Config-vlan)Ip Address 192.168.3.1 255.255.255.0Switch(Config-vlan)No ShutSwitch(Config-vlan)>Int Vlan 4Switch(Config-vlan)Ip Address 192.168.4.1 255.255.255.0Switch(Config-vlan)No ShutSwitch(Config-vlan)Exit/*注意：由于此时没有将端口分配置到VLAN2，3，4，所以各VLAN会DOWN掉，待将端口分配到各VLAN后，VLAN会起来*/

第三步：设置端口全局参数

Switch(Config)Interface Range Fa 0/1 - 24Switch(Config-if-range)Switchport Mode AccessSwitch(Config-if-range)Spanning-tree Portfast

第四步：将端口添加到VLAN2，3，4中

/*将端口1-8添加到VLAN 2*/Switch(Config)Interface Range Fa 0/1 - 8Switch(Config-if-range)Switchport Access Vlan 2/*将端口9-16添加到VLAN 3*/Switch(Config)Interface Range Fa 0/9 - 16Switch(Config-if-range)Switchport Access Vlan 3/*将端口17-24添加到VLAN 4*/Switch(Config)Interface Range Fa 0/17 - 24Switch(Config-if-range)Switchport Access Vlan 4Switch(Config-if-range)Exit/*经过这一步后，各VLAN会起来*/

第五步：配置3550作为DHCP服务器

/*VLAN 2可用地址池和相应参数的配置,有几个VLAN要设几个地址池*/Switch(Config)Ip Dhcp Pool Test01/*设置可分配的子网*/Switch(Config-pool)Network 192.168.2.0 255.255.255.0/*设置DNS服务器*/Switch(Config-pool)Dns-server 192.168.2.10/*设置该子网的网关*/Switch(Config-pool)Default-router 192.168.2.1/*配置VLAN 3所用的地址池和相应参数*/Switch(Config)Ip Dhcp Pool Test02Switch(Config-pool)Network 192.168.3.0 255.255.255.0Switch(Config-pool)Dns-server 192.168.2.10Switch(Config-pool)Default-router 192.168.3.1/*配置VLAN 4所用的地址池和相应参数*/Switch(Config)Ip Dhcp Pool Test03Switch(Config-pool)Network 192.168.4.0 255.255.255.0Switch(Config-pool)Dns-server 192.168.2.10Switch(Config-pool)Default-router 192.168.4.1

第六步:设置DHCP保留不分配的地址

Switch(Config)Ip Dhcp Excluded-address 192.168.2.2 192.168.2.10Switch(Config)Ip Dhcp Excluded-address 192.168.3.2 192.168.3.10Switch(Config)Ip Dhcp Excluded-address 192.168.4.2 192.168.4.10

第七步:启用路由

/*路由启用后,各VLAN间主机可互相访问*/Switch(Config)Ip Routing

第八步:配置访问控制列表

Switch(Config)access-list 103 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255Switch(Config)access-list 103 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255Switch(Config)access-list 103 permit udp any any eq bootpcSwitch(Config)access-list 103 permit udp any any eq tftpSwitch(Config)access-list 103 permit udp any eq bootpc anySwitch(Config)access-list 103 permit udp any eq tftp anySwitch(Config)access-list 104 permit ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255Switch(Config)access-list 104 permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255Switch(Config)access-list 104 permit udp any eq tftp anySwitch(Config)access-list 104 permit udp any eq bootpc anySwitch(Config)access-list 104 permit udp any eq bootpc anySwitch(Config)access-list 104 permit udp any eq tftp any

第九步:应用访问控制列表

/*将访问控制列表应用到VLAN 3和VLAN 4,VLAN 2不需要*/Switch(Config)Int Vlan 3Switch(Config-vlan)ip access-group 103 outSwitch(Config-vlan)Int Vlan 4Switch(Config-vlan)ip access-group 104 out

第十步：结束并保存配置

篇11：网络交换机・什么是端口结构类型

如果按交换机的端口结构来分，交换机大致可分为：固定端口交换机和模块化交换机两种不同的结构。其实还有一种是两者兼顾，那就是在提供基本固定端口的基础之上再配备一定的扩展插槽或模块。

1、固定端口交换机

固定端口顾名思义就是它所带有的端口是固定的，如果是8端口的，就只能有8个端口，再不能添加。16个端口也就只能有16个端口，不能再扩展。目前这种固定端口的交换机比较常见，端口数量没有明确的.规定，一般的端口标准是8端口、16端口和24端口。非标准的端口数主要有：4端口，5端口、10端口、12端口、20端口、22端口和32端口等。

固定端口交换机虽然相对来说价格便宜一些，但由于它只能提供有限的端口和固定类型的接口，因此，无论从可连接的用户数量上，还是从可使用的传输介质上来讲都具有一定的局限性，但这种交换机在工作组中应用较多，一般适用于小型网络、桌面交换环境。

固定端口交换机因其安装架构又分为桌面式交换机和机架式交换机。与集线器相同，机架式交换机更易于管理，更适用于较大规模的网络，它的结构尽寸要符合19英寸国际标准，它是用来与其它交换设备或者是路由器、服务器等集中安装在一个机柜中。而桌面式交换机，由于只能提供少量端口且不能安装于机柜内，所以，通常只用于小型网络。

2、模块化交换机

篇12：提高网络安全性 安全配置交换机端口

故障描述

一天，我们在校园网的网络运行性能监控平台上发现某栋搂的VLAN有问题DD其接入交换机与校园网的连接中断。检查放置在网络中心的汇聚交换机，测得与之相连的100BASE-FX端口有大量的入流量，而出流量却非常少，显得很不正常。然而这台汇聚交换机的性能似乎还行，感觉不到有什么问题。于是，我们在这台汇聚交换机上镜像这个异常端口，用协议分析工具Sniffer来抓包，最多时每秒钟居然能抓到10万多个。对这些数据包进行简单分析，我们发现其中一些共同特征。

1、绝大部分的包长为62个字节(加上4字节的差错检测FCS域即为66个字节)，TCP状态为SYN;

2、源IP为其他网段的IP、目的IP均为该楼网段的IP;

3、尽管源IP地址不同，但源MAC地址却是一样的;

4、目的IP地址和目的MAC地址与在这台汇聚交换机上绑定该楼VLAN的IPDMAC参数一致;

5、实际的数据流向(流入)与这些数据包中的源IP地址和目的IP地址所确定的流向(流出)相反。

当时，我们急于尽快抢修网络，没去深究这些数据包的特征，只看到第1点就以为网络受到不明来历的Syn Flood攻击，估计是由一种新网络病毒引起，马上把这台汇聚交换机上该端口禁用掉，以免造成网络性能的下降。

故障排除

为了能在现场测试网络的连通性，在网络中心，我们把连接那栋大楼接入交换机的多模尾纤经光电转换器用双绞线连到一台PC上，并将其模拟成那个问题 VLAN的网关。然后，到现场找来大楼网管员，想让他协助我们尽快把感染了未知病毒的主机查到并隔离。

据大楼网管员反映，昨天网络还算正常，不过，当时本大楼某部门正在做网络调整，今天上班就发现网络不行了，不知跟他们有没有关系。我们认为调整网络应该跟感染病毒关系不大。在大楼主配线间，我们把该接入交换机上的网线都拔掉，接上手提电脑，能连通网络中心的测试主机。我们确认链路没问题后，每次将剩余网线数量的一半插回该交换机，经测试没问题则如是继续下去，否则换插另一半，逐渐缩小怀疑有问题网线的数量。

我们最终找到一条会引起问题的网线，只要插上这根网线，该大楼网络就会与模拟网关中断连接。经大楼网管员辨认，这条网线是连接昨天在做网络调整的那个部门的。他还说以前该部们拉了一主一备两条网线，应该还有一条，并亲自在那台交换机上把另一条找了出来。随意插上这两条网线中的一条，网络没问题，但只要同时插上，就有问题，哪有在一台交换机上同时插上两条网

线才会激活网络病毒的SYN Flood攻击的?这时我们倒是觉得这种现象更像是网络中有环路。我们到了那个部门发现有三台非管理型交换机，都是串在一起的，然而其中两台又分别通过那两条网线与接入交换机相连，从而导致了网络环路。显然是施工人员对网络拓扑不清楚，当时大楼网管员有事外出，就自以为是地把线接错了，从而造成了这起网络事故。原因找到就好办了，只需拔掉其中一条上联网线即可恢复网络连通，

经过一番周折，网络恢复了正常，但我们还一直在想，是什么干扰了我们的判断呢?

故障分析

一起典型的网络环路故障，用协议分析工具Sniffer抓了这么多的数据包，经过一番分析却没看出问题来。显然，第一眼看到大量的SYN包让我们产生了错觉，想当然地就以为是SYN Flood攻击。事后，我们就这起网络环路故障排除过程做了检讨，重新仔细地分析抓回来的这些数据包，据此解释一下前面提到这些数据包所具有的5个共同特征，以便今后遇到同类问题时能及时作出正确的反应。

先看前4个特征：汇聚交换机是网络层设备，该大楼所属VLAN的网络层接口就设置在这台汇聚交换机上，出于实施网络管理策略的需要，对已注册或没注册的 IP地址都进行了MAC地址的绑定。TCP连接要经过3次握手才能建立起来，在这里发起连接的SYN包长度为28个字节，加上14个字节的以太帧头部和 20个字节的IP报头，由Sniffer捕获到的帧长度共为62个字节(不包含4字节的差错检测FCS域)。恰巧当时访问该VLAN的单播帧是来自外网的 TCP请求包，根据以太网桥的转发机制，通过CRC正确性检测后，因已做静态ARP配置，这台汇聚交换机会将该单播帧的源MAC地址转换成本机的MAC地址，其目的MAC地址依据绑定参数来更换，并重新计算CRC值，更新FCS域，经过这样重新封装后，再转发到那栋楼的接入交换机。

再看最后1个特征：网桥是一种存储转发设备，用来连接相似的局域网。这些网桥在所有端口上监听着传送过来的每一个数据帧，利用桥接表作为该数据帧的转发依据。桥接表是MAC地址和用于到达该地址的端口号的一个“MAC地址-端口号”列表，它利用数据帧的源MAC地址和接收该帧的端口号来刷新。网桥是这样来使用桥接表的：当网桥从一个端口接收到一个数据帧时，会先刷新桥接表，再在其桥接表中查找该帧的目的MAC地址。如果找到，就会从对应这个MAC地址的端口转发该帧(如果这个转发端口与接收端口是相同，就会丢弃该帧)。

如果找不到，就会向除了接收端口以外的其他端口转发该帧，即广播该帧。这里假定在整个转发过程中，网桥A、B、C和D都在其桥接表中查找不到该数据帧的目的MAC地址，即这些网桥都不知道应该从哪个端口转发该帧。当网桥A从上联端口接收到一个来自上游网络的单播帧时，会广播该帧，网桥B、C收到后也会广播该帧，网桥D收到分别来自网桥B、C的这个单播帧，并分别经网桥C、B传送回网桥 A，到此网桥A收到了该单播帧的两个副本。

在这样的循环转发过程中，网桥A不停地在不同端口(这时已经不涉及上联端口了)接收到相同的帧，由于接收端口在改变，桥接表也在改变“源MAC-端口号”的列表内容。前面已经假定网桥的桥接表中没有该帧的目的MAC地址，网桥A在分别收到这两个单播帧后，都只能再次向除了接收端口以外的其他端口广播该帧，故该帧也会向上联端口转发。