當(dāng)前位置 : 首頁>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

通過配置交換機(jī)端口解決安全威脅

http://www.yibo1263.com　2008-9-13 9:02:00 　來源:東北IT網(wǎng) 　編輯:葉子

　　網(wǎng)絡(luò)管理員面臨的一個(gè)日漸嚴(yán)峻的挑戰(zhàn)是決定哪些人可以訪問單位內(nèi)部的網(wǎng)絡(luò)，哪些人不可以。如果公司需要演示某個(gè)外來客戶的產(chǎn)品,將以太網(wǎng)電纜從公司內(nèi)部一臺(tái)計(jì)算機(jī)上拔下來，插到的客戶電腦上。這樣一來，他計(jì)算機(jī)內(nèi)部的蠕蟲、病毒什么的對(duì)你的局域網(wǎng)就是一個(gè)極大威脅了。今天我們看一下怎樣通過配置交換機(jī)端口來解決類似的安全問題。

　　從基本原理上講，Port Security(端口安全)特性記住的是連接到交換機(jī)端口的以太網(wǎng)MAC地址即網(wǎng)卡號(hào)，并只允許某個(gè)MAC地址通過本端口通信。如果任何其它MAC地址試圖通過此端口通信，端口安全特性會(huì)阻止它。使用端口安全特性可以防止某些設(shè)備訪問網(wǎng)絡(luò)，并增強(qiáng)安全性。

　　配置端口安全是相對(duì)比較簡單的。最簡單的形式，就是Port Security需要指向一個(gè)已經(jīng)啟用的端口并輸入Port Security接口模式命令。

Switch)# config t
Switch(config)# int fa0/18
Switch(config-if)# switchport port-security
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
Switch(config-if)# switchport port-security
Switch(config-if)#^Z

　　在此我們通過輸入最基本的命令來配置端口安全，接授了只允許一個(gè)MAC地址的默認(rèn)設(shè)置，這就決定了只有第一個(gè)設(shè)備的MAC地址可以與這個(gè)端口通信；如果另一MAC地址試圖通過此端口通信，交換機(jī)會(huì)關(guān)閉此端口。下面談一下如何可以改變此設(shè)置。

　　當(dāng)然應(yīng)該根據(jù)實(shí)際情況來配置端口安全。此例中，實(shí)際上用戶還可以配置其它的端口安全命令：

　　switchport port-security maximum {允許的最多MAC地址數(shù)量}:可以使用這個(gè)選項(xiàng)允許多個(gè)MAC地址。例如，如果用戶有一個(gè)12端口的集線器連接到交換機(jī)的此端口，就需要12個(gè)MAC：switchport port-security maximum 12 /允許此端口通過的最大MAC地址數(shù)目為12。

　　switchport port-security violation {shutdown 　 restrict 　 protect}:此命令告訴交換機(jī)當(dāng)端口上MAC地址數(shù)超過了最大數(shù)量之后交換機(jī)應(yīng)該怎么做。默認(rèn)是關(guān)閉端口。我們可以選擇使用restrict來警告網(wǎng)絡(luò)管理員，也可以選擇protect來允許通過安全端口通信并丟棄來自其它MAC地址的數(shù)據(jù)包。

　　switchport port-security mac-address {MAC 地址}:使用此選項(xiàng)來手動(dòng)定義允許使用此端口的MAC地址而不是由端口動(dòng)態(tài)地定義MAC地址。

當(dāng)然，你可以在一系列端口上配置端口安全。下面舉一個(gè)例子：

Switch)# config t
Switch(config)# int range fastEthernet 0/1 - 24
Switch(config-if)# switchport port-security

　　然而，如果在一個(gè)UPLINK端口上輸入此命令，用戶必須十分小心使用此選項(xiàng)，因?yàn)樗赶虿恢灰粋€(gè)設(shè)備，第二個(gè)設(shè)備一旦發(fā)送一個(gè)數(shù)據(jù)包，整個(gè)端口就會(huì)關(guān)閉，這樣可就麻煩了。

　　一旦你配置了端口安全而此端口上的以太網(wǎng)設(shè)備又發(fā)出了數(shù)據(jù)，交換機(jī)會(huì)記錄下MAC地址而且通過使用這個(gè)地址來保障端口安全。要查看交換機(jī)上端口安全狀態(tài)，可以使用show port security address 和show port-security interface命令。舉例說明如下：

Switch# show port-security address
Switch# show port-security interface fa0/18
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0004.00d5.285d
Security Violation Count : 0
Switch#

　　大家可以到思科網(wǎng)站上去進(jìn)一步查找資料，采取措施來保障自己網(wǎng)絡(luò)端口的安全。

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·磊科NS108交換機(jī)特價(jià)45元!耐用不掉線

·Cisco三層交換機(jī)堆棧連接問題

·長春市政府采購中心采購交換機(jī)

·廉價(jià)交換機(jī)走俏的原因以及使用風(fēng)險(xiǎn)

·詳談交換機(jī)的連接方式組建交換網(wǎng)絡(luò)

·程控交換機(jī)的綜合性防雷保護(hù)措施

·巧用交換機(jī)控制IP地址沖突故障的技巧

·不能忽略交換機(jī)初始設(shè)置

·巧用交換機(jī)控制IP地址沖突故障

·透過現(xiàn)象看問題 Cisco交換機(jī)狀態(tài)燈

·Cisco交換機(jī)生成樹協(xié)議配置

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费