窍门 提高交换机端口的安全性

窍门 提高交换机端口的安全性（通用9篇）

窍门 提高交换机端口的安全性 篇1

企业网络安全涉及到方方面面，从交换机来说，首选需要保证交换机端口的安全。在不少企业中，员工可以随意的使用集线器等工具将一个上网端口增至多个，或者说使用自己的笔记本电脑连接到企业的网路中。类似的情况都会给企业的网络安全带来不利的影响。在这篇文章中，笔者就跟大家谈谈，交换机端口的常见安全威胁及应对措施。

一、常见安全威胁

在企业中，威胁交换机端口的行为比较多，总结一下有如下几种情况。

一是未经授权的用户主机随意连接到企业的网络中。如员工从自己家里拿来一台电脑，可以在不经管理员同意的情况下，拔下某台主机的网线，插在自己带来的电脑上。然后连入到企业的网路中。这会带来很大的安全隐患。如员工带来的电脑可能本身就带有病毒。从而使得病毒通过企业内部网络进行传播。或者非法复制企业内部的资料等等。

二是未经批准采用集线器等设备。有些员工为了增加网络终端的数量，会在未经授权的情况下，将集线器、交换机等设备插入到办公室的网络接口上。如此的话，会导致这个网络接口对应的交换机接口流量增加，从而导致网络性能的下降。在企业网络日常管理中，这也是经常遇到的一种危险的行为。

在日常工作中，笔者发现不少网络管理员对于交换机端口的安全性不怎么重视。这是他们网络安全管理中的一个盲区。他们对此有一个错误的认识。以为交换机锁在机房里，不会出大问题。或者说，只是将网络安全的重点放在防火墙等软件上，而忽略了交换机端口等硬件的安全。这是非常致命的。

二、主要的应对措施

从以上的分析中可以看出，企业现在交换机端口的安全环境非常的薄弱。在这种情况下，该如何来加强端口的安全性呢？如何才能够阻止非授权用户的主机联入到交换机的端口上呢？如何才能够防止未经授权的用户将集线器、交换机等设备插入到办公室的网络接口上呢？对此笔者有如下几个建议。

一是从意识上要加以重视。笔者认为，首先各位网络管理员从意识上要对此加以重视。特别是要消除轻硬件、重软件这个错误的误区。在实际工作中，要建立一套合理的安全规划。如对于交换机的端口，要制定一套合理的安全策略，包括是否要对接入交换机端口的MAC地址与主机数量进行限制等等。安全策略制定完之后，再进行严格的配置。如此的话，就走完了交换机端口安全的第一步。根据交换机的工作原理，在系统中会有一个转发过滤数据库，会保存MAC地址等相关的信息。而通过交换机的端口安全策略，可以确保只有授权的用户才能够接入到交换机特定的端口中。为此只要网络管理员有这个心，其实完全有能力来保障交换机的端口安全。

二是从技术角度来提高端口的安全性，

如比较常用的一种手段是某个特定的交换机端口只能够连接某台特定的主机。如现在用户从家里拿来了一台笔记本电脑。将自己原先公司的网线接入到这台笔记本电脑中，会发现无法连入到企业的网络中。这时因为两台电脑的MAC地址不同而造成的。因为在交换机的这个端口中，有一个限制条件。只有特定的IP地址才可以通过其这个端口连入到网络中。如果主机变更了，还需要让其允许连接这个端口的话，那么就需要重新调整交换机的MAC地址设置。这种手段的好处就是可以控制，只有授权的主机才能够连接到交换机特定的端口中。未经授权的用户无法进行连接。而缺陷就是配置的工作量会比较大。在期初的时候，需要为每个交换机的端口进行配置。如果后续主机有调整或者网卡有更换的话(如最近打雷损坏的网卡特别多)，那么需要重新配置。这就会导致后续工作量的增加。如果需要进行这个MAC地址限制的话，可以通过使用命令switchport port –security mac-address来进行配置。使用这个命令后，可以将单个MAC地址分配到交换机的每个端口中。正如上面所说的，要执行这个限制的话，工作量会比较大。

三是对可以介接入的设备进行限制。出于客户端性能的考虑，我们往往需要限制某个交换机端口可以连接的最多的主机数量。如我们可以将这个参数设置为1，那么就只允许一台主机连接到交换机的端口中。如此的话，就可以避免用户私自使用集线器或者交换机等设备拉增加端口的数量。不过这种策略跟上面的MAC地址策略还是有一定的区别。MAC地址安全策略的话，也只有一台主机可以连接到端口上。不过还必须是MAC地址匹配的主机才能够进行连接。而现在这个数量的限制策略，没有MAC地址匹配的要求。也就是说，更换一台主机后，仍然可以正常连接到交换机的端口上。这个限制措施显然比上面这个措施要宽松不少。不过工作量上也会减少不少。要实现这个策略的话，可以通过命令swichport-security maximun来实现。如故将这个参数设置为1，那么就只允许一台主机连接到交换机的端口之上。这就可以变相的限制介入交换机或者集线器等设备。不过这里需要注意的是，如果用户违反了这种情况，那么交换机的端口就会被关闭掉。也就是说，一台主机都连接不到这个端口上。在实际工作中，这可能会殃及无辜。所以需要特别的注意。

四是使用sticky参数来简化管理。在实际工作中，sticky参数是一个很好用的参数。可以大大的简化MAC地址的配置。如企业现在网络部署完毕后，运行以下switch-port port-security mac-addres sticky命令。那么交换机各个端口就会自动记住当前所连接的主机的MAC地址。如此的话，在后续工作中，如果更换了主机的话，只要其MAC地址与原有主机不匹配的话，交换机就会拒绝这台主机的连接请求。这个参数主要提供静态MAC地址的安全。管理员不需要再网络中输入每个端口的MAC地址。从而可以简化端口配置的工作。不过如果后续主机有调整，或者新增主机的话，仍然需要进行手工的配置。不过此时的配置往往是小范围的，工作量还可以接受。

最后需要注意的是，如果在交换机的端口中同时连接PC主机与电话机的时候，需要将Maximun参数设置为2。因为对于交换机端口来说，电话机与PC机一样，都是属于同类型的设备。如果将参数设置为1，那么就会出现问题。在电话机等设备集成的方案中设置端口安全策略时，需要特别注意这一点。很多网络管理员在实际工作中，会在这个地方载跟斗。

窍门 提高交换机端口的安全性 篇2

关键词：交换机端口安全,MAC地址,网络接入安全,计算机资产,信息安全

供电企业内部网络覆盖面广、信息点多、承载公司管理、生产等各种业务。网络的安全稳定运行是各个系统正常使用的基础。加强对网络的管理控制, 保证网络稳定运行变得十分重要。通过对网络的调查, 发现网络中存在以下几个问题。 (1) 外部计算机随意接入 (例如外单位人员携带的笔记本) , 外部计算机的接入极有可能给公司内网带来病毒, 木马甚至恶意攻击。 (2) 公司信息点分布范围广, 超出网络管理员人工能监管的范围。这些地方存在用户私自从接入层机房或现有信息点拉接网线, 擅自延伸网络边缘信息点。这种行为使得网络的接入信息点不可控制。 (3) 用户任意调换、搬移计算机等问题也给信息安全带来了问题, 同时也使得计算机资产的管理混乱, 计算机经过多次调换和迁移后, 流向十分混乱。端口安全策略通过MAC地址来对网络流量进行管理和控制。通过在端口上指定具体MAC地址数据和数量、配合网络维修和资产登记, 可以有效避免以上问题。

1 端口安全策略实施

(1) 建立计算机登记表格, 该表格结合了计算机资产管理。表格主要包括了计算机的基本配置信息, IP地址、MAC地址和安放地点等信息。

(2) 以接入层机房为单位, 然后分片、分步、逐台登记计算机。

(3) 根据登记的资料, 对该接入层交换机端口进行端口安全策略实施, 关闭未使用的端口。

(4) 任何错误的交换机端口安全策略和端口关闭, 都会引起用户计算机终端的网络中断。通过用户主动的网络报修, 逐步完善端口安全策略配置和资料 (见图1) 。

2 交换机端口安全实施相关命令

本文所列配置命令均为在实施端口安全时需要使用到的思科交换机配置命令, 命令实例均为真实交换机配置。

2.1 查看对应m a c地址的交换机端口命令和实例

命令:swich#show mac-address-tablea d d H.H.H

2.2 端口安全策略命令和实例

(1) swich (config) #interface type solt/p o r t

命令解释:进入端口配置模式。

(2) swich (config-if) #switchport mode access

命令解释:设置端口模式为access模式, 该模式是端口连接计算机的模式。

(3) swich (config-if) #switchport portsecurity

命令解释:启动端口安全策略。

(4) swich (config-if) #switchport portsecurity maximum<1–5120>

命令解释:定义端口允许通讯的最大MAC地址数量, 默认为1。

(5) swich (config-if) #switchport portsecurity mac-address H.H.H

命令解释:指定端口允许通过的MAC地址, 如有多个MAC地址, 可重复多次使用该命令。

(6) swich (config-if) #switchport portsecurity violation protect|restrict|shutdow

命令解释:非指定MAC地址计算机接入该端口后, 交换机端口做出的反应。有三个可选参数:protect (丢弃该数据包) 、restrict (仅发送trap通知) 和shutdown (端口关闭) 。

2.3 端口关闭命令

(1) swich (config) #interface type solt/p o r t

命令解释:进入端口配置模式。

(2) swich (config-if) #shutdown

命令解释:关闭端口。

3 交换机端口安全策略实施效果

端口发生违规MAC地址接入后, 我们采用了端口自动关闭的方式。即一旦发生违规接入, 端口将自行关闭, 任何连接在该端口的网络流量都将被丢弃。一旦用户报修网络, 网络维护人员会首先查看用户对应的交换机端口状态, 以确定用户是否发生了违规行为。

(1) 未经登记的外部计算机连接到网络引起端口err-disable, 用户网络中断。

(2) 从手工关闭的交换机端口私自拉接网线, 网络无法使用。

(3) 用户下联网络设备例如HUB或路由器, 并其它接入计算机, 引起交换机端口err-disable, 用户网络中断。

(4) 用户擅自的调换或者搬移电脑位置后, 插入其它信息点引起交换机端口关闭。

对于得许可的用户计算机的新增、调换和搬迁, 处理流程如下 (见图2) 。

端口安全策略使用中的问题如下。

端口安全策略的实施, 使得网络的管理变得十分严格。用户的很多违规行为都会引起网络中断, 如果管理不到位, 会给网络管理人员带来很多繁琐的工作。在实施端口安全策略的同时, 必须制定和发布相应的规章制度和考核办法, 以规范用户行为。

端口安全策略需要完全手工配置, 改动起来比较麻烦;端口安全策略的有效实施, 需要和维修、计算机资产登记人员密切配合, 才能起到更好的效果。

4 结语

交换机端口的安全管理技术 篇3

关键词：交换机；端口；安全管理；技术

中图分类号：TP

随着校园信息化建设的持续推进，接入校园网的用户数量急剧增加，致使大量交换机端口信息缺乏有效的管理，由此应建立相应的交换机端口的统一管理体系。传统的交换机端口信息是通过人工管理的。人工管理的方式较为复杂、同时也受到交换机地点的限制，并且人工管理过程中，相应的端口数据容易丢失，为了有效提高管理效率，还应在明确端口管理现状以及端口管理技术的基础之上，根据网络建设和使用实际选择相应的管理技术，为交换机端口的安全管理奠定了基础。

1 交换机端口管理

对于交换机端口管理工作而言，以太网应用初始阶段并未受到重视，在由HuB至交换机转变过程中，因硬件自身所存在着的局限性，网络设备基本上都是即插即用样式，而交换机则因其端口位置是开放状态，所以只要是兼容二层及以上网络协议的关联性内容即可使用。近年来，随着科技水平的不断提高，网络范围也在不断的扩展，一系列中型、大型网络系统快速出现，交换机端口管理工作显得越来越重要则，其中重要的交换机端口管理工作机器管理方式，基本上都是从互联、认证以及分割和隔离等，四个环节开展。

2 交换机端口管理的重要价值

实践中可以看到，虽然交换机端口采用的即插即用应用方式相对比较简便，但同时也存在着一些弊端与不足，比如APR病毒非常的泛滥，因ARP协议存在着一定的缺陷，导致交换机难以有效地辨别冒充网关的一系列MAC地址，从而造成网络中断、网络嗅探等问题的频频发生，同时在企业信息网络系统之中，基于对安全的充分考虑，我国不希望即插即用出现在链路层，因此应当对接入系统中的网络设备予以辨认。同时，大型的网络系统中的广播域相互之间可能会产生一定的影响，这无形中增大了网管人员的管理力度。在该种情况下，应当通过较为严格的交换机管理程序，来有效保证网络持续运行。目前来看，交换机性能持续增加，这主要表现在背板的有效的宽带方面，而且交换机端口速率也由原来的10M发展到现代的千兆，甚至万兆速率。

3 加强交换机端口管理

3.1 LAN技术

对于传统的以太网而言，它是平面网络的一种，而且网络之中的全部主机均通过Hub、交换机等有效的连接在一起，即隶属于相同的广播域。从本质上来讲，Hub即物理层机械设备，没有所谓的交换功能，但可将接收的所有报文转发给所有的端口；交换机则是链路层设备，其主要是依据报文目的MAC地质予以有效转发，然在收到广播报文、未知单播报文过程中，也会将所收到的报文向所有端口进行转发。上述情况下，网络主机将收到大量的、并非目的性的报文，在大量带宽资源严重浪费的情况下，也可能会造成非常严重的一系列安全隐患问题。传统的广播域隔离方式是路由器，但路由器的应用成本非常的高，而且端口相对比较少，因此难以对一些较为细致的网络系统予以划分。

3.2 VLAN技术

随着交换技术的发展，当前新交换技术（VLAN）的应用也在加快。该技术可以先将企业中的网络系统有效地划分成虚拟网络网段，这对于加强网络管理、不断提高其安全性以及实现数据广播管理，具有非常重要的作用。在网络资源共享过程中，物理网段即为广播域，然而在交换网络当中，广播域则是一组可根据需要选定的网络地址，即由MAC地址形成的一个虚拟网段。在网络组运行过程中，通过工作组的有效划分可突破共享网络中的相关地理位置大量闲置等藩篱，严格按照管理功能之要求，可以实现对网络系统的有效划分。从实践来看，这种基于工作流的管理与分组模式，即可以有效的提高网络规划效率，又可以对网络管理功能进行有效的重组。

对于相同的VLAN工作站而言，不管其实际上是否与某一个交换机有所连接，二者之间的通讯均类似于在相同的交换机之上，对于相同的VLAN广播而言，通常只有VLAN中的组员能够接收到信息，而并不会传输到VLAN当中，由此能对不必要的广播风暴进行了控制。由此，若是缺乏路由器，那么在不同类型的VLAN间将难以实现有效的通讯。由此不仅便利了企业用户的应用，也在很大程度上提高了交换机的管理效率。

3.3 IP-MAC绑定技术

早期的校园网当中，常出现IP盗用的状况，这是由于网络接入交换机时，太随意，而且接入时并未设置任何安全装置，因此用户只要接入网线，无论在什么地方均可以上网。虽然这种模式方便，却很容易出现IP被盗等问题。

网卡MAC地址，即12位16进制数，而且是唯一的，它对MAC地址在系统网络中的计算机身份进行了明确。实践中，为方便管理，管理员通过对用户MAC地址登记，将该地址和交换机端口有效的绑定在一起。通常情况下，MAC地址主要集中在交换机端口绑定以后，其地址数据流严格自绑定端口位置进入，决不允许由另外的端口大量出入。简单地说，就是特定主机只允许在特定端口位置下发送数据帧，只有这样才能被交换机所接收，并予以转发。实践中，若干该主机移动至其他位置，那么将难以正常连接网络。

MAC与交换机端口相互绑定以后，该交换机端口可让其他MAC地址的数据流通过。然而在实际的运行过程中，部分工具软件、病毒等，很容易伪造成MAC地址，然后进入到网络系统之中。基于对网络系统的安全运行之考虑，决不可将网络系统的安全信任关系一味地建立于IP基础、MAC地址之上，最为理想的方式是将网络安全信任建立在IP+MAC之上，采用MAC地址+端口+IP的绑定模式，由此实现了对报文转发的过滤控制，有效提高了网络的安全性能。

4 结束语

根据实际的分析可了解到，在企业、校园网环境之中，为能够有效保证用户的安全应用性，管理人员都应当采用多元化的管理模式，对LAN、VLAN、IP绑定技术的分析，明确了不同端口管理技术的特点，相应的企业以及校园应根据自身的网络应用现状，选择合理的交换机端口的管理模式和手段。上述的交换机端口管理方式相辅相成，由此在实际的应用过程中应结合自身管理需求进行考虑，从而营造一个健康、安全、快速、高效的网络管理体系。同时通过对相应交换机端口安全管理技术的分析，为相应的交换机的安全管理和有效实践奠定了良好的基础。

参考文献：

[1]高国璐.虚拟局域网VLAN在网络管理中的应用[J].时代教育（教育教学），2010（09）.

[2]陈程，欧阳昌华.互联网网络安全性及其对策[J].企业技术开发，2007（09）.

[3]崔炜.基于VC++6.0的登录控制设计[J].佳木斯教育学院学报，2011（04）.

[4]任娟，裘正定.普适计算中的隐私保护[J].信息安全与通信保密，2006（02）.

[5]王以伍，任宇，陈俊.IPv6安全技术分析[J].电脑知识与技术，2008（32）.

[6]赖志刚，宁辉华.浅谈VLAN技术[J].科技资讯，2008（03）.

cisco交换机端口隔离的实现 篇4

在cisco 低端交换机中的实现方法:

1.通过端口保护(Switchitchport protected)来实现的。

2.通过PVLAN(private vlan 私有vlan)来实现.

主要操作如下:

相对来说cisco 3550或者2950交换机配置相对简单，进入网络接口配置模式:

Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口

Switch(config-if-range)#Switchitchport protected #开启端口保护

ok...到此为止,在交换机的每个接口启用端口保护,目的达到.

由于4500系列交换机不支持端口保护，可以通过PVLAN方式实现。

主要操作如下:

交换机首先得设置成transparents模式，才能完成pvlan的设置。

首先建立second Vlan 2个

Switch(config)#vlan 101

Switch(config-vlan)#private-vlan community

###建立vlan101 并指定此vlan为公共vlan

Switch(config)vlan 102

Switch(config-vlan)private-vlan isolated

###建立vlan102 并指定此vlan为隔离vlan

Switch(config)vlan 200

Switch(config-vlan)private-vlan primary

Switch(config-vlan)private-vlan association 101

Switch(config-vlan)private-vlan association add 102

###建立vlan200 并指定此vlan为主vlan，同时制定vlan101以及102为vlan200的second vlan

Switch(config)#int vlan 200

Switch(config-if)#private-vlan mapping 101,102

###进入vlan200 配置ip地址后，使second vlan101与102之间路由，使其可以通信

Switch(config)#int f3/1

Switch(config-if)#Switchitchport private-vlan host-association 200 102

Switch(config-if)#Switchitchport private-vlan mapping 200 102

Switch(config-if)#Switchitchport mode private-vlan host

###进入接口模式，配置接口为PVLAN的host模式，配置Pvlan的主vlan以及second vlan，一定用102，102是隔离vlan

至此，配置结束，经过实验检测，各个端口之间不能通信，但都可以与自己的网关通信，

注:如果有多个vlan要进行PVLAN配置，second vlan必须要相应的增加，一个vlan只能在private vlan下作为 second vlan。

华为交换机端口镜像配置 篇5

port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8

【8016交换机端口镜像配置】

1。 假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。

port monitor ethernet 1/0/15

2。 设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。

port mirroring ethernet 1/0/0 both ethernet 1/0/15

也可以通过两个不同的端口，对输入和输出的数据分别镜像

1。 设置E1/0/15和E2/0/0为镜像(观测)端口

port monitor ethernet 1/0/15

2。 设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。

port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15

port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0

『基于流镜像的数据流程』

基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。

【3500/3026E/3026F/3050】

〖基于三层流的镜像〗

1。 定义一条扩展访问控制列表

acl num 101

2。 定义一条规则报文源地址为1，

1。1。1/32去往所有目的地址

rule 0 permit ip source 1。1。1。1 0 destination any

3。 定义一条规则报文源地址为所有源地址目的地址为1。1。1。1/32

rule 1 permit ip source any destination 1。1。1。1 0

4。 将符合上述ACL规则的报文镜像到E0/8端口

mirrored-to ip-group 101 interface e0/8

〖基于二层流的镜像〗

1。 定义一个ACL

acl num 200

2。 定义一个规则从E0/1发送至其它所有端口的数据包

rule 0 permit ingress interface Ethernet0/1 (egress interface any)

3。 定义一个规则从其它所有端口到E0/1端口的数据包

rule 1 permit (ingress interface any) egress interface Ethernet0/1

4。 将符合上述ACL的数据包镜像到E0/8

mirrored-to link-group 200 interface e0/8

【5516】

支持对入端口流量进行镜像

配置端口Ethernet 3/0/1为监测端口，对Ethernet 3/0/2端口的入流量镜像。

mirror Ethernet 3/0/2 ingress-to Ethernet 3/0/1

【6506/6503/6506R】

目前该三款产品只支持对入端口流量进行镜像，虽然有outbount参数，但是无法配置。

镜像组名为1，监测端口为Ethernet4/0/2，端口Ethernet4/0/1的入流量被镜像。

mirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2

【补充说明】

1。 镜像一般都可以实现高速率端口镜像低速率端口，例如1000M端口可以镜像100M端口，反之则无法实现

2。 8016支持跨单板端口镜像

【相关文章】

华为8016交换机DHCP配置

局域网交换机的配置及性能比较

窍门 提高交换机端口的安全性 篇6

例如 连接端口6/9的工作站发生故障.我们将该端口的报文拷贝到端口10/1，该端口被用作分析端口。局域网分析仪可以连接到端口10/1，在不中断和介入当前报文流的情况下可以进行故障诊断。

c5505>(enable)set span enable

c5505>(enable)set span 6/9 10/1

Enable monitoring of port 6/9 transmit/receive traffic by port 10/1

c5505>(enable)sh span

status :enable

Admin source ort 6/9

OPer source ort 6/9

Destination ort 10/1

Direction :transmit/receive

Incoming packet :disable

c5505>(enable)

我们也可以通过上述方法监听多个端口。此外，我们也可以将整个VLAN的报文都拷贝到目的SPAN端口。同时我们还可以通过属性只获取发送或接收的报文。禁止进入报文语句表明，在缺省情况下目的端口为SPAN端口的报文将被禁止。

例 下面的例子只传输从VLAN2发送到10/1 SPAN端口的帧，

端口11/7-9都位于VLAN2内，因此我们可以将11/7-9设置为源端口以达到相同的效果。在配置和使用SPAN时。我们要注意：

◆交换机与集线器不同，每一个交换机端口都分隔冲突域。因此，当将某个端口或者某一组端口拷贝到SPAN端口时，用户不能简单地监听线路。SPAN端口只获取从源端口发送到其他网段或者其他网段发送到源端口的帧,其中包括广播。透明网桥的规则可以在此应用。例如，如果某个集线器连接到源端口，其中的两个工作站之间发送的报文将不会拷贝到SPAN端口，因为它没通过源交换机端口。

◆spancatalyst5000交换机端口可以是正常vlan的一部份，但是由于该端口不能加入生成树，所以最好不要这样设置。需要注意的是，在缺省情况下该端口与其他端口一样位于VLAN1中.为了避免出现环路，将span目的端口设置到它本身的VLAN.

◆当拷贝G比特以太网模块中的端口时，必须监视双向转发的报文。对于该模块的另一个限制时源和目的SPANcatalyst5000交换机端口必须位于同一块接口卡中。

◆同时也要注意，在catalyst5000交换机端口中。FDDI模块部支持SPAN。

c5505>(enable)set span 2 10/1 tx

Enable monitoring of VLAN transmit traffic by port 10/1

c5505>(enable)sh span

Status :enable

Admin Source :vlan 2

oper source ort 11/7-9

Destination ort 10/1

Direction :transmit

Incoming Packet :disabled

窍门 提高交换机端口的安全性 篇7

当前网络运营商不断提出各种宽带用户终端接入数量的限制, 本文主要从技术的角度来研究局域网用户接入数量的分析和研究, 以CISCO3560交换机为例, 研究和分析基于MAC地址的主机访问控制。

如果交换机端口下连接的是一台主机时的端口安全设置方法, 即只有指定的主机才能访问网络, 其它的主机 (以MAC地址为唯一标识) 是无法通过CIS-CO的这个端口访问网络。

3560#conf t

Enter configuration commands one per line.End with CNTL/Z.

3560 (config) #inter fa0/10

3560 (config-if) #switchport port-security

3560 (config-if) #switchport port-security maximum 1

3560 (config-if) #switchport port-security mac-address 3232.3251.2326

这种措施虽然有效, 可以准确的对相应MAC地址的主机进行访问控制, 但是却有一定的局限性, 具体表现为CISCO3560交换机的很多端口下面是连接有交换机, 而且还是普通的二层交换机, 这也就相当于一个端口下面有多台主机通过, 针对这种情况如何实现只有指定的MAC地址的主机才能通过呢。我主要尝试了两种办法。

1、通过限制连接主机的数量, 还是通过端口安全的相关命令来实现, 但是发现效果不理想, 只是实现了限制连接主机数量的操作, 我通过一系列的实验终于得到了一个结论, 多数情况下CISCO3560的端口下面连接了二层交换机, 以前我们使用采用的端口安全措施就不怎么有效了, 无法实现只有指定的主机的MAC地址才能通过, 最多只能限制端口中通过的MAC地址数量的上限, 比如我们最大允许10台主机通过CISCO3560交换机的第10端口, 操作步骤如下:

查看端口10的当前配置如下

这样的设置也是属于端口安全的一种, 只不过以上的操作是通过限制通过的主机数量来保护端口的带宽, 这在我们的工作实际中倒是也是这样的需要, 比如我们开通了一个单位的互联网用户, 采用包月制, 这样就需要限制这个单位同时上网的主机数量, 比如不能超过25台, 就可以通过设置这样设置“maximum”的值为“25”来实现。这种措施是有效的, 但是距离我们的要求还有一定的距离, 我们还是想实现即使是CISCO3560端口下面连接了一台普遍的二层交换机, 也可以达到只有指定的MAC地址的主机 (若干台主机) 才可以访问网络的目的。

2、基于MAC地址的ACL来实现

为了实现第一种方法中存在的问题这种目标, 我们转换了思路, 探索通过基于MAC地址的ACL (访问控制列表) , 结果发现这种方法是行之有效的。通过这种方式, 网络结构是相同的, 只不过思想更换为通过ACL来实现, 我们以前设置的ACL多是基于IP地址, 对于基于MAC的ACL设置较少, 其实这两类ACL的设置思路是一致的, 步骤如下。

(一) 定义一个MAC地址访问控制列表并且命名该列表名为mac0605

#Switch (config) mac access-list extended mac0605

(二) 定义MAC地址为3232.3251.2326的主机可以访问任意主机

#Switch (config) permit host 3232.3251.2326 any

#Switch (config) permit any host 3232.3251.2326

(三) 进入配置具体端口模式

#Switch (config) interface fa0/10

(四) 在该端口上应用名为mac0605的访问列表

#Switch (config) mac access-group mac0605 in

(五) 显示配置结果

以上方法当中在进行实际测试时发现了一个很有趣的现象, 仔细对这个现象进行分析, 也进一步加深了我对CISCO交换机工作原理的理解。我们写好了基于MAC的ACL, 如何来做测试, 有两套方案, 一套是将cisco3560交换机第十端口上连接一台主机, 将其MAC地址修改为3232.3251.2326, 该主机可以正常访问网络 (利用带t参数的ping命令来测试) , 更改为主机的MAC地址为其它值后ping命令显示的结果马上就中断了, 说明基于MAC的ACL是有效的。但是我们还通过另外一套方案进行了测试, 即保持主机的MAC地址不变, 通过修改ACL中permit的MAC的值来测试 (如先no掉permit host 3232.3251.2326 any, 再写入一条permit host 3232.3251.2326 any) , 这时就不是马上不通了, 而是会是一个10分钟左右的时延。

为什么会出现这个现象, 因为交换机中MAC表有一个老化时间, 由于我们这次是采取的在ACL中修改MAC值来指定, 那么ACL中的值与实际交换机检测到端口所连接的主机MAC地址不一致有一个时间差, 在这个时间差之内那台主机还是可以访问网络的, 过了这个时间, 就无法访问网络了。

参考文献

[1]张文婷.局域网常见问题的处理及优化[J].电子制作.2013 (20)

[2]穆尼拉.塔西买买提.浅析医院局域网管理与维护[J].河南科技.2010 (10)

[3]陈远燕.浅谈如何保证计算机局域网的管理与安全[J].中国科教创新导刊.2009 (14)

交换机端口满了如何实现共享上网 篇8

解答：这其实不难，可以采用“一端口共享”的办法实现，即是说在局域网中，两机共用一交换机口共享上网，在出现Windows XP之前，这个愿望是很难实现的，因为XP中新增的“网桥”功能，使得这一愿望成为可能。

首先，要准备一台安装windows XP系统的电脑，并安装双网卡，我们把这台电脑叫“电脑A”；另一台新加入的叫“电脑B”。还有就是保证电脑A能够正常访问局域网资源。

第一步：打开网络属性窗口，将原来的“本地连接”命名为“服务端”，

后来安装的网卡的“本地连接”重命名为“客户端”，然后用直通双绞线将这块网卡与“电脑B”直连起来。

第二步：设置电脑B的IP相关地址。应该与电脑A保持同一网段，即是说子网掩码和工作组要与电脑A相同，另外默认网关和DNS地址应输入电脑A的IP地址。

通过以上设置后，两台电脑应该可以互访了。接下来就是用“网桥”将这两个连接“桥接”起来。

第三步：在电脑A中再进入网络属性窗口，选中这两个连接名后单击右键，选择“网桥”命令。

XP系统会自动为这两个连接进行桥接，桥接成功后打开“网桥”属性页，将所有适配器都设成连接本地网即可。OK！

通过以上几步的“折腾”后，电脑B即可正常访问局域网内所有资源，当然也就能共享上网。

★ [标题] 初中英语课文概述方法及板书设计

★ 年度工作概述

★ 活动概述

★ 个人概述

★ 网络安全概述

★ AutoCAD概述

★ 信息加工概述

★ 高斯随机噪声实时生成实现方法研究

★ 雨流计数的快速实现方法

窍门 提高交换机端口的安全性 篇9

端口+MAC

华为交换机H3C端口AM命令

使用特殊的AM User-bind命令，来完成MAC地址与端口之间的绑定。例如：am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。

mac-address命令使用mac-address static命令，来完成MAC地址与端口之间的绑定。例如：mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1mac-address max-mac-count 0配置说明：由于使用了端口学习功能，故静态绑定mac后，需再设置该端口mac学习数为0，使其他PC接入此端口后其mac地址无法被学习。

IP+MAC

华为交换机H3C端口AM命令

使用特殊的AM User-bind命令，来完成IP地址与MAC地址之间的绑定，

例如：am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定。

即与绑定的IP地址或者MAC地址不同的PC机，在任何端口都无法上网。支持型号：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G

华为交换机H3C端口arp命令

使用特殊的arp static命令，来完成IP地址与MAC地址之间的绑定。例如：arp static 10.1.1.2 00e0-fc22-f8d3 配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定。

端口+IP+MAC

使用特殊的AM User-bind命令，来完成IP、MAC地址与端口之间的绑定。华为交换机H3C端口例如：am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1。