当前位置:文档之家 › 交换机端口安全策略在网络中的应用实例

交换机端口安全策略在网络中的应用实例

  • 格式:pdf
  • 大小:132.38 KB
  • 文档页数:1

下载文档原格式

  / 1

合集下载

交换机的安全策略及实施

交换机的安全策略及实施

交换机的安全策略及实施交换机在企业网中占有重要的地位,通常是整个网络的核心所在。

在这个黑客入侵风起云涌、病毒肆虐的网络时代,作为核心的交换机也理所当然要承担起网络安全的一部分责任。

因此,交换机要有专业安全产品的性能,安全已经成为网络建设必须考虑的重中之中。

安全交换机由此应运而生,在交换机中集成安全认证、ACL(Access Control List,访问控制列表)、防火墙、入侵检测甚至防毒的功能,网络的安全真的需要“武装到牙齿”。

交换机在企业网中占有重要的地位,通常是整个网络的核心所在。

在这个黑客入侵风起云涌、病毒肆虐的网络时代,作为核心的交换机也理所当然要承担起网络安全的一部分责任。

因此,交换机要有专业安全产品的性能,安全已经成为网络建设必须考虑的重中之中。

安全交换机由此应运而生,在交换机中集成安全认证、ACL(Access Control List,访问控制列表)、防火墙、入侵检测甚至防毒的功能,网络的安全真的需要“武装到牙齿”。

安全交换机三层含义交换机最重要的作用就是转发数据,在黑客攻击和病毒侵扰下,交换机要能够继续保持其高效的数据转发速率,不受到攻击的干扰,这就是交换机所需要的最基本的安全功能。

同时,交换机作为整个网络的核心,应该能对访问和存取网络信息的用户进行区分和权限控制。

更重要的是,交换机还应该配合其他网络安全设备,对非授权访问和网络攻击进行监控和阻止。

安全交换机的新功能(一)、802.1x加强安全认证在传统的局域网环境中,只要有物理的连接端口,未经授权的网络设备就可以接入局域网,或者是未经授权的用户可以通过连接到局域网的设备进入网络。

这样给一些企业造成了潜在的安全威胁。

另外,在学校以及智能小区的网络中,由于涉及到网络的计费,所以验证用户接入的合法性也显得非常重要。

IEEE 802.1x 正是解决这个问题的良药,目前已经被集成到二层智能交换机中,完成对用户的接入安全审核。

802.1x协议是刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。

交换机ACL功能在网络中的应用

交换机ACL功能在网络中的应用

交换机ACL功能在网络中的应用交换机ACL(Access Control List)是指通过对交换机进行配置,来过滤或限制网络流量的一种功能。

它可以根据IP地址、MAC地址、端口号等进行过滤,从而提高网络的安全性和性能。

在本文中,我们将探讨交换机ACL在网络中的应用。

1.网络安全交换机ACL可以用于实现网络的安全策略。

通过设置ACL规则,可以限制特定IP地址或者MAC地址访问特定的网络资源,从而防止未经授权的用户访问敏感数据。

比如,一个企业可以设置ACL规则,只允许特定的员工使用特定的MAC地址访问公司的服务器,防止公司机密资料被泄露。

另外,ACL还可以用于阻止网络中的恶意活动,如DDoS攻击、端口扫描等。

通过设置特定的ACL规则,可以限制其中一IP地址连续发送大量的数据包,避免网络被占用或瘫痪。

2.流量控制交换机ACL还可以用于流量控制,以提高网络的性能和带宽利用率。

通过设置ACL规则,可以限制特定的流量通过特定的端口,从而避免网络拥塞。

比如,对于一个视频会议场景,可以设置ACL规则,只允许相关视频流量通过特定的端口,保证视频会议的丢包率和延迟控制在合理范围内。

此外,ACL还可以用于限制网络用户的带宽使用,从而确保一些关键应用能够获得足够的带宽,避免因为一些用户或应用的高带宽使用导致其他用户或应用的网络连接质量下降。

3.服务质量(QoS)交换机ACL可以用于实现服务质量(Quality of Service,QoS)的管理。

通过设置ACL规则,可以对不同类型的数据流量进行分类和分级处理,从而保证关键应用的服务质量。

比如,一个企业可以设置ACL规则,将实时视频流量优先级设置为最高,确保视频会议的流畅进行;将VoIP 流量优先级次之,保障语音通话的清晰;将普通数据流量优先级最低,以保证其他应用的正常运行。

此外,ACL还可以用于流量的限速和限制,从而确保网络资源的公平分配和合理利用。

4.网络监控交换机ACL还可以用于网络的监控和分析。

宽带接入之交换机端口安全介绍

宽带接入之交换机端口安全介绍

降低管理成本: 端口安全优化可 以简化网络管理, 降低管理成本。
满足合规要求: 端口安全优化可 以帮助企业满足 相关法规和标准 的要求,降低法 律风险。
端口安全优化的方法
01 端口安全策略:设置端口安全策 略,限制端口访问权限
02 端口访问控制:设置端口访问控 制,限制特定端口的访问
03 端口加密:使用加密技术,提高 端口数据的安全性
监控端口状态:实时 监控交换机端口的状 态,发现异常情况及
时处理
配置安全参数:设置 端口允许的最大MAC 地址数量、安全动作、
安全时间等参数
定期更新安全策略: 根据网络环境的变化, 定期更新端口安全策
略,确保网络安全
绑定MAC地址:将交 换机端口与特定的
MAC地址进行绑定, 防止非法设备接入
端口安全配置参数
端口安全模式:包括安全模 式和非安全模式,安全模式 可以限制端口的最大连接数, 非安全模式则没有限制。
端口安全动作:包括关闭端 口、限制连接数和限制流量 等,可以根据需要选择合适 的动作。
端口安全年龄:设置端口安 全年龄可以限制端口的最大 连接时间,超过设定时间后, 连接将被断开。
端口安全协议:可以设置端 口安全协议,如TCP、UDP 等,以限制端口的连接类型。
宽带接入之交换 机端口安全介绍
目录
01. 交换机端口安全概述 02. 交换机端口安全配置 03. 交换机端口安全策略 04. 交换机端口安全优化
1
交换机端口安全 概述
交换机端口安全的重要性
01
02
03
04
保护网络免受未 经授权的访问防止恶意软件和 病毒的传播
保障数据传输的 安全性和完整性
提高网络性能和 稳定性

网络规划中如何设置网络设备的安全策略(八)

网络规划中如何设置网络设备的安全策略(八)

网络规划中如何设置网络设备的安全策略随着互联网的快速发展,网络安全问题日益突显,保护网络设备的安全成为企业和个人所面临的重要挑战之一。

网络规划中,合理设置网络设备的安全策略是保障网络信息安全的重要环节。

本文将就如何设置网络设备的安全策略进行探讨。

【背景介绍】随着互联网时代的到来,网络设备以其高效连接性和便捷性成为人们日常生活中不可或缺的一部分。

然而,网络设备同时也面临着来自网络黑客、病毒入侵等安全威胁。

为了保护网络设备的安全,网络规划中必须设置合理的安全策略。

【网络设备的安全策略设置原则】网络设备的安全策略设置的首要原则是综合考虑保护隐私、防范攻击、提高网络抗毁性和确保数据完整性等方面的要求。

具体而言,可以从以下几个方面考虑:1. 物理安全策略在网络规划中,首先要确保网络设备的物理安全,即要将服务器机房、交换机等设备放置在特定安全区域内,并设置相应的门禁系统和监控设备,防止未经授权的人员接触设备。

2. 访问控制策略设置访问控制是网络安全的重要措施。

通过在网络设备上设置访问控制列表(Access Control List, ACL),可以限制特定IP地址或特定用户对设备的访问和操作权限。

此外,还可以设置强密码和定期修改密码的策略,以提高设备的安全性。

3. 防火墙策略防火墙是网络安全中最为重要的设备之一。

在网络规划中,合理设置防火墙策略可以有效地防御外部攻击并控制网络访问。

设置防火墙的规则和策略,如限制特定端口的访问、屏蔽某些IP地址或域名等,可以大大提高网络设备的安全性。

4. 安全补丁管理策略网络设备的安全性与其软件版本密切相关。

定期更新并安装最新的安全补丁是防止网络设备受到已知漏洞攻击的重要手段。

因此,在网络规划中,应建立完善的安全补丁管理策略,并及时检测并修复已知的漏洞。

【网络设备安全策略的实施与管理】1. 安全策略的实施一旦确定了网络设备的安全策略,需要确保这些策略的有效实施。

可以采用自动化的网络安全管理工具,帮助实施和监控网络设备的安全策略。

交换机基础安全功能原理与应用

交换机基础安全功能原理与应用
DHCP offer
trust
untrust
DHCP Snooping功能配置
*
Ruijie(config)#ip dhcp snooping
01
开启DHCP snooping功能
03
Ruijie(config-FastEthernet 0/1)#ip dhcp snooping suppression
IP绑定
主机符合被绑定的IP才能合法接入网络
IP+MAC+VLAN绑定
主机符合被绑定的IP+MAC+VLAN才能合法介入网络
端口安全应用场景(例)
*
Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 1
交换机一个端口最大只能接入1台主机
措施
使用中/强密码 源地址限制 使用安全管理协议
使用中强密码
*
密码位数尽量保证在6位以上 不要使用纯数字 不要使用ruijie、admin、star、123456类似的密码
概述
弱密码:aabbcc、567890 中等强度密码:ruijie345 高等强度密码:Ruijie#876
密码强度举例
源地址限制
protected
protected
SW1
SW2
全局地址绑定
*
概述 在交换机中绑定接入主机的IP+MAC地址 只有被绑定的IP+MAC地址才能接入网络 应用场景
绑定:
1.1.1.1
×

×
全局地址绑定配置
*
Ruijie(config)#address-bind 1.1.1.1 001a.a900.0001

交换机端口安全认证实验报告

交换机端口安全认证实验报告

交换机端口安全认证实验报告一、实验目的本实验旨在通过交换机端口安全认证,保障网络的信息安全。

通过实验,掌握交换机端口安全认证的原理和操作方法。

二、实验原理交换机端口安全认证是一种网络安全技术,用于限制未经授权设备接入网络。

其原理是利用交换机的MAC地址过滤功能,将非授权MAC地址的设备隔离或阻断,确保网络中只有授权设备能够接入。

三、实验环境1. 实验设备:一台交换机、若干台计算机设备2. 实验软件:网络配置工具、终端仿真软件四、实验步骤1. 配置交换机端口安全策略a. 进入交换机管理界面,并使用管理员账号登录。

b. 找到需要配置端口安全的端口,例如FastEthernet0/1。

c. 配置端口安全认证,设置允许连接设备的最大数量,例如2。

d. 配置端口安全认证方式为“限制”模式,即在达到最大设备数量时阻断后续设备连接。

e. 保存配置并退出管理界面。

2. 连接计算机设备a. 将一台计算机连接到已配置了端口安全的交换机端口上。

b. 打开终端仿真软件,配置计算机的IP地址和子网掩码。

c. 确保计算机与交换机端口连接正常。

3. 验证端口安全认证功能a. 将其他计算机设备依次连接到交换机端口。

b. 观察并记录交换机管理界面上的端口状态变化。

c. 当连入的设备数量达到最大允许数量时,验证交换机是否能够正确阻断后续设备连接。

五、实验结果与分析根据实验步骤进行操作后,我们观察到交换机管理界面上的端口状态发生了如下变化:1. 当第一台设备连接到交换机端口时,端口状态显示为“已连接”。

2. 当第二台设备连接到交换机端口时,端口状态仍显示为“已连接”,符合我们设定的最大允许设备数量为2。

3. 当第三台设备尝试连接到交换机端口时,端口状态显示为“已阻断”,交换机成功拦截了未授权设备连接。

通过以上观察,我们可以得出结论:交换机端口安全认证功能有效,能够根据设定的策略拦截未授权设备的连接,确保网络的安全性。

六、实验总结本次实验通过对交换机端口安全认证的配置和验证,详细了解了其原理和操作方法。

安全技巧:提高交换机端口的安全性


来很大的安全隐患。如员工带来的电脑可能本身就带有病毒 , 从而使 得病毒通过企业内部 网络进行传播 或者非法复制企 业内部的资料等
等~ 二是 未 经 批 准 采 用集 线 器 等设 备 。 些 员 工 为 了增 加 网 络 终端 的 有
而缺陷就是配置的工作量会 比较大 , 在初期 的时候 . 需要为每个交换
地 址 不 同 而 造成 的 因 为在 交 换机 的 这个 端 口中 , 有一 个 限 制 条 件 。 只
在企 业 中 . 胁 交换 机 端 口的 行 为 比较 多 . 结 一下 有 如 下 情 形 : 威 总

有 特 定 的 l 址 才 可 以通 过 这 个 端 E连 入 到 网络 中 ?如 果 主 机 变 更 P地 l 了 . 需 要 让 其 允 许 连 接 这 个 端 口 的话 , 么 就 需 要 重 新 调 整 交 换 机 还 那 的 MAC地 址 设 置 这 种 手 段 的 好 处 就 是 可 以 控 制 , 有 授 权 的 主 机 只 才 能 够 连 接 到交 换 机 特 定 的端 E 中 .未 经授 权 的 用户 无 法 进 行 连 接 : l
量增加, 从而导致网络 性能的下降 在企业 网络 日常管理 中, 这也是经
常遇 到 的一 种 危 险 的 行为
所说的 , 要执 行这个限制的话 , 工作量会比较大 。 三是对可以接人的设备进行限制。出于客户端性能的考虑 , 我们 往往需要限制某个交换机端 口可 以连接的最 多的主机数量。 如我们可 以将这个参数设置为 1 那么就只允许 一台主机连接到交换机的端 口 . 中。如此的话 。 就可 以避免 用户私 自使用集线器或者交换机等设备来
机 的端 1进 行 配 置 。 如果 后 续 主 机 有 调 整 或 者 网 卡 有 更换 的话 ( 最 3 如

安全交换机网络安全策略解析

维普资讯 httቤተ መጻሕፍቲ ባይዱ://
20 0 8年第 3期




5 9
安全 交换机 网络安全 策 略解析
李 常 先
(青 岛 农 业 大学 海 都 学 院 山 东 青 岛 2 5 0 ) 620
【 摘
要 】 网络 时代 的到 来使得安 全 问题 成为一个迫切需要 解决的 t 题; :  ̄ ' 病毒 、 - I 黑客 以及 各种各样漏洞的存在 , 使得 安
全任 务 在 网络 时 代 变得 无 比 艰 巨。 安 全 交换 机 一 络界 的新 宠 儿 , 网 网络 入 V的 守 关 者 , 在 向一 切 不安 全 的 因素 举 起 大 刀。 . t 志
【 关键词 】 交换 机、 : 网络安全、 量控 制、 流 安全
作 为 网 络 核 心 的 交 换 机 理 所 当然 要 承 担 起 网 络安 全 的 重 要 个 一 个 独 立 的 区域 . 以 控 制 这些 区 域 是 否 可 以 通 讯 。 V A 可 LN 责 任 。 因此 。 换 机 要有 专 业 安 全 产 品 的性 能 , 全 已 经 成 为 网 可 能 跨 越 一 个 或 多个 交 换 机 , 它 们 的 物 理 位 置无 关 . 备 之 问 交 安 与 设 络 建设 必 须 考 虑 的 重 中之 中 。 安全 交换 机 也 由此 应运 而生 . 交 好 像 在 同 一 个 网络 问通 信 一 样 。V A 可 在各 种 形 式 上 形 成 . 在 LN 如 换 机 中集 成 了安 全 认 证 、 C ( ceS o t l i .访 问 控 制列 端 口 、 C地 址 、P地 址 等 。V A A L A cs nm s C Lt MA I L N限 制 了 各个 不 同 V A L N之 问 表 ) 防火 墙 、 侵 检 测 甚 至 防 病 毒 的功 能 。 、 入 的 非 授 权 访 问 .而 且 可 以设 置 I/ C地 址 绑 定 功 能 限 制 用 户 PMA 交换 机最 重 要 的作 用 就 是 转 发 数 据 .在 黑 客 攻 击 和 病 毒侵 的 非授 权 网 络 访 问 扰下. 交换 机要 能 够 继 续 保 持 其 高 效 的数 据 转 发 速 率 , 受 到攻 6 基 于 访 问 控 制 列 表 的 防 火 墙 功 能 不 、 击 的 干扰 . 就 是 交 换 机 所 需 要 的 最 基 本 的安 全 功 能 。 同 时 , 这 交 安 全 交 换 机 采 用 了 访 问 控 制 列 表 A L来 实 现 包 过 滤 防 火 C 换 机作 为 整 个 网 络 的 核 心 .应 该 能 对 访 问 和 存 取 网络 信 息 的用 墙 的 安 全 功 能 . 强安 全 防 范能 力 。 问控 制 列 表 以前 只 在 核 心 增 访 户进 行 区分 和 权 限 控 制 。 重 要 的是 . 更 交换 机 还应 该 配 合其 他 网 路 由 器 才 获 使 用 。 安 全 交 换 机 中 , 问控 制 过 滤 措 施 可 以基 于 在 访 络 安全 设 备 . 非 授 权 访 问 和 网 络 攻 击 进 行 监 控 和 阻 止 。 对 源, 标 交 换 槽 、 口 、 目标 V A 源, 目 端 源, L N、 目标 I 、C /D 端 P T PU P I C C地址 来 实现 。 下 面 我 们 就 交 换 机 的 安 全 功 能 及 安 全 策 略 做 一 详 细 的 介 口、 MP类 型 或 MA 绍: A L不 但 可 以 让 网 络管 理 者 用 来 制 定 网 络 策 略 .针 对 个 别 C l 8 2l 、 0 ,x强安 全 认 证 用 户 或 特定 的 数 据 流 进 行 允 许 或者 拒绝 的 控 制 .也 可 以用 来 加 让 在 传 统 的 局 域 网 环 境 中 . 要 有 物 理 的 连 接 端 1 。 经 授 权 强 网络 的安 全屏 蔽 , 黑 客 找 不 到 网 络 中 的 特 定 主 机 进 行探 测 . 只 3 未

交换机 组策略

交换机组策略交换机组策略是在网络交换机中用于管理和控制网络数据流动的一种策略。

它通过配置相应的规则和属性,控制和限制数据包的通过和传输。

交换机组策略主要通过端口绑定、虚拟局域网(VLAN)、访问控制列表(ACL)和质量服务(QoS)等功能来实现。

下面我将详细介绍这些功能和它们在交换机组策略中的应用。

首先是端口绑定。

交换机可以通过端口绑定来限制某些特定设备或用户只能通过特定的端口访问网络。

这样可以有效地防止未经授权的设备接入网络,从而提高网络的安全性。

例如,可以将某个端口绑定到特定的MAC地址,只有该MAC 地址的设备才能通过该端口接入网络,其他设备即使连接到该端口也无法访问网络。

其次是虚拟局域网(VLAN)。

VLAN可以将交换机中的端口划分成多个虚拟的局域网,不同的VLAN之间的通信需要通过路由器进行。

通过VLAN的划分,可以将网络按照不同的部门、地区或者功能进行逻辑上的隔离,从而提高网络的安全性和灵活性。

例如,在一个企业网络中,可以将财务部门的设备划分到一个VLAN,人资源部门的设备划分到另一个VLAN,从而限制不同部门之间的访问。

第三是访问控制列表(ACL)。

ACL是一组规则,用于控制数据包在交换机中的通过。

通过配置ACL,可以限制特定的源IP地址、目标IP地址、端口号等信息,只允许符合规则的数据包通过。

ACL在实现网络安全和访问控制方面发挥着重要作用。

例如,可以针对特定的IP地址或端口号设置访问控制规则,阻止来自某些IP地址或端口的请求,以增强网络的安全性。

最后是质量服务(QoS)。

QoS可以按照不同的服务质量要求优先处理网络数据包。

通过配置QoS规则,可以保证部分重要的数据优先传输,从而提高网络的性能和用户体验。

例如,在一个网络中,可以将视频流量的优先级设置为最高,以保证视频的流畅播放,而将其他数据流量的优先级设置为次要。

除了上述主要功能外,交换机组策略还可以通过配置端口速率、端口镜像、端口隔离等属性来实现网络流量的控制、监测和隔离。

交换机VLAN技术在局域网中的应用

远程教 育研 究
C h l n a E d u c a t i o n I n n o v a … ~・ t j o n H e r a l d ●
交换机 V L A N技术 在 局域 网中 的应 用
金 红 旭 ( 辽宁职 业学 院 辽 宁铁 岭 1 1 2 0 9 9 ) 机 , 交换机 等 同络 设备 数量 的不 断增加 , 网络 流量也 随 之增 大 , 而 网络 中 的广播风暴 . 安 全性 等 问题就 凸
量 出来 , 如 果 能 很 好 的 应 用 交换 机 的 虚 拟 局 域 网 ( VLAN ) 技 术 就 能 很 大 程 度 的 解 决 这 些 问题 。 本 文 介 绍 了vLAN 的 相 关 知 识 . 以 便 能 给 同络 管理 者 以 相应 的 启示 。 关键词 : 交换机 VL A N技术 广播风暴 安全性
中图分类号 : G 4
文献标 识 码 : A
文章编 号 : 1 6 7 3 —9 7 9 5 ( 2 0 1 3 ) 0 4 ( b ) - O 1 6 9 - 0 1 VL A N通 常 适用 于 小 型局 域 网 。 3 . 3按 I P 地址划分 V L A N 按I P 地址 划 分VL AN是基 于 第 三层 ( 网 络 层) I P子 网来 构 造 的 VL AN。 划 分 时交 换 机 将 每 一 台主 机的M AC 地 址和 它 的I P 地 址
交换机 在局 域 网中 占有重要 的地位 , 多个交 换 机 , 在 一个 V L A N中的 广播 不会 送 通常是 整个网络 的核心 。 而 交 换 机 最 重要 到 别 的VL AN。 所 以 就 是相 邻 的 端 口如 果 所 的作用 就是转发数据 , 保 持 其 高 效 的 数 据 属 不 同VL A N, 也 不 会收 到 其 他VL AN 产 生 转 发 速率 , 不受到攻击和干扰 , 如 何 能对 访 的 广 播 。 这 样 可 以减 少广 播 流 量 , 降 低 交 换 问 和 存 取 网络 信 息 的 用 户 进 行 区分 和 权 限 机 通 信 压 力 。 控制 , 还 能 配 合 其 他 网络 设 备 , 对 非授 权访 2 . 3加 强 网络 的安 全性 问 和 同 网络 攻 击 进 行 阻 止 。 要 实 现 这 些 操 个 VLAN是 一 个 单 独 的 广 播 域 , 作 就 是 依 赖 对 交 换 机 实 施 设 置而 实 现 的 , V L A N之 间相 互 隔 离 , 确保 了网络 的 安 全保 其 中 的VL A N( 虚拟 局域 网 ) 划 分 又是 其 重 密 性 。 人 们 在 局 域 网 上 经 常 传 送 一 些 需 要 要所 在 。 VL AN划 分 是 通过 软件 方 法 实现 , 保密的关 键数据 。 一 个 有 效 和 容 易 实 现 的 因此 , 它 具 有 很 高 的 灵活 性 。 方 法 是 将 网 络 分 段成 几 个 不 同 的 广 播 域 , 网管 限 制 了VL AN中主 机 用 户 的数 量 , 禁止 1先来了解 V L A N的作用 未 经 授 权 而 访 问 网络 的 用 户 。 交 换 端 口可 VL AN是 一 种 在 局 域 网 内将 网 络 从 逻 以 按 应 用 类 型 和 访 问 特 权 来 进 行 分 组 , 被 辑 上 划分 成 一 个个 不 同 的 网段 工作 组 , 从 而 限 制 的 资 源 置 于 安 全 性 较 高 的 VL AN中 。 实现 虚拟 工 作组 的技 术 。 一 个V L A N就 是 一 2 . 4便 于监 督 网络 个广 播域 , 与 用 户 主 机 的 物 理 位 置 没 有 关 网络 监督 和管 理 , 网 管 可 以 通 过 网 管 系。 一 个V L A N看 不 到另 一个V L A N的 存在 。 软件 可以 查 询 V L AN间和 VL AN内 通 信 的 以 及应 用 数 据 包 的 分 V L AN 技术的出现 , 使 得 管理 员能 按 管 数据 包 的 分 类 信 息 ,
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(5)swich(config-if)#switchport portsecurity mac-address H.H.H
命 令 解 释 :指 定 端 口 允 许 通 过 的 MAC 地 址 ,如 有 多 个 MAC地 址 ,可 重 复 多 次 使 用该命令。
(6)swich(config-if)#switchport port-

科技资讯 S C I E N C E & T E C H N O L O G Y I N F O R M A T I O N
1 端口安全策略实施
(1)建 立 计 算 机 登 记 表 格 ,该 表 格 结 合 了 计 算 机 资 产 管 理 。表 格 主 要 包 括 了 计 算 机 的 基 本 配 置 信 息 ,IP地 址 、MAC地 址 和 安 放地点等信息。
(2)以 接 入 层 机 房 为 单 位,然 后 分 片 、分 步 、逐 台 登 记 计 算 机 。
命令:swich#show mac-address-table
add H.H.H 2.2 端口安全策略命令和实例
(1)swich(config)#interface type solt/
port 命令解释:进入端口配置模式。 (2)swich(config-if)#switchport mode
access 命令解释:设置端口模式为access模式,
该模式是端口连接计算机的模式。
(3)swich(config-if)#switchport port-
security 命令解释:启动端口安全策略。
(4)swich(config-if)#switchport portsecurity maximum <1 – 5120>
命令解释:定义端口允许通讯的最大 MAC地 址 数 量 ,默 认 为 1。
(1)未经登记的外部计算机连接到网络 引 起 端 口 err-disable,用 户 网 络 中 断 。
(2)从手工关闭的交换机端口私自拉接 网线,网络无法使用。
(3)用户下联网络设备例如HUB或路由 器 ,并 其 它 接 入 计 算 机 ,引 起 交 换 机 端 口 err-disable,用 户 网 络 中 断 。
(3)根 据 登 记 的 资 料 ,对 该 接 入 层 交 换 机端口进行端口安全策略实施,关闭未使 用的端口。
(4)任何错误的交换机端口安全策略和 端口关闭,都会引起用户计算机终端的网 络 中 断 。通 过 用 户 主 动 的 网 络 报 修,逐 步 完 善端口安全策略配置和资料(见图1)。
2.1 查看对应 mac 地址的交换机资产的物理位置,明晰新增计算机资产的准确流向;防止用户私自在接入层交换设备拉接网线。
本文通过安阳供电公司信息网络实施端口安全策略实例,介绍了交换机端口安全策略的命令、实施方法、联动网络维护产生的网络管
理效果及问题。
关键词:交换机端口安全 MAC地址 网络接入安全 计算机资产 信息安全
security violation protect |restrict|shutdow 命 令 解 释 :非 指 定 MAC地 址 计 算 机 接
入 该 端 口 后,交 换 机 端 口 做 出 的 反 应 。有 三 个 可 选 参 数 :protect(丢 弃 该 数 据 包 )、restrict (仅 发 送 trap通 知 )和 shutdown(端 口 关 闭 )。 2.3 端口关闭命令
4 结语
在有少于1000台计算机的局域网内,端 口安全策略是一个可行的局域网络管理方 法 。但 在 使 用 该 策 略 时 ,必 须 建 立 配 套 的 管 理制度和考核办法并有效执行,才能使信 息 安 全 策 略 起 到 良 好 的 持 续 的 效 果 。如 果 配套的管理制度不能有效执行,会使得信 息 安 全 的 管 理 十 分 被 动 。无 法 达 到 预 想 的 效 果 。诚 如 一 句 话 所 说 的“ 三 分 靠 技 术 ,七 分 靠 管 理 ”。
中 图 分 类 号:TP319.3
文 献 标 识 码 :A
文 章 编 号 :1672-3791(2009)11(a)-0002-01
供 电 企 业 内 部 网 络 覆 盖 面 广 、信 息 点 多 、承 载 公 司 管 理 、生 产 等 各 种 业 务 。网 络 的安全稳定运行是各个系统正常使用的基 础 。加 强 对 网 络 的 管 理 控 制 ,保 证 网 络 稳 定 运 行 变 得 十 分 重 要 。通 过 对 网 络 的 调 查,发 现 网 络 中 存 在 以 下 几 个 问 题 。(1)外 部 计 算 机随意接入(例如外单位人员携带的笔记 本),外部计算机的接入极有可能给公司内 网 带 来 病 毒 , 木 马 甚 至 恶 意 攻 击 。(2)公 司 信 息点分布范围广,超出网络管理员人工能 监 管 的 范 围 。这 些 地 方 存 在 用 户 私 自 从 接 入层机房或现有信息点拉接网线,擅自延 伸 网 络 边 缘 信 息 点 。这 种 行 为 使 得 网 络 的 接 入 信 息 点 不 可 控 制 。( 3 ) 用 户 任 意 调 换 、搬 移计算机等问题也给信息安全带来了问 题,同时也使得计算机资产的管理混乱,计 算机经过多次调换和迁移后,流向十分混 乱 。端 口 安 全 策 略 通 过 MAC地 址 来 对 网 络 流 量 进 行 管 理 和 控 制 。通 过 在 端 口 上 指 定 具 体 MAC地 址 数 据 和 数 量 、配 合 网 络 维 修 和资产登记,可以有效避免以上问题。
科技资讯 2009 NO.31 SCIENCE & TECHNOLOGY INFORMATION
信 息 技 术
交换机端口安全策略在网络中的应用实例
张才俊 (安阳供电公司 河南安阳 455000)
摘 要:交换机端口安全策略能够通过MAC地址对网络流量进行控制,有效避免未授权的外部计算机接入;防止局域网内用户擅自调
(1)swich(config)#interface type solt/ port
命令解释:进入端口配置模式。
(2)swich(config-if)#shutdown 命令解释:关闭端口。
2 交换机端口安全实施相关命令
本文所列配置命令均为在实施端口安 全时需要使用到的思科交换机配置命令, 命令实例均为真实交换机配置。
3 交换机端口安全策略实施效果
端 口 发 生 违 规MAC地 址 接 入 后 ,我们 采 用 了 端 口 自 动 关 闭 的 方 式 。即 一 旦 发 生 违规接入,端口将自行关闭,任何连接在该
图1
端 口 的 网 络 流 量 都 将 被 丢 弃 。一 旦 用 户 报 修网络,网络维护人员会首先查看用户对 应的交换机端口状态,以确定用户是否发 生了违规行为。
(4)用户擅自的调换或者搬移电脑位置 后,插入其它信息点引起交换机端口关闭。
对 于 得 许 可 的 用 户 计 算 机 的 新 增 、调 换 和 搬 迁 ,处 理 流 程 如 下 (见 图 2)。
图2 端口安全策略使用中的问题如下。 端口安全策略的实施,使得网络的管 理 变 得 十 分 严 格 。用 户 的 很 多 违 规 行 为 都 会 引 起 网 络 中 断 ,如 果 管 理 不 到 位 ,会 给 网 络 管理人员带来很多繁琐的工作。在实施端口 安全策略的同时,必须制定和发布相应的规 章制度和考核办法,以规范用户行为。 端 口 安 全 策 略 需 要 完 全 手 工 配 置 ,改 动起来比较麻烦;端口安全策略的有效实 施,需 要 和 维 修 、计 算 机 资 产 登 记 人 员 密 切 配合,才能起到更好的效果。