您所在的位置:e-works首页 > 基础信息化 > 网络和应用

企业交换机的网络端口安全技术

发表时间:2013/8/20 鲁宏武 高海燕 王健 来源:万方数据
企业网络安全涉及领域众多,根据设备的不同,用途的差异,各种网络安全技术层出不穷,但是网络从交换机来说,首选需要保证交换机端口的安全。本文针对在企业环境中的网络端口安全问题做相关测试,经过大量实验,得出如何正确利用思科交换机自身命令的相互配合,加强企业网络的端口安全。

  企业网络安全涉及领域众多,根据设备的不同,用途的差异,各种网络安全技术层出不穷,但是网络从交换机来说,首选需要保证交换机端口的安全。在不少企业中,员工可以随意地使用集线器等设备连接办公交换机,或者使用自己的笔记本电脑连接到企业的网路中,这类的情况会给企业的网络安全带来相当大的不利影响。本文针对以上情况,对交换机端口的常见安全威胁进行相关维护,并对相关措施做一总结。

  一、常见的安全威胁

  在企业中,威胁交换机端口的行为比较多。总结一下有如下情形:

  (1)未经授权的用户主机随意连接到企业的网络中。如员工自己笔记本,可以在不经管理员同意的情况下,拔下某台主机的网线,插在自己带来的笔记本,然后连入到企业的网络中,这会带来很大的安全隐患。

  (2)未经采用同意安装集线器HUB等网络设备。有些员工为了增加网络终端的数量,会在未经授权的情况下。将集线器、交换机等设备插入到办公室的网络接口上。如此的话,会导致这个网络接口对应的交换机接口流量增加,从而导致网络性能的下降。

  (3)网络管理员在日常工作中对于交换机端口的安全性不怎么重视,这是他们网络安全管理中的一个盲区。

  二、主要的应对措施

  从以上的分析中可以看出,企业现在交换机端口的安全环境非常的薄弱。在这种情况下,仅仅靠管理上是不够的,下面我重点介绍下如何利用技术应对以上情况。

  (1)应对措施一:MAC地址与端口绑定。

  最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,MAC地址与端口绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将down掉。当给端口指定MAC地址时,端口模式必须为access或者Trunk状态。Cisco IOS交换机端口安全功能支持以下几种安全MAC地址类型:

  Switch#config terminal #进入配置模式

  Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式

  Switch(config-if)#Switchport port-secruity #配置端口安全模式

  以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用。

  (2)应对措施二:根据MAC地址允许流量的配置

  一个安全端口默认有一个安全MAC地址,这个默认值在1~3000之间。当在一个端口上设置最大安全MAC数后,可以使用switchport port-security mac-address mac_address接口配置模式命令配置安全MAC地址;也可通过port-security mac-address VLAN范围配置命令在中继端口上一个范围VLAN中配置所有安全MAC地址,以允许端口用所连接设备的MAC地址动态配置安全MAC地址。

  Switch #conf t

  Switch (config)#int f0/1

  Switch (config-if)#switchport trunk encapsulation dot1q

  Switch (config-if)#switchport mode trunk /配置端口模式为TRUNK。

  Switch (config-if)#switchport port-security maximum 50 /允许此端口通过的最大MAC地址数目为50。

  Switch (config-if)#switchport port-security violation protect /当主机MAC地址数目超过50时,交换机继续工作,但来自新的主机的数据帧将丢失。

  (3)应对措施三:启用网络身份认证功能

  Switch#conf t

  Switch(config)#aaa new-model /启用AAA认证。

  Switch(config)#aaa authentication dot1x default local /全局启用802.1X协议认证,并使用本地用户名与密码。

  Switch(config)#int range f0/1 -24

  Switch(config-if-range)#dot1x port-control auto /在所有的接口上启用802.1X身份验证。

  三、应用后的效果分析

  经过上述的一系列的技术配置,通过实地测试,基本解决了私接设备、随意扩交换机的问题。但是在实际应用中,发现了一些问题,以上策略太过于死板,一点执行shutdown后,员工不能上网,如果企业规模较大,容易导致网络管理员频繁去修改交换机的端口状态,针对这种情况,我们可以采用一下恢复策略,智能的处理违规情况。

  (1)关闭(Shutdown):发生安全违例事件时,端口立即呈现错误状态,关闭端口。同时也会发送一个SNMP捕获消息并记录系统日志,违例计数器增加1。

  (2)禁止VLAN(Shutdown VLAN):适用于VLAN的安全违例模式。在这种模式下,在发生安全违者罚款例事件时,该端口对应的VLAN都将呈错误禁止状态,关闭对应VLAN,而不关闭对应的端口。

  (3)保护:当安全MAC地址数超过端口上配置的最大安全MAC地址数时,未知源MAC地址的包将被丢弃,直到MAC地址表中的安全MAC地址数降到所配置的最大安全MAC地址数以内,或者增加最大安全MAC地址数。而且这种行为没有安全违例行为发生通知。

  (4) 限制:在安全MAC地址数达到端口上配置的最大安全MAC地址数时,未知源MAC地址的包将被丢弃,直到MAC地址表中的安全MAC地址数降到所配置的最大安全MAC地址数以内,或者增加最大安全MAC地址数。

  四、结论

  以上介绍的几种方法,各有各的特点。在可操作性上与安全性上各有不同。网络管理员需要根据自己公司网络的规模、对于安全性的要求等各个方面的因素来选择采用的方案。总之,在网络安全逐渐成为管理员心头大患的今天。交换机的端口安全必须引起大家的关注。

本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。

责任编辑:熊东旭