(5)swich(config-if)#switchport portsecurity mac-address H.H.H
命 令 解 释 :指 定 端 口 允 许 通 过 的 MAC 地 址 ,如 有 多 个 MAC地 址 ,可 重 复 多 次 使 用该命令。
(6)swich(config-if)#switchport port-
２
科技资讯 Ｓ Ｃ Ｉ Ｅ Ｎ Ｃ Ｅ ＆ Ｔ Ｅ Ｃ Ｈ Ｎ Ｏ Ｌ Ｏ Ｇ Ｙ Ｉ Ｎ Ｆ Ｏ Ｒ Ｍ Ａ Ｔ Ｉ Ｏ Ｎ
1 端口安全策略实施
(1)建 立 计 算 机 登 记 表 格 ,该 表 格 结 合 了 计 算 机 资 产 管 理 。表 格 主 要 包 括 了 计 算 机 的 基 本 配 置 信 息 ,IP地 址 、MAC地 址 和 安 放地点等信息。
(2)以 接 入 层 机 房 为 单 位,然 后 分 片 、分 步 、逐 台 登 记 计 算 机 。
命令:swich#show mac-address-table
add H.H.H 2．2 端口安全策略命令和实例
(1)swich(config)#interface type solt/
port 命令解释:进入端口配置模式。 (2)swich(config-if)#switchport mode
access 命令解释:设置端口模式为access模式,
该模式是端口连接计算机的模式。
(3)swich(config-if)#switchport port-
security 命令解释:启动端口安全策略。
(4)swich(config-if)#switchport portsecurity maximum <1 – 5120>
命令解释:定义端口允许通讯的最大 MAC地 址 数 量 ,默 认 为 1。
(1)未经登记的外部计算机连接到网络 引 起 端 口 err-disable,用 户 网 络 中 断 。
(2)从手工关闭的交换机端口私自拉接 网线,网络无法使用。
(3)用户下联网络设备例如HUB或路由 器 ,并 其 它 接 入 计 算 机 ,引 起 交 换 机 端 口 err-disable,用 户 网 络 中 断 。
(3)根 据 登 记 的 资 料 ,对 该 接 入 层 交 换 机端口进行端口安全策略实施,关闭未使 用的端口。
(4)任何错误的交换机端口安全策略和 端口关闭,都会引起用户计算机终端的网 络 中 断 。通 过 用 户 主 动 的 网 络 报 修,逐 步 完 善端口安全策略配置和资料(见图1)。
2．1 查看对应 mac 地址的交换机资产的物理位置,明晰新增计算机资产的准确流向;防止用户私自在接入层交换设备拉接网线。
本文通过安阳供电公司信息网络实施端口安全策略实例,介绍了交换机端口安全策略的命令、实施方法、联动网络维护产生的网络管
理效果及问题。
关键词:交换机端口安全 MAC地址 网络接入安全 计算机资产 信息安全
security violation protect |restrict|shutdow 命 令 解 释 :非 指 定 MAC地 址 计 算 机 接
入 该 端 口 后,交 换 机 端 口 做 出 的 反 应 。有 三 个 可 选 参 数 :protect(丢 弃 该 数 据 包 )、restrict (仅 发 送 trap通 知 )和 shutdown(端 口 关 闭 )。 2．3 端口关闭命令
4 结语
在有少于1000台计算机的局域网内,端 口安全策略是一个可行的局域网络管理方 法 。但 在 使 用 该 策 略 时 ,必 须 建 立 配 套 的 管 理制度和考核办法并有效执行,才能使信 息 安 全 策 略 起 到 良 好 的 持 续 的 效 果 。如 果 配套的管理制度不能有效执行,会使得信 息 安 全 的 管 理 十 分 被 动 。无 法 达 到 预 想 的 效 果 。诚 如 一 句 话 所 说 的“ 三 分 靠 技 术 ,七 分 靠 管 理 ”。
中 图 分 类 号:TP319.3
文 献 标 识 码 :A
文 章 编 号 :1672-3791(2009)11(a)-0002-01
供 电 企 业 内 部 网 络 覆 盖 面 广 、信 息 点 多 、承 载 公 司 管 理 、生 产 等 各 种 业 务 。网 络 的安全稳定运行是各个系统正常使用的基 础 。加 强 对 网 络 的 管 理 控 制 ,保 证 网 络 稳 定 运 行 变 得 十 分 重 要 。通 过 对 网 络 的 调 查,发 现 网 络 中 存 在 以 下 几 个 问 题 。(1)外 部 计 算 机随意接入(例如外单位人员携带的笔记 本),外部计算机的接入极有可能给公司内 网 带 来 病 毒 , 木 马 甚 至 恶 意 攻 击 。(2)公 司 信 息点分布范围广,超出网络管理员人工能 监 管 的 范 围 。这 些 地 方 存 在 用 户 私 自 从 接 入层机房或现有信息点拉接网线,擅自延 伸 网 络 边 缘 信 息 点 。这 种 行 为 使 得 网 络 的 接 入 信 息 点 不 可 控 制 。( 3 ) 用 户 任 意 调 换 、搬 移计算机等问题也给信息安全带来了问 题,同时也使得计算机资产的管理混乱,计 算机经过多次调换和迁移后,流向十分混 乱 。端 口 安 全 策 略 通 过 MAC地 址 来 对 网 络 流 量 进 行 管 理 和 控 制 。通 过 在 端 口 上 指 定 具 体 MAC地 址 数 据 和 数 量 、配 合 网 络 维 修 和资产登记,可以有效避免以上问题。
科技资讯 ２００９ ＮＯ．３１ ＳＣＩＥＮＣＥ ＆ ＴＥＣＨＮＯＬＯＧＹ ＩＮＦＯＲＭＡＴＩＯＮ
信 息 技 术
交换机端口安全策略在网络中的应用实例
张才俊 (安阳供电公司 河南安阳 455000)
摘 要:交换机端口安全策略能够通过MAC地址对网络流量进行控制,有效避免未授权的外部计算机接入;防止局域网内用户擅自调
(1)swich(config)#interface type solt/ port
命令解释:进入端口配置模式。
(2)swich(config-if)#shutdown 命令解释:关闭端口。
2 交换机端口安全实施相关命令
本文所列配置命令均为在实施端口安 全时需要使用到的思科交换机配置命令, 命令实例均为真实交换机配置。
3 交换机端口安全策略实施效果
端 口 发 生 违 规MAC地 址 接 入 后 ,我们 采 用 了 端 口 自 动 关 闭 的 方 式 。即 一 旦 发 生 违规接入,端口将自行关闭,任何连接在该
图1
端 口 的 网 络 流 量 都 将 被 丢 弃 。一 旦 用 户 报 修网络,网络维护人员会首先查看用户对 应的交换机端口状态,以确定用户是否发 生了违规行为。
(4)用户擅自的调换或者搬移电脑位置 后,插入其它信息点引起交换机端口关闭。
对 于 得 许 可 的 用 户 计 算 机 的 新 增 、调 换 和 搬 迁 ,处 理 流 程 如 下 (见 图 2)。
图2 端口安全策略使用中的问题如下。 端口安全策略的实施,使得网络的管 理 变 得 十 分 严 格 。用 户 的 很 多 违 规 行 为 都 会 引 起 网 络 中 断 ,如 果 管 理 不 到 位 ,会 给 网 络 管理人员带来很多繁琐的工作。在实施端口 安全策略的同时,必须制定和发布相应的规 章制度和考核办法,以规范用户行为。 端 口 安 全 策 略 需 要 完 全 手 工 配 置 ,改 动起来比较麻烦;端口安全策略的有效实 施,需 要 和 维 修 、计 算 机 资 产 登 记 人 员 密 切 配合,才能起到更好的效果。