锁定思科交换机端口

我们都知道，摆在网络管理员面前的一大问题是如何控制哪些人可以访问企业的内部网络，哪些人不可以。比如，是不是随便什么人，走进你的办公室，然后用他自己的笔记本连接到墙上的网络接口，就可以访问你们公司的网络了？也许你会说，墙上的网络接口是坏的，或者并没有接入公司网络，那么你怎么能确认这个人不会把一台接入内部网的电脑网线拔下来插在自己的笔记本上呢？

也许你会觉得这种情况不太可能，但是实际生活中确实有这种现象。在我的公司，经常有软件销售人员拜访，并向我们展示软件操作方法等内容，他们经常希望能够从我们的某台电脑上把网线拔下来，插在他们自己带来的笔记本上，来访问互联网。

这种随便什么人进到公司来，都可以接入公司网络的现象让我们感到恐惧，也许你也会开始担心自己的公司网络安全了。我感到其中最大的风险是，这些外来的电脑中很可能存有病毒或蠕虫。记住，并不是每个人都能意识到有效的安全措施的重要性，如果有人经常接入你的网络，也许你的网络已经不再安全。

因此，我开始尝试使用交换机的端口安全功能来解决这一问题。 下面我就来介绍一下如何使用Cisco的port security功能来保护我们公司的内部网。

基本知识
基本来说，Port Security功能可以记住与交换机端口连接的网卡MAC地址，并仅允许该MAC地址使用该端口。如果其它网卡试图通过该端口连接到交换机，端口安全功能就会禁止该端口工作。大多数时候，网络管理员都会设置交换机发送SNMP数据到网络监控程序上，提醒管理员，该端口由于安全原因被禁用了。

当然，实施任何一种安全解决方案也都有其特有的代价，基本上提高安全性，就会降低方便性。当使用端口安全功能时，你可以防止其它设备接入网络，从而提高了企业网络的安全性。而同时，也只有网络管理员才能“解锁”交换机端口，这也导致了一些合法设备在正常更换时出现了问题。

配置端口安全
配置端口安全功能比较简单。基本上，端口安全的配置需要管理员针对一个已经开启的交换机端口，进入port-security接口模式。如下所示：

Switch)# config t
Switch(config)# int fa0/18
Switch(config-if)# switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
Switch(config-if)# switchport port-security
Switch(config-if)#^Z

在输入这些基本的配置命令时，我们采用的是默认方式，即只允许每个端口绑定一个MAC地址，具体绑定的MAC地址来自第一个与该端口通信的设备，一旦有另一个MAC地址试图与这个端口进行通信，则禁用该端口。当然，你也可以不采用这种默认方式。

配置选项
从例子中我们可以看出，还有一些端口安全命令可以帮助你配置该功能。以下就是一些可选命令的作用：

switchport port-security maximum {max # of MAC addresses allowed}:这个参数可以让每个端口绑定更多的MAC地址，而不再只能绑定一个地址。比如，你用一个12口HUB连接到交换机端口，就应该设置每个端口支持绑定12个MAC地址。另外，每个端口最多能绑定132个MAC地址。

switchport port-security violation {shutdown | restrict | protect}:这个命令告诉交换机，当每个端口接入的MAC地址数量超过了规定的最大值，该如何处理。在默认情况下是关闭该端口，当然，你也可以选择向管理员报警 (如 restrict) 或者仅允许安全的MAC地址与端口通信，而将超出的MAC地址发送或接收的数据包丢弃(如 protect)。

switchport port-security mac-address {MAC address}:你可以用这个命令直接指定每个端口要绑定的MAC地址，而不是让端口自己自动按先后顺序绑定端口。

当然，你也可以在某个端口范围进行设置，而不是逐个端口进行设置。例子如下：

Switch)# config t
Switch(config)# int range fastEthernet 0/1 - 24
Switch(config-if)# switchport port-security

不过在使用这个命令时应该多加小心，因为如果你在一个可能连接多个设备的上行端口上设置了该命令，一旦第二个设备向端口发送数据，那么整个端口范围就都关闭了。

查看端口安全状态
一旦你成功配置了端口安全功能，并且以太网上的设备开始向该端口发送数据，那么交换机就会立即记录该端口连接设备的MAC地址，并且使用该MAC地址与端口绑定。要查看交换机的端口安全状态，你可以使用show port-security address和show port-security interface命令。以下是这两个命令的输出结果示范：

Switch# show port-security address
Secure Mac Address Table
-------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0004.00d5.285d SecureDynamic Fa0/18 -
-------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024

Switch# show port-security interface fa0/18
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0004.00d5.285d
Security Violation Count : 0

Switch#

（责任编辑:陈毅东）

查看本文的国际来源