交换机端口安全总结

1162018.04 在企业中，交换机特别是第二层的交换机一般用途是用来连接终端设备如计算机，所以都会放在相对容易被用户接触到的地方，基于信息安全的角度考虑，网管人员往往希望禁止用户私自将未经验证的终端设备接上交换机的端口上，又或者基于封包流量、保证服务质量、交换器性能等方面考虑，不希望交换机上的端口串接太多的终端设备，这时候，交换机的端口安全就大派用场，通过设定，可以限制未经验证的设备接上公司网络，又或者限制交换器端口上连接的设备数量。

我们知道，第二层交换机有认识MAC-address 的本领，也可以通过MAC-address 做到数据封包的精准传送，我们可以利用交换机能够学习到设备的MAC-address 功能对交换机上的端口做一些安全性的设定。

在具体设定交换机的端口安全之前，有一些概念和事项需要留意，交换机的安全MAC 有三种形式：1.动态安全MAC ：交换机端口动态学习安全MAC，这是默认选项。

2.静态安全MAC ：交换机端口静态学习安全MAC，主要由网管人员静态将MAC 地址与端口绑定。

3.粘滞安全MAC ：交换机端口学习安全MAC 是先到先得的方法。

如果一个端口违反了安全MAC 的规则，可以受到以下的“惩罚”。

端口受到保护（protect）。

将违反安全MAC 规则的设备封包丢弃。

端口受到限制（restrict）。

将违反安全MAC 规则的设备封包丢弃，并且做日志记录。

端口被关闭。

将违反安全MAC 规则的端口关闭，不交换机的端口安全■陈童彬图1 实例一架构图网络段较多，业务较多的场景，需要梳理出业务需求段。

有时既存在A 到B 的主动访问，还有B 到A 的主动访问。

对于A 到B 的主动访问，可通过established 参数实现返回包通过。

而对于B 到A 的主动访问，直接用不带参数的permit 方式允许通过，并将该规则置前，因为ACL 是从上到下顺序执行的。

Established 参数仅仅对TCP 连接过滤，无法过滤UDP 协议，因此假如有病毒是通过UDP 协议端口传播，只能通过deny 源地址进行，无法使用本文所述方法。

交换机端口安全Port-Security超级详解交换安全交换机端口安全Port-Security超级详解一、Port-Security概述在部署园区网的时候,对于交换机,我们往往有如下几种特殊的需求：限制交换机每个端口下接入主机的数量MAC地址数量限定交换机端口下所连接的主机根据IP或MAC地址进行过滤当出现违例时间的时候能够检测到,并可采取惩罚措施上述需求,可通过交换机的Port-Security功能来实现：二、理解Port-Security安全地址：secure MAC address在接口上激活Port-Security后,该接口就具有了一定的安全功能,例如能够限制接口所连接的的最大MAC数量,从而限制接入的主机用户；或者限定接口所连接的特定MAC,从而实现接入用户的限制;那么要执行过滤或者限制动作,就需要有依据,这个依据就是安全地址– secure MAC address;安全地址表项可以通过让使用端口动态学习到的MACSecureDynamic,或者是手工在接口下进行配置SecureConfigured,以及sticy MAC addressSecureSticky 三种方式进行配置;当我们将接口允许的MAC地址数量设置为1并且为接口设置一个安全地址,那么这个接口将只为该MAC所属的PC服务,也就是源为该MAC的数据帧能够进入该接口;2.当以下情况发生时,激活惩罚violation：当一个激活了Port-Security的接口上,MAC地址数量已经达到了配置的最大安全地址数量,并且又收到了一个新的数据帧,而这个数据帧的源MAC并不在这些安全地址中,那么启动惩罚措施当在一个Port-Security接口上配置了某个安全地址,而这个安全地址的MAC又企图在同VLAN的另一个Port-Security接口上接入时,启动惩罚措施当设置了Port-Security接口的最大允许MAC的数量后,接口关联的安全地址表项可以通过如下方式获取：在接口下使用switchport port-security mac-address 来配置静态安全地址表项使用接口动态学习到的MAC来构成安全地址表项一部分静态配置,一部分动态学习当接口出现up/down,则所有动态学习的MAC安全地址表项将清空;而静态配置的安全地址表项依然保留;与Sticky MAC地址上面我们说了,通过接口动态学习的MAC地址构成的安全地址表项,在接口出现up/down后,将会丢失这些通过动态学习到的MAC构成的安全地址表项,但是所有的接口都用switchport port-security mac-address手工来配置,工作量又太大;因此这个sticky mac 地址,可以让我们将这些动态学习到的MAC变成“粘滞状态”,可以简单的理解为,我先动态的学,学到之后我再将你粘起来,形成一条”静态“ 实际上是SecureSticky的表项;在up/down现象出现后仍能保存;而在使用wr后,这些sticky安全地址将被写入start-up config,即使设备重启也不会被丢失;三、默认的Port-Security配置Port-Security 默认关闭默认最大允许的安全MAC地址数量 1惩罚模式 shutdown进入err-disable状态,同时发送一个SNMP trap四、Port-Security的部署注意事项配置步骤a 在接口上激活Port-SecurityPort-Security开启后,相关参数都有默认配置,需关注b 配置每个接口的安全地址Secure MAC Address可通过交换机动态学习、手工配置、以及stciky等方式创建安全地址c 配置Port-Security惩罚机制默认为shutdown,可选的还有protect、restrictd 可选配置安全地址老化时间2.关于被惩罚后进入err-disable的恢复：如果一个psec端口由于被惩罚进入了err-disable,可以使用如下方法来恢复接口的状态：使用全局配置命令：err-disable recovery psecure-violation手工将特定的端口shutdown再noshutdown3.清除接口上动态学习到的安全地址表项使用clear port-security dynamic命令,将清除所有port-security接口上通过动态学习到的安全地址表项使用clear port-security sticky 命令,将清除所有sticky安全地址表项使用clear port-security configured命令,将清除所有手工配置的安全地址表项使用clear port-security all命令,将清除所有安全地址表项使用show port-security address来查看每个port-security接口下的安全地址表项4.关于sticky安全地址Sticky安全地址,是允许我们将Port-Security接口通过动态学习到的MAC地址变成“粘滞”的安全地址,从而不会由于接口的up/down丢失;然而如果我们希望在设备重启之后,这个sticky的安全地址表项仍然存在,那么就需要wr一下;将配置写入start-up config 文件;Sticky安全地址也是一个简化我们管理员操作的一个很好的工具,毕竟现在不用再一条条的手工去绑了;支持private vlan支持 tunnel接口不支持SPAN的目的接口不支持etherchannel的port-channel接口9.在CISCO IOS 33SXH 以及后续的版本,我们可以将port-security及部署在同一个接口上;而在此之前的软件版本：如果你试图在一个port-security接口上激活则会报错,并且功能无法开启如果你试图在一个接口上激活port-security则也会报错,并且port-security特性无法开启支持nonegotiating trunk 接口Port-Security 支持在如下配置的trunk上激活switchportswitchport trunk encapsulationswitchport mode truknswitchport nonegotiateIf you reconfigure a secure access port as a trunk, port security converts all the sticky and static secure addresses on that port that were dynamicallylearned in the access VLAN to sticky or static secure addresses on the native VLAN of the trunk. Port security removes all secure addresses on the voice VLAN of the access port.If you reconfigure a secure trunk as an access port, port security converts all sticky and static addresses learned on the native VLAN to addresses learned on the access VLAN of the access port. Port security removes all addresses learned on VLANs other than the native VLAN.links和Port-Security互不兼容五、Port-security的配置1.激活Port-Security在access接口上Switchconfig interface fast0/1Switchconfig-if switchportSwitchconfig-if switchport mode accessSwitchconfig-if switchport access vlan 10Switchconfig-if switchport port-security接口的Port-Security特性一旦激活后,默认的最大安全地址个数为1,也就是说,在不进行手工配置安全地址的情况下,这个接口将使用其动态学习到的MAC作为安全地址,并且,这个接口相当于被该MAC所属的设备独占;而且默认的violation是shutdownSW1show port-security interface f0/1Port Security : EnabledPort Status : Secure-up 接口目前的状态是up的Violation Mode : Shutdown 违例后的惩罚措施,默认为shutdownAging Time : 0 minsAging Type : AbsoluteSecureStatic Address Aging : DisabledMaximum MAC Addresses : 1 最大安全地址个数,默认为1Total MAC Addresses : 0Configured MAC Addresses : 0 手工静态配置的安全MAC地址,这里没配Sticky MAC Addresses : 0 sticky的安全地址,这里没有Last Source Address:Vlan : 最近的一个安全地址+vlanSecurity Violation Count : 0 该接口历史上出现过的违例次数这个时候,如果另一台PC接入到这个端口上,那么该port-security接口将会收到一个新的、非安全地址表项中的MAC地址的数据帧,于是触发的违例动作,给接口将被err-disable掉;同时产生一个snmp trap消息,另外,接口下,Security Violation Count将会加12.激活Port-Security在trunk接口上3. Port-Security violation惩罚措施默认的violation是shutdown;如果是protect,那么惩罚就会温柔些,对于非法的数据帧例如数据帧的源MAC不在安全地址表项中的、且安全地址已经达到最大数,这些非法数据将仅仅被丢弃,合法数据照常转发,同时不会触发一个syslog消息,另外接口下的“Security Violation Count”也不会加1;而如果是restrict,那么非法数据被丢弃,同时触发一个syslog消息,再者,Security Violation Count加1,合法的数据照常转发;4. 配置Port Security Rate Limiter注意,在6509交换机,truncated switching模式下不支持该功能在交换机接口上开启Port-Security是会耗费资源的,Port-Security会检测每一个进入接口的数据帧,以判断流量是否合法,或者是否存在违例行为;当一个安全接口设置的violation为shutdown的时候,该接口在违例后触发惩罚机制,进入err-diasble状态,这样可以有效的方式有效的防止交换机由于处理违例事件导致交换机的CPU利用率过高;然而protect和restict的惩罚措施,则不会将端口关闭,端口依然可用,那么这就可能导致在违例事件发生的情况下交换机的CPU利用率飙高例如大量的非法数据涌入;因此当使用protect和restrict这两种违例惩罚措施事,可以通过Port-Secuirty rate limiter来防止CPU飙高;Switchconfig mls rate-limite layer2 port-security rate_in_pps burst_size关于rate_in_pps参数：范围是10- 1000000没有默认值值设置的越低,对CPU的保护程度就越高,这个值对惩罚措施发生前、后都生效,当然这个值也不能设置的过低,至少要保障合法流量被处理吧;一般低于1000就差不多;关于burst-size参数：范围是1-255默认是10,这个默认值一般就够用了;5. 配置Port-Security 最大允许的安全地址数量最大安全地址数量,不同的软件平台允许的上限值有所不同,但是默认都是1;在trunk口上,前面说了,也是可以激活port-security的,而在trunk口上配置最大安全地址数量,可以基于接口配置对所有VLAN生效,也可以基于VLAN进行配置;如下：switchport port-security maximum 1switchport port-security maximum 1 vlan 10,20,30 可以关联多个VLAN6. 在port-security接口上手工配置安全地址上述配置中,最大安全地址数设置为3,然后使用手工配置了一个安全地址,那么剩下2个,交换机可以通过动态学习的方式来构建安全地址;在trunk接口上手工配置安全地址,可关联vlan关键字;如果在trunk接口上手工配置安全地址,没有关联vlan关键字,那么该安全地址将被关联到trunk的native vlan上7. 在port-security接口上使用sticky MAC地址我们知道,构成安全地址表项的方式有好几种,其中一种是使用switchport port-security mac 来手工配置,但是这种方式耗时耗力,更需要去PC上抄MAC,工作成本比较高;而另一种构成安全地址的方式是让交换机使用动态学习到的MAC,然而这些安全地址在接口一旦up/down后,将丢失,更别说重启设备了;因此可以使用sticky mac的方式,这种方式激活后,交换机将动态学习到的MAC“粘起来”,具体的动作很简单,就是在动态学习到MAC例如一个后,如果我激活了sticiky MAC address,则在接口下自动产生一条命令：interface FastEthernet0/1switchport access vlan 10switchport mode accessswitchport port-securityswitchport port-security mac-address stickyswitchport port-security mac-address sticky 自动产生这样形成的安全地址表项是SecureSticky的,即使在接口翻动,也不会丢失;在者如果wr保存配置,命令写入,那么设备即使重启,安全地址也不会丢失;当在接口上激活了port-security mac-address sticky,那么：该接口上所有通过动态学习到的MAC,将被转成sticky mac address从而形成安全地址接口上的静态手工配置的安全地址不会被转成sticky mac address通过voice vlan动态学习到的安全地址不会被转成sticky mac address命令配置后,新学习到的MAC地址,也是sticky的当此时又敲入no port-secuirty mac-address sticiky ,则所有的sticky安全地址条目都变成动态的安全地址条目SecureDynamic8. 配置安全地址老化时间配置的命令比较简单：Switchconfig-if switchport port-security aging type {absolute | inactivity}配置老化时间的类型,如果选择absolute,也就是绝对时间,需要搭配aging time命令设定老化时间的具体值,命令一旦敲下去后,所有的通过动态学习的MAC构建的安全地址表项将开始以aging time倒计时;如果是inactivity关键字,则只在该动态安全地址表项不活跃的时候譬如主机离线了或者挂掉了才开始倒计时;Switchconfig-if switchport port-security aging time设定老化时间Switchconfig-if switchport port-security aging static使用前面两条命令,老化时间是不会影响那些使用静态手工配置的安全地址表项的,当然sticky表项也不会受影响,这些表项都是永不老化的,但是如果搭配上上面这条命令,则手工配置的安全地址表项也受限于老化时间了;不过对于sticky表项,则始终不会激活aging time,它是不会老化的;示例1：将安全地址老化时间设置为50min;针对动态学习到的MAC构成的安全地址有效50min是一个绝对时间,配置完成后开始倒计时,无论该MAC是否依然活跃,都始终进行倒计时示例2：针对动态学习到的MAC构成的安全地址有效,如果该MAC在50min内一直处于失效状态例如主机离线了,那么该安全地址在aging time超时后被清除示例3：注意,上述两种配置方式,对手工配置switchport port-security mac-address 的安全地址无效;也就是采用上述方法配置的静态安全地址表项永不超时;如果增加switchport port-security aging static命令,则手工静态配置的安全地址也的aging time也开始计时注意,对于sticky mac address,安全地址的老化时间无效。

第1篇一、实验背景随着信息技术的飞速发展，网络安全问题日益突出。

端口作为网络通信的通道，其安全性直接关系到整个网络的安全。

为了提高网络安全性，防止未授权访问和攻击，本次实验旨在通过华为eNSP平台，学习并掌握端口安全配置的方法，提高网络安全防护能力。

二、实验目的1. 理解端口安全的基本概念和作用。

2. 掌握华为eNSP平台中端口安全的配置方法。

3. 熟悉端口安全策略的设置和应用。

4. 提高网络安全防护能力。

三、实验环境1. 实验平台：华为eNSP2. 网络设备：华为S5700交换机3. 实验拓扑：实验拓扑图4. 实验设备：计算机、路由器等四、实验内容1. 端口安全基本概念端口安全（Port Security）是一种防止未授权访问和攻击的安全策略，通过对端口进行MAC地址绑定，限制端口接入的设备数量，从而保障网络的安全。

2. 端口安全配置方法（1）静态MAC地址绑定静态MAC地址绑定是指将端口的MAC地址与指定的MAC地址进行绑定，只有绑定的MAC地址才能通过该端口进行通信。

（2）动态MAC地址绑定动态MAC地址绑定是指系统自动学习端口接入设备的MAC地址，并将其绑定到端口上，实现动态管理。

（3）粘滞MAC地址绑定粘滞MAC地址绑定是指将动态学到的MAC地址转换为静态MAC地址，确保MAC地址的稳定性。

3. 端口安全策略设置（1）设置最大MAC地址数量限制端口接入的设备数量，防止未授权设备接入。

（2）设置MAC地址学习时间设置MAC地址学习时间，超过该时间未更新的MAC地址将被移除。

（3）设置违规行为处理方式设置违规行为处理方式，如关闭端口、报警等。

五、实验步骤1. 搭建实验拓扑，配置网络设备。

2. 在交换机端口上配置端口安全，设置最大MAC地址数量、MAC地址学习时间等。

3. 分别测试静态MAC地址绑定、动态MAC地址绑定和粘滞MAC地址绑定，观察效果。

4. 模拟违规行为，验证端口安全策略是否生效。

交换机端口安全技术讲义一、为什么需要端口安全技术？- 交换机是网络中非常重要的设备，端口是交换机连接其他设备的接口。

因此，保护交换机端口的安全对于整个网络的安全至关重要。

二、常见的端口安全技术1. MAC地址绑定- 通过将特定MAC地址与端口进行绑定，只有被绑定的设备才能使用该端口进行通信，其他设备将无法访问该端口。

2. 802.1X认证- 802.1X是一种端口认证协议，通过在交换机端口上实施认证服务，可以有效地防止未授权的设备接入网络。

只有经过认证的设备才能使用交换机端口。

3. 端口安全限制- 通过设置每个交换机端口允许连接的最大设备数量，可以防止未经授权的设备接入网络。

4. DHCP snooping- 通过检测和验证DHCP报文，防止恶意DHCP服务器对网络设备进行攻击或者误导。

5. 端口状态监控- 交换机可以监控端口的通信状态，一旦发现异常情况，可以及时做出处理，防止网络安全风险。

三、如何实施端口安全技术- 在交换机上配置相应的端口安全措施，包括MAC地址绑定、802.1X认证、端口安全限制、DHCP snooping等，并定期对端口进行监控和审计，及时发现并处理异常情况。

四、端口安全技术带来的好处- 通过实施端口安全技术，可以有效地防止未经授权的设备接入网络，保护网络的安全。

同时，也可以有效地减少网络故障和攻击的风险，保障网络的正常运行。

五、端口安全技术的应用场景端口安全技术广泛应用于企业、学校、政府机构以及各种组织和机构的网络中。

无论是小型局域网还是大型企业网络，都需要采取端口安全技术来保护网络的安全和稳定性。

特别是在一些对网络安全要求较高的领域，如金融、医疗、军事等，端口安全技术更是不可或缺的一部分。

六、端口安全技术的挑战与解决方案虽然端口安全技术在保护网络安全方面起到了重要作用，但也面临着一些挑战。

例如，管理和维护成本较高、配置复杂、容易受到攻击等。

为了解决这些问题，可以采取以下措施：1. 自动化管理工具：可以使用自动化管理工具来简化端口安全技术的配置和管理，减少人工操作的成本和错误。

交换机端口安全认证实验报告一、实验目的本实验旨在通过交换机端口安全认证，保障网络的信息安全。

通过实验，掌握交换机端口安全认证的原理和操作方法。

二、实验原理交换机端口安全认证是一种网络安全技术，用于限制未经授权设备接入网络。

其原理是利用交换机的MAC地址过滤功能，将非授权MAC地址的设备隔离或阻断，确保网络中只有授权设备能够接入。

三、实验环境1. 实验设备：一台交换机、若干台计算机设备2. 实验软件：网络配置工具、终端仿真软件四、实验步骤1. 配置交换机端口安全策略a. 进入交换机管理界面，并使用管理员账号登录。

b. 找到需要配置端口安全的端口，例如FastEthernet0/1。

c. 配置端口安全认证，设置允许连接设备的最大数量，例如2。

d. 配置端口安全认证方式为“限制”模式，即在达到最大设备数量时阻断后续设备连接。

e. 保存配置并退出管理界面。

2. 连接计算机设备a. 将一台计算机连接到已配置了端口安全的交换机端口上。

b. 打开终端仿真软件，配置计算机的IP地址和子网掩码。

c. 确保计算机与交换机端口连接正常。

3. 验证端口安全认证功能a. 将其他计算机设备依次连接到交换机端口。

b. 观察并记录交换机管理界面上的端口状态变化。

c. 当连入的设备数量达到最大允许数量时，验证交换机是否能够正确阻断后续设备连接。

五、实验结果与分析根据实验步骤进行操作后，我们观察到交换机管理界面上的端口状态发生了如下变化：1. 当第一台设备连接到交换机端口时，端口状态显示为“已连接”。

2. 当第二台设备连接到交换机端口时，端口状态仍显示为“已连接”，符合我们设定的最大允许设备数量为2。

3. 当第三台设备尝试连接到交换机端口时，端口状态显示为“已阻断”，交换机成功拦截了未授权设备连接。

通过以上观察，我们可以得出结论：交换机端口安全认证功能有效，能够根据设定的策略拦截未授权设备的连接，确保网络的安全性。

六、实验总结本次实验通过对交换机端口安全认证的配置和验证，详细了解了其原理和操作方法。

交换机端口隔离安全策略实验报告1. 简介本实验旨在研究交换机端口隔离安全策略的实施方法和效果。

通过实验，我们可以深入了解交换机端口隔离的原理和实际应用，并评估其对网络安全的影响。

2. 实验目的本实验的主要目的如下：- 探究交换机端口隔离的原理，包括虚拟局域网（VLAN）和访问控制列表（ACL）的应用；- 实验验证交换机端口隔离策略对网络安全的影响；- 分析交换机端口隔离策略的优点和不足，并提出改进建议。

3. 实验环境为了确保实验能够顺利进行，我们搭建了如下实验环境：- 三台计算机，分别命名为PC1、PC2和PC3，连接到一个交换机；- 一个路由器连接到交换机，提供访问外部网络的功能；- 交换机的端口配置合理，符合实验需求。

4. 实验步骤4.1 配置交换机端口隔离根据实验需求，将交换机的端口划分为不同的VLAN，每个VLAN 代表一个虚拟局域网。

通过VLAN的划分，我们可以将不同的端口隔离开来，实现不同虚拟网络之间的隔离。

4.2 配置访问控制列表（ACL）在交换机上配置访问控制列表，限制从一个VLAN到另一个VLAN 的访问。

通过ACL的配置，我们可以设置允许或拒绝特定VLAN之间的通信，从而加强网络的安全性。

4.3 实验验证在配置完交换机端口隔离策略后，我们通过以下步骤来验证实验结果：- 在PC1上打开命令提示符窗口，执行ping命令以测试与PC2和PC3之间的连通性。

在ACL配置允许的情况下，应该能够成功收到响应；- 在ACL配置拒绝的情况下，再次执行ping命令，应该无法收到响应。

5. 实验结果和分析通过实验验证，我们得出以下结果和分析：- 交换机端口隔离安全策略成功实施，实现了不同VLAN之间的隔离；- 在ACL配置允许的情况下，允许特定VLAN之间的通信，并保证网络正常运行；- 在ACL配置拒绝的情况下，限制特定VLAN之间的通信，提高了网络的安全性。

6. 优点和不足6.1 优点- 交换机端口隔离通过VLAN和ACL的配合使用，可以简单高效地实现对网络的隔离；- 能够提高网络的安全性，防止未经授权的访问和攻击。

华为交换机端口安全详解--端口隔离、环路检测与端口安全一、端口隔离--port-isolate组网需求如图1所示，要求PC1与PC2之间不能互相访问，PC1与PC3之间可以互相访问，PC2与PC3之间可以互相访问。

配置端口隔离功能# 配置端口隔离模式为二层隔离三层互通。

<Quidway> system-view[Quidway] port-isolate mode l2# 配置Ethernet0/0/1和Ethernet0/0/2的端口隔离功能。

<Quidway> system-view[Quidway] interface ethernet 0/0/1[Quidway-Ethernet0/0/1] port-isolate enable group 1[Quidway-Ethernet0/0/1] quit[Quidway] interface ethernet 0/0/2[Quidway-Ethernet0/0/2] port-isolate enable group 1[Quidway-Ethernet0/0/2] quitethernet 0/0/3 无需加入端口隔离组，处于隔离组的各个端口间不能通信查看当前配置disp cur#sysname Quidway#interface Ethernet0/0/1port-isolate enable group 1#interface Ethernet0/0/2port-isolate enable group 1#interface Ethernet0/0/3#return验证配置结果：PC1和PC2不能互相ping通，PC1和PC3可以互相ping通，PC2和PC3可以互相ping通。

实现了需求。

二、端口防环--port-security适用与华为交换机，防止下级环路，自动shutdown下级有环路的端口。

<Huawei>system view#loopback-detect enable 全局模式下，启用环路检测功能# interface GigabitEthernet0/0/1loopback-detect action shutdown 如果下级有环路，shutdown本端口# interface GigabitEthernet0/0/2loopback-detect action shutdown# interface GigabitEthernet0/0/3loopback-detect action shutdown#……那如何检测与识别环路并定位呢？详见这个：https:///view/1599b6a22cc58bd63086bd5d.html三、端口安全--port-security在网络中MAC地址是设备中不变的物理地址，控制MAC地址接入就控制了交换机的端口接入，所以端口安全也是对MAC的的安全。

企业网络安全涉及到方方面面。

从交换机来说，首选需要保证交换机端口的安全。

在不少企业中，员工可以随意的使用集线器等工具将一个上网端口增至多个，或者说使用自己的笔记本电脑连接到企业的网路中。

类似的情况都会给企业的网络安全带来不利的影响。

在这篇文章中，笔者就跟大家谈谈，交换机端口的常见安全威胁及应对措施。

一、常见安全威胁在企业中，威胁交换机端口的行为比较多，总结一下有如下几种情况。

一是未经授权的用户主机随意连接到企业的网络中。

如员工从自己家里拿来一台电脑，可以在不经管理员同意的情况下，拔下某台主机的网线，插在自己带来的电脑上。

然后连入到企业的网路中。

这会带来很大的安全隐患。

如员工带来的电脑可能本身就带有病毒。

从而使得病毒通过企业内部网络进行传播。

或者非法复制企业内部的资料等等。

二是未经批准采用集线器等设备。

有些员工为了增加网络终端的数量，会在未经授权的情况下，将集线器、交换机等设备插入到办公室的网络接口上。

如此的话，会导致这个网络接口对应的交换机接口流量增加，从而导致网络性能的下降。

在企业网络日常管理中，这也是经常遇到的一种危险的行为。

在日常工作中，笔者发现不少网络管理员对于交换机端口的安全性不怎么重视。

这是他们网络安全管理中的一个盲区。

他们对此有一个错误的认识。

以为交换机锁在机房里，不会出大问题。

或者说，只是将网络安全的重点放在防火墙等软件上，而忽略了交换机端口等硬件的安全。

这是非常致命的。

二、主要的应对措施从以上的分析中可以看出，企业现在交换机端口的安全环境非常的薄弱。

在这种情况下，该如何来加强端口的安全性呢?如何才能够阻止非授权用户的主机联入到交换机的端口上呢?如何才能够防止未经授权的用户将集线器、交换机等设备插入到办公室的网络接口上呢?对此笔者有如下几个建议。

一是从意识上要加以重视。

笔者认为，首先各位网络管理员从意识上要对此加以重视。

特别是要消除轻硬件、重软件这个错误的误区。

在实际工作中，要建立一套合理的安全规划。

实训4 交换机的端口安全【实训目的】（1）掌握交换机端口安全功能，控制用户的安全接入（2）掌握交换机的端口配置的连接数（3）掌握如何针对PC1主机的接口进行IP+MAC地址绑定【实训技术原理】交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入；交换机端口安全主要有两种类型：一是限制交换机端口的最大连接数；二是针对交换机端口进行MAC地址、IP地址的绑定；配置交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种：（1）protect 当安全地址个数满后，安全端口将丢弃未知地址的包；（2）restrict当违例产生时，将发送一个trap通知；（3）shutdown当违例产生时，将关闭端口并发送一个trap通知；当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来；【实训背景描述】你是一个公司的网络管理员，公司要求对网络进行严格控制。

为了防止公司内部用户的IP地址冲突，防止公司内部的网络攻击和破坏行为。

为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。

例如：某员工分配的IP地址是172.16.1.23/24，主机MAC地址是0019.2147.10F9。

该主机连接在1台2126G上。

【实训设备】S2126G（1台），PC（2台）、直连线（2条）【实训内容】（1）按照拓扑进行网络连接（2）配置交换机端口最大连接数限制（3）配置交换机端口地址绑定【实训拓扑图】【实训步骤】（1）配置交换机端口的最大连接数限制S w i t c h#c o n f i g u r e t e r m i n a lS w i t c h(c o n f i g)#i n t e r f a c e r a n g e f a s t e t h e r n e t0/1-23！打开交换机1-23端口S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y！开启1-23安全端口功能S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y m a x i m u m1！开启端口的最大连接数为1S w i t c h(c o n f i g-i f-r a n g e)#s w i t c h p o r t p o r t-s e c u r i t y v i o l a t i o ns h u t d o w n！配置安全违例的处理方式s h u t d o w n（2）验证测试：查看交换机的端口安全配置S w i t c h#s h o w p o r t-s e c u r i t y（3）配置交换机端口的地址绑定①查看主机的I P和M A C地址信息。

各种交换机端口安全总结(配置实例)最常用的对端口安全的理解就是可根据mac地址来做对网络流量的控制和管理，比如mac地址与具体的端口绑定，限制具体端口通过的mac地址的数量，或者在具体的端口不允许某些mac地址的帧流量通过。

稍微引申下端口安全，就是可以根据802.1x来控制网络的访问流量。

首先谈一下mac地址与端口绑定，以及根据mac地址允许流量的配置。

1.mac地址与端口绑定，当发现主机的mac地址与交换机上指定的mac地址不同时，交换机相应的端口将down掉。

当给端口指定mac地址时，端口模式必须为access或者trunk 状态。

3550-1#conf t3550-1(config)#int f0/13550-1(config-if)#switchport mode access /指定端口模式。

3550-1(config-if)#switchport port-security mac-address 00-90-f5-10-79-c1 /配置mac地址。

3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的mac地址数为1。

3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时，端口down掉。

2.通过mac地址来限制端口流量，此配置允许一trunk口最多通过100个mac地址，超过100时，但来自新的主机的数据帧将丢失。

3550-1#conf t3550-1(config)#int f0/13550-1(config-if)#switchport trunk encapsulation dot1q3550-1(config-if)#switchport mode trunk /配置端口模式为trunk。

3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大mac地址数目为100。

实训一交换机端口安全1、二层交换机端口安全结论：离接入层越近风险越大，所以问题主要集中在接入层。

交换机主要面临4种攻击：MAC layer attacksVLAN attacksSpoofing attacksAttacks on switch devices问题：如何防范这些攻击？Cisco交换机上配置端口安全性的方法：静态安全MAC地址：静态MAC地址是使用switchport port-securitymac-address mac-address接口配置命令手动配置的。

以此方法配置的MAC地址存储在地址表中，并添加到交换机的运行配置中。

动态安全MAC地址：动态MAC地址是动态获取的，并且仅存储在地址表中。

以此方式配置的MAC地址在交换机重新启动时将被移除。

粘滞安全MAC地址：可以将端口配置为动态获得MAC地址，然后将这些MAC地址保存到运行配置中。

Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security mac-address 0090.2B1A.D48ESwitch(config-if)#switchport port-security violation ?protect Security violation protect mode （不转发数据）restrict Security violation restrict mode （不转发数据，上报网管平台）shutdown Security violation shutdown mode （关闭接口，并上报网管平台）Switch(config-if)#switchport port-security violation shutdown验证：查看交换机mac地址表：Switch#show mac-address-table查看端口安全的，以及每一个端口违反我们策略数Switch#show port-security绑定多个MAC地址：Switch(config-if)#switchport port-security maximum ?<1-132> Maximum addressesSwitch(config-if)#switchport port-security maximum 2Switch(config-if)#switchport port-security mac-address 0009.7C65.1749Switch#show mac-address-table查看交换机mac地址表：Switch#show mac-address-table查看端口安全的，以及每一个端口违反我们策略数Switch#show port-security思考：若在PC0和交换机中间加入一台交换机或一台集线器，会发生什么问题？PC0和PC1之间，PC0和PC3之间可以相互通信吗？答：PC0和PC1之间不可以相互通信；PC0和PC3之间可以相互通信。

交换机的安全防御知识小结-电脑资料交换机已经是企业网络组建中不可缺少的设备，一、未经授权的主机接入到交换机的端口有些网络管理员没有在交换机的端口上采取任何的保护措施，这将导致未经授权的主及能够自由的介入到交换机的端口上(通过企业的预先设置的网络端口)。

这可能会给企业的网络带来比较大的安全隐患。

如员工自己有笔记本电脑。

在未经网络管理员允许的情况下，就私自拿到公司，然后连入到公司的网络。

这就比较危险。

如企业内部的IP地址往往有一个比较严格的规划，而且IP地址像人的身份证号码一样，必须保持唯一。

现在员工将自己的私人电脑接入到企业的网络，就可能导致IP地址冲突，从而影响其它主机的正常上网。

如员工自己的电脑采用的是固定IP地址，此时如果连入到企业网络的话，就很可能会造成IP地址的冲突。

再如企业往往会在内网与外网的中间部署有防火墙，用来防止互联网上的病毒进入到企业内部，可见，未经授权的主机接入到交换机的端口，会存在比较大的安全隐患。

其实在交换机的操作系统上，有现成的预防措施来消除这种安全隐患。

如可以通过使用“基于主机MAC地址允许流量”机制，来指定只有特定MAC地址的主机才能够连接到企业的交换机上。

如此的话，就可以将未经授权的主及排除在外。

通常情况下，单个交换机端口能够允许1个或者1个以上到某个特定数目的MAC地址。

简单的说，在交换机的端口上会有一个配置列表，上面列举了几个允许接入交换机的MAC地址。

只有在这个名单中的主机才能够连接到这个端口中。

如果希望启用这个特性的话，可以通过如下命令来实现：SetPortSecurityMAC地址。

在使用这个命令时，可以加入多个IP地址。

如企业的规模比较小，网络管理员在组建网络时将一个交换机的端口对应一个部门。

而一个部门的主机数目可能有10个。

此时就需要在这个命令中将10个MAC地址都加上。

如此的话，就只有这十台主机才能够连接到这个交换机端口中。

不过需要注意的是，不同品牌或者同一品牌不同规格的交换机，对可以支持的MAC地址数往往有所限制。

交换机端口隔离安全实验报告实验目的：本实验旨在通过交换机端口隔离技术，提高网络的安全性和隔离性，并验证隔离效果。

实验环境：本实验使用了一台拥有多个可配置端口的交换机，并连接了多台主机设备。

实验步骤：1. 配置交换机端口隔离功能：首先，登录交换机管理界面，在交换机配置页面上找到端口隔离选项。

根据实际需求，选择需要隔离的端口，并启用隔离功能。

2. 设置隔离规则：在交换机端口隔离配置页面上，为每个需要隔离的端口设置隔离规则。

可以根据IP地址、MAC地址等进行隔离规则的设定。

3. 验证隔离效果：连接不同的主机设备至交换机的不同端口，并在各个主机之间进行通信测试。

检查是否存在跨端口通信，验证隔离效果的可行性。

实验结果：通过交换机端口隔离功能的配置，我们成功实现了端口之间的隔离。

在测试过程中，我们发现无法实现跨端口的通信，证明了隔离的效果。

实验总结：交换机端口隔离技术在网络安全中发挥了重要作用。

通过该技术，可以有效隔离不同端口之间的通信，增强网络的安全性和隔离性。

在实验中，我们成功配置了交换机端口隔离功能，并验证了其有效性。

然而，需要注意的是，在实际应用中，还需要综合考虑业务需求和网络拓扑结构，合理配置端口隔离规则，以达到最佳的网络安全效果。

实验局限性：本实验仅仅针对交换机端口隔离功能的验证，未对其他相关安全功能进行测试。

在实际应用中，需要综合考虑其他网络设备和安全机制，搭建完整的网络安全体系。

未来展望：随着网络安全威胁的不断演变和升级，交换机端口隔离技术也需要不断更新和改进。

未来，我们希望通过进一步的研究和实践，提高交换机端口隔离技术的性能和可靠性，更好地应对网络安全挑战。

参考文献：[1] 张三, 李四. 交换机端口隔离技术及其应用[J]. 计算机科学, 20XX, XX(X): XX-XX.[2] 王五, 赵六. 网络安全技术概论[M]. 北京：XX出版社, 20XX.。

实验23交换机端口安全23.1 实验目的1．熟悉交换机的端口安全功能特性；2．掌握使用交换机的端口安全功能控制用户安全接入的方法。

23.2实验内容1．配置交换机的端口开启端口安全功能；2．设置端口的最大连接主机数；3．配置交换机端口绑定MAC地址和IP地址；4．重新打开被关闭的端口。

23.3 相关知识点如果用户使用的网络交换机具有端口安全功能，则可以利用端口安全这个特性，实现网络接入安全。

1．MAC地址和IP地址绑定可以通过限制允许访问交换机上某个端口的MAC地址以及IP地址来实现严格控制对该端口的输入。

当给安全端口打开了端口安全功能并配置了一些安全地址后，除了源地址为这些安全地址的包外，这个端口将不转发其它任何包。

可以将同MAC地址和IP地址绑定起来作为安全地址，当然也可以只绑定MAC地址而不绑定IP地址。

2．限制端口上能包含的安全地址最大个数可以限制一个端口上能包含的安全地址最大个数，如果将最大个数设置为1，并且为该端口配置一个安全地址，则连接到这个端口的工作站（其地址为配置的安全地址）将独享该端口的全部带宽。

如果一个端口被配置了一个安全端口，当其安全地址的数目已经达到了允许的最大个数时，如果该端口收到一个源地址不属于端口上的安全地址的包时，那么将产生一个安全违例。

当安全违例产生时，可以选择多种方式来处理违例，例如丢弃收到的报文，发送违例通报或关闭相应端口等。

违例产生时可以设置的处理模式有：(1) Protect 安全端口将丢弃未知名地址的包。

(2) Restrict Trap发送一个违例通知。

(3) Shutdown关闭端口并发送一个违例通知。

如果端口被关闭，则需要网络管理员来开通。

当设置了安全端口上安全地址的最大个数后，可以使用下面几种方式加满端口上的安全地址：(1) 可以使用接口配置模式下的命令switch port-security mac-address mac-address来手工配置端口的所有安全地址(2) 可以让该端口自动学习地址，这些自动学习到的地址将变成该端口上的安全地址，直到达到IP最大个数。

最常用的对端口安全的理解就是可根据ＭAC地址来做对网络流量的控制和管理，比如MAC 地址与具体的端口绑定，限制具体端口通过的MＡＣ地址的数量,或者在具体的端口不允许某些MＡＣ地址的帧流量通过。

稍微引申下端口安全,就是可以根据8０2.１X来控制网络的访问流量。

首先谈一下MAC地址与端口绑定,以及根据ＭAＣ地址允许流量的配置。

1.ＭＡC地址与端口绑定，当发现主机的MAC地址与交换机上指定的ＭＡC地址不同时,交换机相应的端口将down掉。

当给端口指定MAＣ地址时，端口模式必须为aｃcess或者T ｒunk状态。

3550-1#cｏnf t3５５０-１(cｏnfig)#ｉnt f０/13550-1（confiｇ-if)#switchｐoｒｔ mode accｅsｓ /指定端口模式。

35５0-1(cｏnfig-iｆ)＃switｃhport pｏrt-sｅcｕrity mac-addreｓｓ 00－90－F5－10-7９-Ｃ１/配置MAC地址。

3550－1(coｎfｉg－if)#swiｔｃhｐｏｒt port-seｃuｒity maｘimｕm １ /限制此端口允许通过的MAC地址数为1。

3５50－1(coｎfig-ｉf)#sｗitchｐorｔ porｔ-secuｒity violatiｏｎｓhuｔdown ／当发现与上述配置不符时，端口dｏｗn掉。

2.通过MAC地址来限制端口流量，此配置允许一TＲUNK口最多通过1０0个MAC地址,超过１0０时,但来自新的主机的数据帧将丢失。

35５0-1#ｃonf t３55０-1（cｏnｆｉg）#int f0／135５０-1(ｃoｎfiｇ-iｆ)#swiｔchpｏｒt trunk eｎcａpsｕlatｉｏn dot1q3５5０－1(config-if)＃switcｈpoｒｔ mｏｄe ｔruｎk /配置端口模式为TRUＮK。

3５50-1(cｏnfiｇ-iｆ)#swiｔchpｏrｔ poｒｔ-ｓｅcurｉty maximum １０0 /允许此端口通过的最大MＡC地址数目为10０。