浅谈交换机端口安全技术

◆胡玲芳 赵秀丽

（六盘水职业技术学院 贵州 553000）

网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。随着全球信息化步伐的加快，网络安全变得越来越重要。交换机是构建大中小型网络接入层必不可少的设备，在交换机上采取措施保证网络安全也是每一个网络管理员十分关心的问题。交换机的安全措施有很多，例如链路聚合、生成树等。本文所讲的是交换机端口安全。交换机端口安全配置比较简单，但是很实用的一项技术，能防止网络攻击和破坏行为。端口安全，通俗讲就是只允许某个MAC 地址通过本端口通信，其他MAC 地址发送的数据包通过此端口时，端口安全会阻止它。

1 交换机端口安全应用场景

在一个对网络安全有要求的场景中，然而设备又无法做到彻底物理隔绝时，这就需要通过在设备上进行配置，限制连接到设备端口上的用户PC，仅指定用户可以连接到端口，并正常使用网络，其他用户即使连接上端口，也无法使用。配置完成后，无须管理员经常维护。这可以防止公司内部的网络攻击和破坏行为，不仅为员工分配了固定的合法IP 地址，而且还限制了只允许分配的合法IP 地址可以使用网络，并不得随意连接其他主机。

2 端口安全概述

端口安全是指通过定义报文的源MAC 地址来限定报文是否可以进入交换机的端口，可以静态设置特定的MAC 地址或者限定动态学习的MAC 地址的个数来控制报文是否可以进入端口。只有源MAC地址为端口安全地址表中配置或者学习到的MAC 地址的报文才可以进入交换机通信，其他报文将被丢弃。交换机端口安全可以设定端口安全地址绑定IP+MAC，或者仅绑定IP 实现。

安全端口最大连接数，指的是允许此端口通过的最大MAC 地址的数目，控制交换机端口下连主机的数量。既可以通过手工配置端口的所有安全地址，也可以通过端口自动学习地址，这些自动学习到的地址将变成该端口上的安全地址，直到达到最大个数。

安全端口违例的处理模式有三种，protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的数据包；restrict：产生违例时，发送一个Trap 通知；shutdown：产生违例时，发送一个Trap 通知且关闭端口，端口进入“err-disabled”状态，之后端口将不再接收任何数据帧。

3 锐捷设备的交换机安全端口配置命令

（1）启动端口安全功能

Switch（config-if）#switchport port-security

（2）设置端口安全地址

Switch（config-if）#switchport port-security mac-address mac-address [ip-address ip-address]

其中：mac-address：端口的安全地址

ip-address：这个安全地址绑定的IP 地址

（3）设置端口安全地址的最大个数

Switch（config-if）#switchport port-security maximum value

其中：

value：端口上安全地址的最大个数，范围是1～128。

（4）设置安全端口违例处理

Switch（config-if）#switchport port-security violation {protect | restrict | shutdown}

其中：

protect：当违例产生时，将丢弃未知名地址（不是该端口的安全地址）的报文；

restrict：当违例产生时，将发送一个Trap 通知；

shutdown：当违例产生时，将关闭端口并发送一个Trap 通知。

案例1 在交换机Fa 0/1 端口上设置端口安全功能，最大连接数设置为8。

Switch#config

Switch（config）# interface fastethernet 0/1

Switch（config-if）# switchport mode access

Switch（config-if）# switchport port-security

Switch（config-if）# switchport port-security maximum 8

Switch（config-if）# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.10

Switch（config-if）#end

Switch#show port-security

案例2 要求F0/3 端口只能接入192.168.1.3 且mac 地址是0011.1111.1113 的电脑

Ruijie>enable

Ruijie#configure terminal

Ruijie（config）#interface fastEthernet 0/3 Ruijie（config-if-FastEthernet 0/2）#switchport port-security binding 0011.1111.1113 VLAN 1 192.168.1.2//把属于VLAN1，且mac 地址是0011.1111.1113，ip 地址192.168.1.3，绑定在交换机的0/3

Ruijie（config-if-FastEthernet 0/2）#switchport port-security//开启端口安全功能

Ruijie（config-if-FastEthernet 0/2）#end// 退出

Ruijie#write//存配置

案例3 要求F0/4 端口要求只能接入ip 地址是192.168.1.4 的电脑，mac 地址无要求。即F0/4 下的电脑ip 地址只能成192.168.1.4

Ruijie>enable

Ruijie#configure terminal

Ruijie（config）#interfac fastEthernet 0/4

Ruijie（config-if-FastEthernet 0/3）# switchport port-security binding

192.168.1.4//把ip 地址是192.168.1.4 的终端定在交换机的第四个接口

Ruijie（config-if-FastEthernet 0/3）#switchport port-security//开启端口安全功能

Ruijie（config-if-FastEthernet 0/3）#end

Ruijie#write//确认配置正确，保存配置

（5）要求F0/5 接口只能接入PC6 和PC7，其他电脑即mac 地

址接入了也不能通信

Ruijie>enable

Ruijie#configure terminal

Ruijie（config）#interface fastEthernet 0/4

Ruijie（config-if-FastEthernet 0/4）# switchport port-security mac-address 0011.1111.1116 VLAN 1//把属于 VLAN1，且 mac 地址是0011.1111.1114 的终端绑定在交换机的第五个百兆接口

Ruijie（config-if-FastEthernet 0/4）# switchport port-security mac-address 0011.1111.1117 VLAN 1//把属于 VLAN1，且 mac 地址是0011.1111.1115 的终端绑定在交换机的第五个百兆接口

Ruijie（config-if-FastEthernet 0/4）#switchport port-security maximum 2//默认128

Ruijie（config-if-FastEthernet 0/4）#switchport port-security//开启端口安全功能

Ruijie（config-if-FastEthernet 0/3）#end

Ruijie#write//确认配置正确，保存配置

4 华为设备的交换机端口安全配置

（1）查看mac 地址表

display mac-address

（2）配置静态mac 地址表

[Huawei]mac-address static 5489-98C0-7E34 GigabitEthernet 0/0/1 VLAN 1 将mac 地址绑定到接口g0/0/1 在VLAN1 中有效

（3）配置端口安全动态mac 地址

此功能是将动态学习到的MAC 地址设置为安全属性，其他没有被学习到的非安全属性的MAC 的帧将被端口丢弃

[Huawei-GigabitEthernet0/0/3]port-security enable//打开端口安全功能

[Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1//限制安全MAC 地址最大数量为1 个，默认为1

[Huawei-GigabitEthernet0/0/3]port-security protect-action protect// 配置其他非安全mac 地址数据帧的处理动作 注：protect Discard packets//丢弃，不产生告警信息 restrict Discard packets and warning//丢弃，产生告警信息（默认的）shutdown Shutdown//丢弃，并将端口shutdown

[Huawei-GigabitEthernet0/0/3]port-security aging-time 300//配置安全MAC 地址的老化时间300s，默认不老化

5 结束语

网络安全是国家安全的奠基石，目前国家也越来越重视网络安全。网络中设备很多，有防火墙、路由器、交换机等，本文主要讲了交换机的端口安全。网络安全任重道远。