交换机端口安全策略在网络中的应用实例

2022-09-26

供电企业内部网络覆盖面广、信息点多、承载公司管理、生产等各种业务。网络的安全稳定运行是各个系统正常使用的基础。加强对网络的管理控制, 保证网络稳定运行变得十分重要。通过对网络的调查, 发现网络中存在以下几个问题。 (1) 外部计算机随意接入 (例如外单位人员携带的笔记本) , 外部计算机的接入极有可能给公司内网带来病毒, 木马甚至恶意攻击。 (2) 公司信息点分布范围广, 超出网络管理员人工能监管的范围。这些地方存在用户私自从接入层机房或现有信息点拉接网线, 擅自延伸网络边缘信息点。这种行为使得网络的接入信息点不可控制。 (3) 用户任意调换、搬移计算机等问题也给信息安全带来了问题, 同时也使得计算机资产的管理混乱, 计算机经过多次调换和迁移后, 流向十分混乱。端口安全策略通过MAC地址来对网络流量进行管理和控制。通过在端口上指定具体MAC地址数据和数量、配合网络维修和资产登记, 可以有效避免以上问题。

1 端口安全策略实施

(1) 建立计算机登记表格, 该表格结合了计算机资产管理。表格主要包括了计算机的基本配置信息, IP地址、MAC地址和安放地点等信息。

(2) 以接入层机房为单位, 然后分片、分步、逐台登记计算机。

(3) 根据登记的资料, 对该接入层交换机端口进行端口安全策略实施, 关闭未使用的端口。

(4) 任何错误的交换机端口安全策略和端口关闭, 都会引起用户计算机终端的网络中断。通过用户主动的网络报修, 逐步完善端口安全策略配置和资料 (见图1) 。

2 交换机端口安全实施相关命令

本文所列配置命令均为在实施端口安全时需要使用到的思科交换机配置命令, 命令实例均为真实交换机配置。

2.1 查看对应m a c地址的交换机端口命令和实例

命令:swich#show mac-address-tablea d d H.H.H

2.2 端口安全策略命令和实例

(1) swich (config) #interface type solt/p o r t

命令解释:进入端口配置模式。

(2) swich (config-if) #switchport mode access

命令解释:设置端口模式为access模式, 该模式是端口连接计算机的模式。

(3) swich (config-if) #switchport portsecurity

命令解释:启动端口安全策略。

(4) swich (config-if) #switchport portsecurity maximum<1–5120>

命令解释:定义端口允许通讯的最大MAC地址数量, 默认为1。

(5) swich (config-if) #switchport portsecurity mac-address H.H.H

命令解释:指定端口允许通过的MAC地址, 如有多个MAC地址, 可重复多次使用该命令。

(6) swich (config-if) #switchport portsecurity violation protect|restrict|shutdow

命令解释:非指定MAC地址计算机接入该端口后, 交换机端口做出的反应。有三个可选参数:protect (丢弃该数据包) 、restrict (仅发送trap通知) 和shutdown (端口关闭) 。

2.3 端口关闭命令

(1) swich (config) #interface type solt/p o r t

命令解释:进入端口配置模式。

(2) swich (config-if) #shutdown

命令解释:关闭端口。

3 交换机端口安全策略实施效果

端口发生违规MAC地址接入后, 我们采用了端口自动关闭的方式。即一旦发生违规接入, 端口将自行关闭, 任何连接在该端口的网络流量都将被丢弃。一旦用户报修网络, 网络维护人员会首先查看用户对应的交换机端口状态, 以确定用户是否发生了违规行为。

(1) 未经登记的外部计算机连接到网络引起端口err-disable, 用户网络中断。

(2) 从手工关闭的交换机端口私自拉接网线, 网络无法使用。

(3) 用户下联网络设备例如HUB或路由器, 并其它接入计算机, 引起交换机端口err-disable, 用户网络中断。

(4) 用户擅自的调换或者搬移电脑位置后, 插入其它信息点引起交换机端口关闭。

对于得许可的用户计算机的新增、调换和搬迁, 处理流程如下 (见图2) 。

端口安全策略使用中的问题如下。

端口安全策略的实施, 使得网络的管理变得十分严格。用户的很多违规行为都会引起网络中断, 如果管理不到位, 会给网络管理人员带来很多繁琐的工作。在实施端口安全策略的同时, 必须制定和发布相应的规章制度和考核办法, 以规范用户行为。

端口安全策略需要完全手工配置, 改动起来比较麻烦;端口安全策略的有效实施, 需要和维修、计算机资产登记人员密切配合, 才能起到更好的效果。

4 结语

在有少于1000台计算机的局域网内, 端口安全策略是一个可行的局域网络管理方法。但在使用该策略时, 必须建立配套的管理制度和考核办法并有效执行, 才能使信息安全策略起到良好的持续的效果。如果配套的管理制度不能有效执行, 会使得信息安全的管理十分被动。无法达到预想的效果。诚如一句话所说的“三分靠技术, 七分靠管理”。

摘要:交换机端口安全策略能够通过MAC地址对网络流量进行控制, 有效避免未授权的外部计算机接入;防止局域网内用户擅自调换、搬移计算机资产, 有效定位计算机资产的物理位置, 明晰新增计算机资产的准确流向;防止用户私自在接入层交换设备拉接网线。本文通过安阳供电公司信息网络实施端口安全策略实例, 介绍了交换机端口安全策略的命令、实施方法、联动网络维护产生的网络管理效果及问题。

关键词:交换机端口安全,MAC地址,网络接入安全,计算机资产,信息安全