沈云明

摘要：交換機(jī)在企業(yè)網(wǎng)絡(luò)中占有重要地位，通常是整個(gè)網(wǎng)絡(luò)的核心所在。在這個(gè)黑客入侵風(fēng)起云涌、病毒肆虐的IT時(shí)代，作為網(wǎng)絡(luò)運(yùn)行核心的交換機(jī)理所當(dāng)然要承擔(dān)起網(wǎng)絡(luò)安全的一部分責(zé)任。本文就交換機(jī)的運(yùn)行安全做一些簡(jiǎn)單探討。

關(guān)鍵詞：交換機(jī);VLAN;端口安全

交換機(jī)作為局域網(wǎng)中信息交換的關(guān)鍵設(shè)備，承載著大量的數(shù)據(jù)流量的交換，當(dāng)出現(xiàn)異常情況，如網(wǎng)絡(luò)攻擊或BT大流量下載時(shí)，極有可能造成負(fù)載過(guò)重或宕機(jī)。以下就交換機(jī)的基本安全、VLAN、端口安全及IP與MAC綁定做一些介紹。

一、交換機(jī)基本安全設(shè)置

1、設(shè)置交換機(jī)登陸密碼

為防止非法登入，需設(shè)置交換機(jī)登陸密碼。配置方法如下：

SW1（config）enable secret 0 F8cME0? //設(shè)置高級(jí)用戶登陸密碼

2、配置SSH登陸服務(wù)

配置SSH登陸，關(guān)閉其他不用的管理方式。配置方法如下：

SW1（config）﹟no enable service web-server?? //關(guān)閉Web登陸

SW1（config）﹟enable service ssh-server????? //開(kāi)啟ssh登陸服務(wù)

SW1（config）﹟no ip ssh version???????????? //設(shè)置ssh工作在自適應(yīng)模式

SW1（config）﹟username userA password F8cME0? //設(shè)置用戶及密碼

SW1（config）﹟crypto key generate rsa?????? //生成本地rsa密鑰對(duì)

SW1（config）﹟transport input ssh???????? //遠(yuǎn)程只允許ssh登陸

3、配置MAC地址過(guò)濾

配置交換機(jī)在某一VLAN下過(guò)濾特定MAC，配置方法如下：

SW1（config）﹟mac-address-table filter D43D.7E5A.BE52

二、劃分VLAN

虛擬局域網(wǎng)（VLAN）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門(mén)及應(yīng)用等因素將它們組織起來(lái)，相互之間的通信就好像它們?cè)谕粋€(gè)網(wǎng)段中一樣。一個(gè)VLAN就是一個(gè)廣播域，VLAN之間的通信是通過(guò)第3層的路由器來(lái)完成的。與傳統(tǒng)的局域網(wǎng)技術(shù)相比較，VLAN技術(shù)更加靈活，它具有以下優(yōu)點(diǎn)： 網(wǎng)絡(luò)設(shè)備的移動(dòng)、添加和修改的管理開(kāi)銷(xiāo)減少;可以控制廣播活動(dòng);可提高網(wǎng)絡(luò)的安全性。本文就以圖1所示拓?fù)浣Y(jié)構(gòu)講解如何配置VLAN：

SW1（config）﹟vlan 10

SW1（config-if）﹟ip address 10.10.10.100 255.255.255.0?? //設(shè)置vlan 10 IP

SW1（config）﹟int f 0/1

SW1（config-if）﹟switch acc vlan 10?? //端口0/1劃入vlan10

SW1（config-if）﹟int f 0/2

SW1（config-if）﹟sw mode trunk???? // 設(shè)置0/2端口模式設(shè)為trunk模式

SW2（config）﹟vlan 20

SW1（config-if）﹟ip address 10.10.20.100 255.255.255.0?? //設(shè)置vlan 20 IP

SW2（config）﹟int f 0/1

SW2（config-if）﹟switch acc vlan 20?? //端口0/1劃入vlan20

SW2（config-if）﹟int f 0/2

SW1（config-f）﹟switch mode trunk? // 設(shè)置端口0/2端口模式設(shè)為trunk模式

SW3（config）﹟vlan 10

SW3（config-if）﹟ip address 10.10.10.100 255.255.255.0? //設(shè)置IP

SW3（config-if）﹟vlan 20

SW3（config-if）﹟ip address 10.10.20.100 255.255.255.0? //設(shè)置IP

SW3（config-if）﹟int f 0/1

SW3（config-if）﹟switch acc vlan 10

SW3（config-if）﹟int f 0/2?????????????? //設(shè)置端口0/2

SW3（config-if）﹟switch acc vlan 20?????? //將該端口加入VLAN20

SW3（config）﹟int ran f0/1-2??????????? //統(tǒng)一設(shè)置0/1-0/2端口口

SW3（config-range-if）﹟switchport mode trunk?? //設(shè)置端口模式為trunk

三、端口安全設(shè)置

端口安全（Port Security），從基本原理上講，Port Security特性會(huì)通過(guò)MAC地址表記錄連接到交換機(jī)端口的以太網(wǎng)MAC地址（即網(wǎng)卡號(hào)），并只允許某個(gè)MAC地址通過(guò)本端口通信。其他MAC地址發(fā)送的數(shù)據(jù)包通過(guò)此端口時(shí)，端口安全特性會(huì)阻止它。使用端口安全特性可以防止未經(jīng)允許的設(shè)備訪問(wèn)網(wǎng)絡(luò)，并增強(qiáng)安全性。另外，端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填滿。主要配置命令如下：

SW1（config）﹟int ran f 0/1-24???????????????? //統(tǒng)一設(shè)置1-24口端口安全

SW1（config-if-range）﹟switchport port-security??? //開(kāi)啟端口安全模式

SW1（config-if-range）﹟switchport port-security maximum 1? //設(shè)置MAC數(shù)量

SW1（config-if-range）﹟switchport port-security mac-address sticky? //啟用粘滯獲取

SW1（config-if-range）﹟switchport port-security violation? //針對(duì)非法訪問(wèn)計(jì)算機(jī)，端口采取的處理模式

四、ACL訪問(wèn)控制列表

訪問(wèn)控制列表（Access Control List，ACL） 是路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。信息點(diǎn)間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，為了保證內(nèi)網(wǎng)的安全性，需要通過(guò)安全策略來(lái)保障非授權(quán)用戶只能訪問(wèn)特定的網(wǎng)絡(luò)資源，從而達(dá)到對(duì)訪問(wèn)進(jìn)行控制的目的。簡(jiǎn)而言之，ACL可以過(guò)濾網(wǎng)絡(luò)中的流量，是控制訪問(wèn)的一種網(wǎng)絡(luò)技術(shù)手段。配置ACL后，可以限制網(wǎng)絡(luò)流量，允許特定設(shè)備訪問(wèn)，指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等。如可以配置ACL，禁止局域網(wǎng)內(nèi)的設(shè)備訪問(wèn)外部公共網(wǎng)絡(luò)，或者只能使用FTP服務(wù)。ACL是網(wǎng)絡(luò)中保障系統(tǒng)安全性的重要技術(shù)，在設(shè)備硬件層安全基礎(chǔ)上，通過(guò)對(duì)在軟件層面對(duì)設(shè)備間通信進(jìn)行訪問(wèn)控制，使用可編程方法指定訪問(wèn)規(guī)則，防止非法設(shè)備破壞系統(tǒng)安全，非法獲取系統(tǒng)數(shù)據(jù)。

參考文獻(xiàn)：

[1]朱曄《基于端口的VLAN技術(shù)及其配置》軟件導(dǎo)報(bào)2008

[2]劉曉輝《交換機(jī)·路由器·防火墻》電子工業(yè)出版社2015