企業網絡安全涉及到方方麵麵。從交換機來（lái）說，首選（xuǎn）需要保證交換機端口的安全。在不少企業中，員工可以隨意的使用集線器（qì）等工具將一個上網端（duān）口增至多個，或者說使用自己的筆記本電腦（nǎo）連接到企業的網（wǎng）路中。類（lèi）似的情況都會給企業的網絡安全帶來不利的影響。在這篇文（wén）章中，筆者（zhě）就跟大家談談，交換機端口的常見安全威脅及（jí）應對措施。

　　一、常見安全威脅

　　在企業中，威脅交換機（jī）端口的行為比較多，總結（jié）一下有如下幾種情況。

　　一是未經授權的用戶主機隨意連接到企（qǐ）業的網絡中。如員（yuán）工從自己家裏拿來一台電（diàn）腦，可以（yǐ）在不經管理員同意的情況下，拔下某台主（zhǔ）機的網線，插在自己帶來的電腦上。然後連入到企業的網路中。這會（huì）帶來很大的安全隱患。如員工帶（dài）來的電腦可能本身就帶有病毒。從而使得病毒通過企業內部網絡（luò）進（jìn）行傳（chuán）播。或者非法複製企業內部的資料等等。

　　二是未經批準采用集線器等設備。有些員工（gōng）為了增加網絡終端的數量（liàng），會在未經授權（quán）的情況下，將集線器、交換機等設備插（chā）入到辦（bàn）公室的網絡接口上。如（rú）此的話，會導致（zhì）這（zhè）個網（wǎng）絡接口對應的交換機接（jiē）口（kǒu）流量增加，從而導致網（wǎng）絡性（xìng）能的下降。在企業網絡日常（cháng）管理中（zhōng），這也是經常（cháng）遇到的一種危險的行為。

　　在日常工作中，筆者發現不少網絡管理員對於交換機端口的安（ān）全性不怎麽重視。這（zhè）是他們網絡安（ān）全管理中的一個盲區。他們對此有一個錯（cuò）誤的（de）認識。以為（wéi）交換機鎖在（zài）機（jī）房裏，不會出（chū）大問題。或者說，隻是（shì）將網絡安全的重點（diǎn）放（fàng）在防火（huǒ）牆等軟件上，而忽略了交換機端口等硬件的安全。這是非常致命的。

　　二、主要的應（yīng）對措施

　　從以上的分析中可（kě）以看出，企業現在交換機端口的安（ān）全環境非常的（de）薄弱。在這種情況下，該如何來加（jiā）強端口的安全性呢?如何才能（néng）夠阻止非授權用戶的主機聯（lián）入到交換機的端口上呢?如何才能夠防止未經授權的用戶（hù）將集線器、交換機等設備插入到辦公室的網絡接口上呢?對此筆者有（yǒu）如下幾個建議。

　　一是從意識上要加以重視。筆者認為，首先各位網絡（luò）管理員從意識上要（yào）對此加以重視（shì）。特別是（shì）要消除輕硬件、重軟件這個錯誤的誤區。在實際工作中，要建立一（yī）套合理的安全規劃。如對於交換機的端口，要製定一套合理的安全策略，包括是否要對接入交換機端口的MAC地址與主（zhǔ）機數量進行（háng）限製等等。安全策略（luè）製定完（wán）之後（hòu），再進行嚴格的配置（zhì）。如此的話，就走完了交換機端口安全的第一步。根據交換機的工作原理，在係統中會有一個（gè）轉（zhuǎn）發過濾數據庫，會保存MAC地址等相關的信息。而通過交換機的端口（kǒu）安全策略，可以確（què）保隻有授權的用戶才能夠接入到交換機特定的端口中。為此隻要網絡管理員有這個心，其實完全（quán）有能力來（lái）保障交換機的端口安全。

　　二是從技（jì）術角度來提高端（duān）口的安全性。如比較常用（yòng）的一種手段是某個特定的（de）交換機（jī）端（duān）口隻能夠連接某台特定的主機（jī）。如現在用戶從（cóng）家裏拿來了一台筆記本電腦。將自己原先公司的網線接入（rù）到這台筆記本電腦（nǎo）中，會發（fā）現無法連入到企業（yè）的（de）網絡中。這時因為兩台電腦的MAC地址不同而造成的。因為在（zài）交換（huàn）機的這個端口中，有一個限製條件。隻有特定的IP地址才可以通過其這個端口連入到網絡中。如果主機變更（gèng）了，還需要讓其允許連接這（zhè）個端口的（de）話，那麽（me）就需要（yào）重新調整交換機的MAC地址設置。這種手段的好處（chù）就是可以控製，隻（zhī）有授（shòu）權的主機才能夠連接到交換機特定的端口中。未經授權的（de）用戶無（wú）法（fǎ）進行連接。而缺陷就是配置的工作量（liàng）會比較大。在期初的時候，需要為（wéi）每個交換機的端口進行配置。如果後（hòu）續主機（jī）有調整或（huò）者網卡（kǎ）有（yǒu）更換的話(如最近打雷損壞的網卡特別多)，那麽需要重新（xīn）配置。這就會導致後續工（gōng）作量的增加。如果需要（yào）進行這個MAC地址限（xiàn）製的話，可以通過使用命令switchport port –security mac-address來（lái）進行配置。使用這（zhè）個命令（lìng）後，可以將單個MAC地址分配到交（jiāo）換機的每（měi）個（gè）端口中。正如上麵所說的（de），要執行這個限製（zhì）的話，工作（zuò）量（liàng）會比較大。

　　三是對可以（yǐ）介接入的設備進行限製。出於客（kè）戶端性能的考慮，我們往往需要限製某個交換機端口可以連接的（de）最（zuì）多的主機數量（liàng）。如我們可以將（jiāng）這個參數設置為1，那麽就隻（zhī）允許一台主機連接到交換機的端口中。如此的話，就可以避免用戶私自使（shǐ）用集線器或者交換機等（děng）設備（bèi）拉增加端口的數量。不過這種策略跟上麵的MAC地址策（cè）略還（hái）是有一定的區（qū）別。MAC地址安全策略的話，也隻有一（yī）台主機可以（yǐ）連接到端口上。不過還必須是MAC地址匹配的主機才能夠進行連接。而現在這個數（shù）量的限製策略，沒有MAC地址匹配的要求。也就（jiù）是說，更換一台主機後，仍然可（kě）以正常（cháng）連接到交換機的端口上（shàng）。這個限製措施顯然比上麵這個措施要寬鬆不少。不過工作量（liàng）上也會減少不少。要實現這個策略的話，可以通（tōng）過命令swichport-security maximun來實現。如故將這個參數設置為1，那麽就隻允許一台主機（jī）連接到交（jiāo）換機的端口之上（shàng）。這就可以變相的限製介（jiè）入交換機或者集（jí）線器等設備。不過這裏需（xū）要注意的是，如果用戶違反了（le）這種情況，那（nà）麽交換機的端口就會被關閉掉。也就是說（shuō），一台主機都連接不到（dào）這個端口上（shàng）。在實際工作中，這（zhè）可能會殃及無辜。所以需要特別的注（zhù）意。

　　四是使用sticky參數來簡化管理。在實際工作中，sticky參數是一個很好用的參數。可以大大的簡（jiǎn）化MAC地址的配（pèi）置。如（rú）企業現在網絡部署完畢後，運（yùn）行（háng）以下switch-port port-security mac-addres sticky命令。那麽交換機各個端口就會自動記住當前所連接的主機的MAC地址。如此的話，在後續工作中，如果更換了主機的話，隻要（yào）其MAC地址與原有主機不匹配的話，交換機就會拒絕這台（tái）主機的連接請求。這個參數（shù）主要提供靜態MAC地址（zhǐ）的安全。管理（lǐ）員不需要再網絡（luò）中輸入每個端口的MAC地（dì）址。從而可以簡化端口（kǒu）配置的工作。不過如果後續（xù）主機（jī）有調整（zhěng），或者新增主機的話，仍然需要進行手工的配置。不過此時的配（pèi）置往往是小範圍的，工作量還可以接受。

　　最後需（xū）要注意的是，如果在交換機的端口中同時連接（jiē）PC主機與電話機的時候，需要將Maximun參數設置為2。因為對於交換機端口來說，電話機與PC機一樣（yàng），都是（shì）屬於同類型的設備。如果將參數設置為1，那麽就會出現問題。在電話機（jī）等設（shè）備集成的方案（àn）中設置端口安全策略時，需要特別注意這一點。很多網絡管理員在實際工作（zuò）中，會在這個地方載跟鬥。

　　可見，要實現交換機的端（duān）口（kǒu）安全難度也不是很（hěn）大，主要是網絡管（guǎn）理員需要有這方麵的觀念。然後使用交換（huàn）機的端口安全特性，就可（kě）以保障交換機的端口安全。以上介紹的幾（jǐ）種方法，各有各（gè）的特點。在可操作性（xìng）上與安全性上各有不同。網絡管理員需（xū）要根據自己公司網絡的規模、對於安全性的要求等各個方麵的因素來選擇采用的方（fāng）案。總之（zhī），在網絡安全逐漸成為管理員心（xīn）頭大患的今天（tiān），交換機的端口安全必須引起大家的關注。