软考网络管理员知识点：提高交换机端口的安全性

　　二、主要的应对措施

　　从以上的分析中可以看出，企业现在交换机端口的安全环境非常的薄弱。在这种情况下，该如何来加强端口的安全性呢?如何才能够阻止非授权用户的主机联入到交换机的端口上呢?如何才能够防止未经授权的用户将集线器、交换机等设备插入到办公室的网络接口上呢?对此笔者有如下几个建议。

　　(1)从意识上要加以重视。

　　笔者认为，首先各位网络管理员从意识上要对此加以重视。特别是要消除轻硬件、重软件这个错误的误区。在实际工作中，要建立一套合理的安全规划。如对于交换机的端口，要制定一套合理的安全策略，包括是否要对接入交换机端口的MAC地址与主机数量进行限制等等。安全策略制定完之后，再进行严格的配置。如此的话，就走完了交换机端口安全的第一步。根据交换机的工作原理，在系统中会有一个转发过滤数据库，会保存MAC地址等相关的信息。而通过交换机的端口安全策略，可以确保只有授权的用户才能够接入到交换机特定的端口中。为此只要网络管理员有这个心，其实完全有能力来保障交换机的端口安全。

　　(2)从技术角度来提高端口的安全性。

　　如比较常用的一种手段是某个特定的交换机端口只能够连接某台特定的主机。如现在用户从家里拿来了一台笔记本电脑。将自己原先公司的网线接入到这台笔记本电脑中，会发现无法连入到企业的网络中。这时因为两台电脑的MAC地址不同而造成的。因为在交换机的这个端口中，有一个限制条件。只有特定的IP地址才可以通过其这个端口连入到网络中。如果主机变更了，还需要让其允许连接这个端口的话，那么就需要重新调整交换机的MAC地址设置。这种手段的好处就是可以控制，只有授权的主机才能够连接到交换机特定的端口中。未经授权的用户无法进行连接。而缺陷就是配置的工作量会比较大。

　　在期初的时候，需要为每个交换机的端口进行配置。如果后续主机有调整或者网卡有更换的话(如最近打雷损坏的网卡特别多)，那么需要重新配置。这就会导致后续工作量的增加。如果需要进行这个MAC地址限制的话，可以通过使用命令switchport port –security mac-address来进行配置。使用这个命令后，可以将单个MAC地址分配到交换机的每个端口中。正如上面所说的，要执行这个限制的话，工作量会比较大。

　　(3)对可以介接入的设备进行限制。

　　出于客户端性能的考虑，我们往往需要限制某个交换机端口可以连接的最多的主机数量。如我们可以将这个参数设置为1，那么就只允许一台主机连接到交换机的端口中。如此的话，就可以避免用户私自使用集线器或者交换机等设备拉增加端口的数量。不过这种策略跟上面的MAC地址策略还是有一定的区别。MAC地址安全策略的话，也只有一台主机可以连接到端口上。不过还必须是MAC地址匹配的主机才能够进行连接。

　　而现在这个数量的限制策略，没有MAC地址匹配的要求。也就是说，更换一台主机后，仍然可以正常连接到交换机的端口上。这个限制措施显然比上面这个措施要宽松不少。不过工作量上也会减少不少。要实现这个策略的话，可以通过命令swichport-security maximun来实现。如故将这个参数设置为1，那么就只允许一台主机连接到交换机的端口之上。这就可以变相的限制介入交换机或者集线器等设备。不过这里需要注意的是，如果用户违反了这种情况，那么交换机的端口就会被关闭掉。也就是说，一台主机都连接不到这个端口上。在实际工作中，这可能会殃及无辜。所以需要特别的注意。

　　2011年上半年软考报名时间及方式汇总

　　2010年下半年软考成绩查询时间及方式汇总

　　软考网络管理员历年真题汇总(2007年-2010年)

　　2011年软件水平考试网络管理员知识点总结