淺談交換機安全配置

沈云明

摘要：交換機在企業網絡中占有重要地位，通常是整個網絡的核心所在。在這個黑客入侵風起云涌、病毒肆虐的IT時代，作為網絡運行核心的交換機理所當然要承擔起網絡安全的一部分責任。本文就交換機的運行安全做一些簡單探討。

關鍵詞：交換機;VLAN;端口安全

交換機作為局域網中信息交換的關鍵設備，承載著大量的數據流量的交換，當出現異常情況，如網絡攻擊或BT大流量下載時，極有可能造成負載過重或宕機。以下就交換機的基本安全、VLAN、端口安全及IP與MAC綁定做一些介紹。

一、交換機基本安全設置

1、設置交換機登陸密碼

為防止非法登入，需設置交換機登陸密碼。配置方法如下：

SW1（config）enable secret 0 F8cME0? //設置高級用戶登陸密碼

2、配置SSH登陸服務

配置SSH登陸，關閉其他不用的管理方式。配置方法如下：

SW1（config）﹟no enable service web-server?? //關閉Web登陸

SW1（config）﹟enable service ssh-server????? //開啟ssh登陸服務

SW1（config）﹟no ip ssh version???????????? //設置ssh工作在自適應模式

SW1（config）﹟username userA password F8cME0? //設置用戶及密碼

SW1（config）﹟crypto key generate rsa?????? //生成本地rsa密鑰對

SW1（config）﹟transport input ssh???????? //遠程只允許ssh登陸

3、配置MAC地址過濾

配置交換機在某一VLAN下過濾特定MAC，配置方法如下：

SW1（config）﹟mac-address-table filter D43D.7E5A.BE52

二、劃分VLAN

虛擬局域網（VLAN）是一組邏輯上的設備和用戶，這些設備和用戶并不受物理位置的限制，可以根據功能、部門及應用等因素將它們組織起來，相互之間的通信就好像它們在同一個網段中一樣。一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的路由器來完成的。與傳統的局域網技術相比較，VLAN技術更加靈活，它具有以下優點： 網絡設備的移動、添加和修改的管理開銷減少;可以控制廣播活動;可提高網絡的安全性。本文就以圖1所示拓撲結構講解如何配置VLAN：

SW1（config）﹟vlan 10

SW1（config-if）﹟ip address 10.10.10.100 255.255.255.0?? //設置vlan 10 IP

SW1（config）﹟int f 0/1

SW1（config-if）﹟switch acc vlan 10?? //端口0/1劃入vlan10

SW1（config-if）﹟int f 0/2

SW1（config-if）﹟sw mode trunk???? // 設置0/2端口模式設為trunk模式

SW2（config）﹟vlan 20

SW1（config-if）﹟ip address 10.10.20.100 255.255.255.0?? //設置vlan 20 IP

SW2（config）﹟int f 0/1

SW2（config-if）﹟switch acc vlan 20?? //端口0/1劃入vlan20

SW2（config-if）﹟int f 0/2

SW1（config-f）﹟switch mode trunk? // 設置端口0/2端口模式設為trunk模式

SW3（config）﹟vlan 10

SW3（config-if）﹟ip address 10.10.10.100 255.255.255.0? //設置IP

SW3（config-if）﹟vlan 20

SW3（config-if）﹟ip address 10.10.20.100 255.255.255.0? //設置IP

SW3（config-if）﹟int f 0/1

SW3（config-if）﹟switch acc vlan 10

SW3（config-if）﹟int f 0/2?????????????? //設置端口0/2

SW3（config-if）﹟switch acc vlan 20?????? //將該端口加入VLAN20

SW3（config）﹟int ran f0/1-2??????????? //統一設置0/1-0/2端口口

SW3（config-range-if）﹟switchport mode trunk?? //設置端口模式為trunk

三、端口安全設置

端口安全（Port Security），從基本原理上講，Port Security特性會通過MAC地址表記錄連接到交換機端口的以太網MAC地址（即網卡號），并只允許某個MAC地址通過本端口通信。其他MAC地址發送的數據包通過此端口時，端口安全特性會阻止它。使用端口安全特性可以防止未經允許的設備訪問網絡，并增強安全性。另外，端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填滿。主要配置命令如下：

SW1（config）﹟int ran f 0/1-24???????????????? //統一設置1-24口端口安全

SW1（config-if-range）﹟switchport port-security??? //開啟端口安全模式

SW1（config-if-range）﹟switchport port-security maximum 1? //設置MAC數量

SW1（config-if-range）﹟switchport port-security mac-address sticky? //啟用粘滯獲取

SW1（config-if-range）﹟switchport port-security violation? //針對非法訪問計算機，端口采取的處理模式

四、ACL訪問控制列表

訪問控制列表（Access Control List，ACL） 是路由器和交換機接口的指令列表，用來控制端口進出的數據包。信息點間通信和內外網絡的通信都是企業網絡中必不可少的業務需求，為了保證內網的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源，從而達到對訪問進行控制的目的。簡而言之，ACL可以過濾網絡中的流量，是控制訪問的一種網絡技術手段。配置ACL后，可以限制網絡流量，允許特定設備訪問，指定轉發特定端口數據包等。如可以配置ACL，禁止局域網內的設備訪問外部公共網絡，或者只能使用FTP服務。ACL是網絡中保障系統安全性的重要技術，在設備硬件層安全基礎上，通過對在軟件層面對設備間通信進行訪問控制，使用可編程方法指定訪問規則，防止非法設備破壞系統安全，非法獲取系統數據。

參考文獻：

[1]朱曄《基于端口的VLAN技術及其配置》軟件導報2008

[2]劉曉輝《交換機·路由器·防火墻》電子工業出版社2015