.jpg)
在網(wǎng)絡(luò)日益發(fā)達(dá)的今天,安全是不得不關(guān)注的一個(gè)話題。在企業(yè)中,存在許多威脅交換機(jī)端口的行為,其中包括未經(jīng)授權(quán)的用戶在企業(yè)網(wǎng)絡(luò)中隨意連接主機(jī)。如員工自己筆記本,可以在不經(jīng)管理員同意的情況下,拔下某臺(tái)主機(jī)的網(wǎng)線,插在自己帶來(lái)的筆記本,然后連入到企業(yè)的網(wǎng)絡(luò)中,這會(huì)帶來(lái)很大的安全隱患,很有可能造成機(jī)密資料的丟失。再比如說(shuō)未經(jīng)采用同意安裝集線器hub等網(wǎng)絡(luò)設(shè)備。有些員工為了增加網(wǎng)絡(luò)終端的數(shù)量,會(huì)在未經(jīng)授權(quán)的情況下。將集線器、交換機(jī)等設(shè)備插入到辦公室的網(wǎng)絡(luò)接口上。這么做會(huì)使得該網(wǎng)絡(luò)接口對(duì)應(yīng)的交換機(jī)接口的流量增加,進(jìn)而降低網(wǎng)絡(luò)性能。這些問(wèn)題對(duì)于管理員來(lái)說(shuō)怎么才能更好的杜絕呢?
端口安全是一種基于MAC地址對(duì)網(wǎng)絡(luò)接入進(jìn)行控制的安全機(jī)制,是對(duì)已有的802.1X認(rèn)證和MAC地址認(rèn)證的擴(kuò)充。這種機(jī)制通過(guò)檢測(cè)端口收到的數(shù)據(jù)幀中的源MAC地址來(lái)控制非授權(quán)設(shè)備對(duì)網(wǎng)絡(luò)的訪問(wèn),通過(guò)檢測(cè)從端口發(fā)出的數(shù)據(jù)幀中的目的MAC地址來(lái)控制對(duì)非授權(quán)設(shè)備的訪問(wèn)。
端口安全的主要功能是通過(guò)定義各種端口安全模式,讓設(shè)備學(xué)習(xí)到合法的源MAC地址,以達(dá)到相應(yīng)的網(wǎng)絡(luò)管理效果。啟動(dòng)了端口安全功能之后,當(dāng)發(fā)現(xiàn)非法報(bào)文時(shí),系統(tǒng)將觸發(fā)相應(yīng)特性,并按照預(yù)先指定的方式進(jìn)行處理,既方便用戶的管理又提高了系統(tǒng)的安全性。
這里我們來(lái)介紹H3C設(shè)備的一些配置問(wèn)題。
1、端口隔離技術(shù)。實(shí)現(xiàn)報(bào)文之間二層隔離的端口隔離方法,可以將不同的端口加入不同的VLAN,但這樣會(huì)浪費(fèi)有限的VLAN資源。采用端口隔離特性,可以實(shí)現(xiàn)同一VLAN內(nèi)端口之間的隔離。將端口加入隔離組即可實(shí)現(xiàn)隔離組內(nèi)端口間二層數(shù)據(jù)隔離。端口隔離功能為用戶提供了更安全、更靈活的組網(wǎng)方案。
2、交換機(jī)的端口綁定,就是把交換機(jī)的某一個(gè)端口和下面所連接的電腦的MAC地址與ip綁定,這樣即使有別的電腦偷偷的連接到這個(gè)端口上也是不能使用的.增加了安全性。
.png)
