计算机网络中的端口安全

当攻击者能够进入他们想要攻击的网络时，他们的任务就相对简单了。 以太网局域网非常容易受到攻击，因为交换机端口默认是开放的，可以被恶意用户所利用。 可能会出现各种攻击，比如第2层中的DOS攻击，以及地址欺骗等攻击。 如果管理员能够控制网络，那么显然，网络是安全的。 为了完全控制这些交换机端口，用户可以使用一个名为“端口安全”的功能。 如果能够以某种方式阻止未经授权的用户使用这些端口，那么第二层的安全性将会得到极大的提升。
用户可以通过两个步骤来锁定一个端口：

1. 将MAC地址的数量限制在一个交换机端口上。如果超过这个限制，那么多余的MAC地址将从单个端口中移除，然后会采取相应的措施来处理这种情况。
2. 如果检测到未经授权的访问行为，那么应该采用任何一种方式来丢弃这些流量。或者，更合适的做法是，让用户生成一条日志消息，这样就能轻松地发现未经授权的访问行为了。

港口安全—— 
当帧通过交换机的端口进行转发时，交换机会学习到该帧的MAC地址。通过使用端口安全功能，用户可以限制每个端口能够学习的MAC地址数量，还可以设置固定的MAC地址，以及为被未经授权的用户使用的端口设定惩罚措施。用户可以使用“restrict”、“shutdown”或“protect port-security”等命令来配置端口安全功能。
让我们来讨论一下这些违规模式吧：

• 保护在这种模式下，那些源MAC地址未知的数据包会被丢弃。只有当安全MAC地址的数量减少到低于最大值时，这种模式才会停止。
• 限制/约束这种模式的功能与“保护”模式相同，即会继续丢弃数据包，直到有足够多的安全MAC地址被移除，使得其数量低于最大值。此外，该模式还会生成日志消息、增加计数器的值，并且还会发送SNMP警报。
• 关闭/停止与其他模式相比，这种模式更受青睐。因为当发生未经授权的访问时，该模式会立即关闭该端口。此外，该模式还会生成日志文件，增加计数器的值，并发送SNMP警报。除非管理员执行“no shutdown”命令，否则该端口将一直处于关闭状态。
• 粘性的/难以清除的这并不属于违规模式。通过使用“sticky”命令，用户无需输入具体的MAC地址，即可获得固定的MAC地址信息。例如，如果用户设定的最大数量为2个MAC地址，那么在该端口上首先被识别到的2个MAC地址就会被记录在当前的配置中。当第三个MAC地址被识别出来时，系统会根据所应用的违规模式来采取相应的处理措施。

注意：港口安全功能仅适用于接入端口。也就是说，要启用港口安全功能，用户必须先将该端口设置为接入端口。
配置 – 
在 switch 的 fa0/1 接口上启用端口安全功能。首先，将该端口转换为接入端口，然后启用端口安全功能。

S1(config)#int fa0/1S1(config-if)#switchport mode accessS1(config-if)#switchport port-security

使用“sticky”命令，这样它就能动态学习MAC地址，并能够给出相应的限制以及需要采取的适当措施。

S1(config-if)#switchport port-security mac-address stickyS1(config-if)#switchport port-securitymaximum 2S1(config-if)#switchport port-security violation shutdown

如果用户希望提供一个静态的条目，那么可以通过指定其MAC地址来配置该条目。

S1(config-if)#switchport port-security S1(config-if)#switchport port-security violation shutdownS1(config-if)#switchport port-security mac-address aa.bb.cc.dd.ee.ff