计算机网络中的端口安全

当攻击者可以进入他们想要攻击的网络时，他们的任务就比较容易了。以太网 LAN 非常容易受到攻击，因为交换机端口默认情况下是开放使用的。可以发生各种攻击，例如第 2 层的 Dos 攻击、地址欺骗。如果管理员可以控制网络，那么显然网络是安全的。要完全控制交换机端口，用户可以使用称为端口安全的功能。如果以某种方式阻止未经授权的用户使用这些端口，那么第 2 层的安全性将大大提高。

用户可以通过两个步骤保护端口：

1. 将 MAC 地址的数量限制为单个交换机端口，即如果超过限制，则从单个端口获知 Mac 地址，然后将采取适当的措施。
2. 如果观察到未经授权的访问，则应使用任何选项丢弃流量，或者更恰当地说，用户应生成日志消息，以便可以轻松观察到未经授权的访问。

港口安全——
当帧通过交换机端口转发时，交换机会学习 MAC 地址。通过使用端口安全，用户可以限制可以学习到端口的 MAC 地址数量，设置静态 MAC 地址，并在该端口被未经授权的用户使用时设置惩罚。用户可以使用限制、关闭或保护端口安全命令。

让我们讨论一下这些违规模式：

• 保护 -此模式丢弃具有未知源 MAC 地址的数据包，直到您删除足够的安全 MAC 地址以低于最大值。
• 限制 -此模式执行与保护相同的函数，即丢弃数据包，直到删除足够的安全 MAC 地址以降至最大值以下。除此之外，它还会生成一条日志消息，增加计数器值，并且还会发送一个 SNMP 陷阱。
• 关闭 -与其他模式相比，此模式最受青睐，因为如果完成未经授权的访问，它会立即关闭端口。它还将生成日志、增加计数器值并发送 SNMP 陷阱。该端口将保持关闭状态，直到管理员执行“no shutdown”命令。
• Sticky –这不是违规模式。通过使用 sticky 命令，用户无需键入绝对 Mac 地址即可提供静态 Mac 地址安全性。例如，如果用户提供的最大限制为 2，则在该端口上学习的前 2 个 Mac 地址将被放置在运行配置中。在第二个获知的 Mac 地址之后，如果第三个用户想要访问，那么将根据应用的违规模式采取适当的措施。

注意 –端口安全仅对接入端口起作用，即启用端口安全，用户首先必须使其成为接入端口。

配置 -
在交换机的 fa0/1 接口上应用 port-security。首先，将端口转换为接入端口，然后启用 port-security。

S1(config)#int fa0/1
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security

使用粘滞命令，以便动态学习 Mac 地址并提供限制和应采取的适当措施。

S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#switchport port-security
maximum 2
S1(config-if)#switchport port-security violation shutdown

如果用户想要提供静态条目，则通过启动其 Mac 地址进行配置。

S1(config-if)#switchport port-security 
S1(config-if)#switchport port-security violation shutdown
S1(config-if)#switchport port-security mac-address aa.bb.cc.dd.ee.ff