交换机安全配置|网络安全系统集成

在网络技术快速发展的今天，网络安全不再单纯依赖单一设备和技术来实现，交换机作为网络骨干设备，自然也肩负着构筑网络安全防线的重任。安全交换机，就是当交换机作为网络结点加入到网络中时，网络的脆弱性不会增加。相比之下，传统的非安全交换机加入到网络中时，除了进行数据转发外，往往还成为病毒等网络不安全因素的主要传播工具。在遭受攻击时，还会因为自身的脆弱而影响网络的正常运行。运营商在规划和改造网络时，希望加入的任何一个结点都是安全的，并要求在交换机等汇聚层设备上（当然最好在接入层设备上，越靠近用户越好）有一层安全屏障。而对于企业网，很多病毒和攻击都是从内部发起和传播的，这时候防火墙往往无能为力。这就需要企业内部网的交换机能够提供一定程度的安全防护。在这种需求驱动下，安全性成为新一代交换机的必备属性，具有这种属性的交换机通常被人们称做安全交换机。

目前，以太网交换机提供了多种用户登录、访问设备的方式，主要有通过Console口、SNMP、Telnet、SSH和HTTP访问等方式。以太网交换机提供对这几种访问方式进行安全控制的特性，防止非法用户登录、访问交换机设备。

1.密码设置

安全控制首先通过用户密码认证实现，连接到设备的用户必须通过密码认证才能真正登录到设备。为防止未授权用户的非法侵入，必须在不同登录和访问的用户界面（AUX用户界面用于通过Console口对以太网交换机进行访问，VTY用户界面用于通过Telnet对以太网交换机进行访问）设置密码，包括容易忽略的SNMP的访问密码（一定不要用“public”的默认密码）和Boot Menu密码，同时设置登录和访问的默认级别和切换密码。

2.交换机端口的安全配置

常见的对端口安全的理解就是可根据MAC地址来对网络流量进行控制和管理，如MAC地址与具体的端口绑定，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。端口安全，就是可以根据802.1X来控制网络的访问流量。MAC地址与端口绑定，当发现主机的MAC地址与交换机上指定的MAC地址不同时，交换机相应的端口将处于“down”。当给端口指定MAC地址时，端口模式必须为access或者Trunk状态。802.1X身份验证协议最初使用于无线网络，后来才在普通交换机和路由器等网络设备上使用。它可基于端口来对用户身份进行认证，即当用户的数据流量企图通过配置过802.1X协议的端口时，必须进行身份的验证，合法则允许其访问网络。这样的好处就是可以对内网的用户进行认证，并且简化了配置，在一定程度上可以取代Windows的AD。

配置802.1X身份验证协议，首先得全局启用AAA认证，这个和在网络边界上使用AAA认证没有太多的区别，只不过认证的协议是802.1X；其次则需要在相应的接口上启用802.1X身份验证（建议在所有的端口上启用802.1X身份验证，并且使用RADIUS服务器来管理用户名和密码）。通过MAC地址来控制网络的流量既可以通过上面的配置来实现，也可以通过访问控制列表来实现，如在Catalyst 3550上可通过700～799号的访问控制列表实现MAC地址过滤。但是利用访问控制列表来控制流量比较麻烦，用的也比较少，这里就不多介绍了。通过MAC地址绑定虽然在一定程度上可保证内网安全，但效果并不是很好，建议使用802.1X身份验证协议。在可控性、可管理性上，802.1X都是不错的选择。

3.通过访问控制列表（ACL）来控制用户访问

通过配置ACL可对登录用户进行过滤控制，同时可以在进行密码认证之前将一些恶意或者不合法的连接请求过滤掉，以保证设备的安全。通过配置ACL对登录用户进行过滤控制需要定义访问控制列表和引用访问控制列表。

【实现过程】

1.设置密码(www.xing528.com)

在不同登录和访问的用户界面，使用如下命令设置密码。

2.MAC地址与端口绑定和802.1X身份验证协议

通过MAC地址来限制端口流量，此配置允许一个Trunk口最多可以通过100个MAC地址，超过100时，来自新的主机的数据帧将丢失。

上面的配置根据MAC地址来允许流量通过，下面的配置则是根据MAC地址来拒绝流量通过。

首先配置AAA认证所使用的本地的用户名和密码。

3.通过访问控制列表（ACL）来控制用户访问

仅允许来自172.30.1.45的Telnet用户访问交换机。

为了保护交换机的安全设置，也可以限制其telnet访问的权限，如通过分配管理密码来限制一个用户只能使用show命令的配置如下：

给其分配的密码为“000000”，用户telnet进交换机后，只能用show命令，其他任何设置权限全部被限制。另外，也可以通过访问时间来限制所有端口的登录访问，在超时的情况下，将自动断开。所有端口的访问活动时间为3分30秒的设置为：exec⁃timeout 330。