浅谈交换机端口安全防护措施在内网中的应用|内网二层防护措施

　　摘要：全网安全应该以内网为核心，内网安全是整体网络安全的基石和出发点，而交换机则是内网安全的关键，它在整个内网安全体系中起了决定性的作用。文章结合工作实际操作介绍了交换机的安全防护措施在内网中的应用，通过部署交换机的安全设置，实现一个各层次都安全的内网系统。
　　关键词：VLAN；端口绑定；端口流量控制；访问控制列表ACL
　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)17-4078-03
　　An Application on Intranet Security Based on Switch Port Protection
　　XU Fang，YANG Jun
　　(Voice of Strait Broadcasting Station，Fuzhou 350001，China)
　　Abstract：The core of the security on entire network lies in the intranet security which is the milestone and basement of the security of entire network. Meanwhile, the key to the intranet security system is based on the switch which is the decisive effect. In this paper, a security protection application was proposed based on our practical works. It implements an intranet system on all layers by deploying the security settings on switches.
　　Key words：VLAN；Port binding；Port flow control；ACL
　　交换机在内网连接中是一项非常重要的设备，起着网络“枢纽”的作用。而在内网安全体系构造中，交换机更是起到了决定性作用[1]。你选择的交换机不论性能多么优越、质量多么上乘，如果不加以妥善地管理和维护，那么它就不可能保持一个良好的工作状态。一旦交换机的工作出现意外，网络就可能会遭殃，上网缓慢或干脆不能上网，给企业的网络应用带来许多的不便[2]。
　　随着技术的发展，目前市面上的两层、三层交换机大多数都有较为丰富的安全功能，在构建网络的同时，如果能充分了解交换机自身的安全性能，再通过合理部署交换机的安全设置，那么最终便可建立一个内网各层次都更为安全、强健的网络系统[3]。
　　笔者所在单位近期做了一次网络结构改造工程，下面笔者便根据工作实际，和大家一起分享交换机端口安全防护措施在内网中的应用。
　　1交换机端口安全措施的应用
　　1.1划分VLAN
　　VLAN技术现在已被广泛应用[4]，它允许管理者将一个物理的LAN逻辑地划分成不同的广播域。VLAN是逻辑地而不是物理地划分，因此同一个VLAN内的各个工作站无须被放置到同一个物理空间里。
　　对内网划分VLAN，不仅可以灵活构建虚拟工作组，更能增强网络的安全性。不同VLAN之间是不能直接通信的，若要通信，则需要通过三层交换机或路由器设置。划分VLAN能有效地限制接收信息的工作站数，使得网络不会因发生广播风暴而引起大面积网络堵塞。常用划分VLAN的方法有三种：第一种是根据交换机的端口进行划分；第二种是根据MAC地址进行划分；第三种是根据网络层定义VLAN。
　　笔者所在单位网络VLAN的划分采用了第一种方法，根据交换机的端口进行划分。这种划分，可以在一个交换机上的端口上划分，也可以在多个交换机上划分，不同交换机的不同端口可以划分为一个VLAN。计算机连接在各个楼层的二层交换机上，而所有楼层的二层交换机通过楼内多模光纤线路连接到大楼机房的三层交换机上。二层交换机根据所处楼层不同，被划分到不同的VLAN中；三层交换机根据二层交换机接入的端口进行VLAN划分。每个VLAN都相互独立，互相之间不能跨VLAN访问。如图1所示。
　　三层交换机RG S-7806的配置文档部分如下：
　　RG-S7806#conf t
　　RG-S7806(config)#int f0/4 /*需要设置的端口号*/
　　RG-S7806(config-if–FastEthernet 0/4)#swithchport access vlan 4 /*将端口加入VLAN4*/
　　RG-S7806(config-if–FastEthernet 0/4)#exit
　　RG-S7806(config)#int f0/5 /*需要设置的端口号*/
　　RG-S7806(config-if–FastEthernet 0/5)#swithchport access vlan 5 /*将端口加入VLAN5*/
　　RG-S7806(config-if–FastEthernet 0/5)#exit
　　6楼二层交换机RG S-2328G的配置文档部分如下：
　　6f-office-s23-2#conf t
　　6f-office-s23-2(config)#int f0/26 /*需要设置的端口号*/
　　6f-office-s23-2(config-if–FastEthernet 0/26)#switchport mode access
　　6f-office-s23-2 (config-if–FastEthernet 0/26)#exit
　　6f-office-s23-2(config)#int range f0/1-24 /*需要设置的端口号*/