网络交换机提供不同级别的端口安全功能。请参阅交换机文档,了解如何执行下列操作:
对交换机进行本地和远程访问时,使用验证、授权和记帐功能。
对于默认情况下可能有多个用户帐户和密码的网络交换机,更改其上的所有密码。
带外管理交换机(与数据通信隔开)。如果带外管理不可行,则专门使用一个单独的虚拟局域网 (virtual local area network, VLAN) 号进行带内管理。
对入侵检测系统 (intrusion detection system, IDS) 访问使用网络交换机的端口镜像功能。
脱机维护一份交换机配置文件,并且只限授权的管理员访问。配置文件应包含每个设置的描述性注释。
实施端口安全性,以基于 MAC 地址限制访问。对所有端口禁用自动中继。
如果您的交换机具有以下端口安全功能,请使用这些功能:
MAC 绑定 (MAC Locking) 涉及将一个或多个连接设备的介质访问控制 (Media Access Control, MAC) 地址与交换机的物理端口相关联。如果将交换机端口绑定到特定的 MAC 地址,超级用户将无法利用非法接入点在您的网络中创建后门。
MAC 锁定 (MAC Lockout) 会禁止将指定的 MAC 地址连接到交换机。
MAC 学习 (MAC Learning) 使用有关每个交换机端口的直接连接的知识,以便网络交换机可以基于当前连接设置安全性。