网管技巧：基于MAC地址来管控流量

欢迎进入网络技术社区论坛，与200万技术人员互动交流 >>进入 现在的企业网络中，到达桌面的网速越来越快。这虽然给用户带来了很好的应用体验，但是也带来了很大的安全隐患。如果来自用户的流量(无论是有意的还是无意的)存在着恶意，那么就有可能使得企业的网

欢迎进入网络技术社区论坛，与200万技术人员互动交流 >>进入

　　现在的企业网络中，到达桌面的网速越来越快。这虽然给用户带来了很好的应用体验，但是也带来了很大的安全隐患。如果来自用户的流量(无论是有意的还是无意的)存在着恶意，那么就有可能使得企业的网络发生拥塞或者DOS网络中断等等故障。为此网络管理员在快速以太网时代，更加应该重视桌面访问的安全。最简单地一条安全原则就是只允许授权的用户或者合法的用户可以访问企业的网络，而拒绝其他任何未经授权的访问。在不少的网络设备中，都可以通过MAC地址来管控流量，从而保证企业网络的安全。

　　一、通过控制交换机学习MAC地址的数量来管控流量

　　在思科的交换机中，有一个很重要的安全特性，即可以基于主机MAC地址而允许流量。通过这种方式，可以在很大程度上提高交换机等网络设备的端口安全。什么叫做基于主机MAC地址允许流量功能呢?简单的说，就是允许单个端口能够允许多少个特定树木的MAC地址。也就是说，在端口的MAC地址表中，允许记录多少个主机MAC地址。如果超过的话，那么交换机就会拒绝转换。通过这种机制就可以有效的保障端口的安全。

　　如企业现在有会议室、员工办公室等场所。如果按照普通部署的话，每个交换机的接口都可以学习到很多的MAC地址。如果在以前，各个客户段的网络速度不怎么快，那么也没什么问题。但是如果大多数桌面都实现了快速以太网或者吉比特以太网连接的话，情况就不同了。就算不是员工故意，客户端仍然可能在用户不知情的情况下，被黑客当作肉鸡来使用。此时就可能会给企业网络带来很大的安全隐患。此时笔者建议网络管理员，可以通过“基于主机MAC地址允许流量”的功能来提高端口的安全性。如可以将普通用户端口衔知道1个学到的MAC地址，而将会议室端口限制到20个MAC地址(可以根据参与会议的人员数量来进行适当的调整)。这么设置根本的目的只有一个，就是只允许授权访问的用户采用能够使用企业的网络，拒绝任何未经过授权的用户。

　　二、启用规则以及违反规则的处理

　　要在思科交换机上启用“基于主机MAC地址允许流量”的功能，相对来说比较简单。如通过命令set port security就可以实现。这个命令可以用来配置每个端口所允许的最大MAC地址数。具体的配置相对来说比较简单，笔者不做过多的阐述。笔者要重点讲解的内容是如果后续用户的流量违背了这个规则，交换机该如何来处理这些流量。笔者再次强调一遍，这个非常的重要。这对企业安全网络的组建、对后续故障的解决，都有很重要的价值。

　　首先我们来看看，在什么情况下流量会违背这两个安全原则?通常情况下，存在两种原因。一是未经许可的访问，也就是说安全端口接收到的数据帧是未经管理员授权的;二是当交换机端口已经学习到所允许的最大数目的MAC地址之后，交换机系统又受到了新的数据帧。无论以上任何一种原因，其最终都是触犯了端口的安全规则。最后都会受到一定的“惩罚”。交换机会自动检测。当检测到任何违规的数据帧时，都会及时采取措施以确保企业网络的安全。

　　其次我们来分析一下交换机会采取的行为。在任何时刻，交换机检测到以上的违规行为，都可能会采取以下的任何一种措施。一是关闭，即将这个端口永久的或者在某个周期内设置为ERR-DISABLE状态，关闭其数据通信的能力。二是限制，即这个端口仍然将正常的工作，只是将来自未经授权的主机的数据流量丢弃。三是保护，即当交换机端口已经超过所允许学习MAC地址数量的时候，交换机仍然将正常转发数据，而只是将来自新主机的数据帧丢弃。网络管理员选择任何的处理措施。但是选择哪个方式好呢?这也没有统一的答案。通常情况下，需要根据交换机所处的位置来进行选择。如这个交换机所处的位置比较关键，如实一个关键的服务器群组交换机，则最好使用限制选贤，使得服务器操作不受到任何违反规则的影响。相反，如果交换机处在交换层，既是所谓的接入层交换机的话，则最好通过关闭的处理方式，不过需要结合计时器来使用。如此的话，如果用户终端发生意味的非授权移动的时候，交换机会自动进行调整，而不需要稳拿滚落管理员重新建立连接来进行手工干预。如果在那些仅仅基于IOS软件的交换机上，则建议使用保护这种处理策略。

　　总之，当用户的数据帧违背了既定的规则之后，还采取什么处理措施呢?这往往没有统一的答案。这主要要根据网络管理员的经验来判断。如果选择的好的话，可以起到事半功倍的效果。相反，如果选择的不合适的话，有可能使搬起石头砸自己的脚。一般来说，网络管理员需要从交换机位置、网络环境、企业对于安全的需要来进行抉择。

　　三、启用这个功能的注意事项

　　如果需要在基于思科设备的交换网络中，启用“基于主机MAC地址允许流量”安全措施时，需要注意如下内容。

　　首先需要注意，思科交换机的型号不同，接口所允许的最大MAC地址数量也有所不同。如对于常见的6500系列的交换机，其就支持多达1025个MAC地址(其中1个默认的MAC地址和1024个常规的MAC地址)。由于交换机型号不同，其所支持的MAC地址数量由比较大的差异。为此在选购交换机的时候，如果需要这个功能，那么就需要考虑这个参数。

　　其实需要注意的是，交换机端口所支持的MAC数量不同，其MAC地址分配的方式也有很大的不同。如对于6500系列交换机来说，一般情况下有两种常见的分配方式。一种方式是为其中一个端口分配1025个MAC地址，然后给其他的端口分配一个MAC地址。另一种方式是为某个端口分配201个MAC地址，而为第二个端口分配701个MAC地址，为第三个端口分配125个MAC地址，剩余端口都分配一个MAC地址。至于采取那种分配方式更加合理，这里没有统一的标准答案。通常情况下，都需要网络管理员根据企业网络应用于企业对于安全的需求来确定。

　　四、启用“基于主机MAC地址允许流量功能”的最佳步骤

　　如何才能够更加有效的使用这个功能呢?根据笔者的管理经验，认为需要如下五个步骤。

　　一是评估需要启用端口安全的端口。在实际工作中，并不是需要为所有的端口都启用基于主机MAC地址允许流量功能。如对于一些经常用来做维护工作的端口，则往往不需要启用这个功能。为此在确定需要启用类似端口安全机制之前，需要网络管理员先进行评估。以确定需要以用端口安全技术的端口。

　　二是为需要启用端口安全的端口配置动态学习主机MAC地址。在必要的时候还可以配置动态学习MAC地址所持续的时间。通常情况下，可以通过set port security age名来来实现。

　　三是制定违背安全的行为。即根据企业的实际情况，如交换机的位置、对于安全的需求等因素，来考虑到底是采取“禁止”措施，还是采取“保护”或者“限制”措施。默认的设置是“永久性关闭”。这是一个比较极端的选项。通常情况下，笔者都建议对其进行更改。

　　四是一个可选项，不过是笔者推荐的一个可选项。即如果网络管理员选择“关闭”措施时，那么最好能够同时启用计时器功能。也就是说，设置这个端口关闭多长时间。因为有时候可能用户是无意冒犯这个规则的。所以这个端口不能够永远关闭下去。只要能够保证不会影响到网络的正常使用的前提下，那么仍然可以开放。

　　五是追踪。当出现任何一个违背行为时，交换机都会在系统日志中留下踪迹。网络管理员还必须经常的查看日志。如果发现有异常情况时，如有台主机经常违背某个原则时，那么就需要追查这台主机的原因。到底是用户恶意为止还是成为了别人的肉鸡。