天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧网络 >> 正文

企业网管技巧分享:基于MAC地址来管控流量

2009-12-15IT专家网IT专家网

60897">

  三、启用这个功能的注意事项

  如果需要在基于思科设备的交换网络中,启用“基于主机MAC地址允许流量”安全措施时,需要注意如下内容。

  首先需要注意,思科交换机的型号不同,接口所允许的最大MAC地址数量也有所不同。如对于常见的6500系列的交换机,其就支持多达1025个MAC地址(其中1个默认的MAC地址和1024个常规的MAC地址)。由于交换机型号不同,其所支持的MAC地址数量由比较大的差异。为此在选购交换机的时候,如果需要这个功能,那么就需要考虑这个参数。

  其实需要注意的是,交换机端口所支持的MAC数量不同,其MAC地址分配的方式也有很大的不同。如对于6500系列交换机来说,一般情况下有两种常见的分配方式。一种方式是为其中一个端口分配1025个MAC地址,然后给其他的端口分配一个MAC地址。另一种方式是为某个端口分配201个MAC地址,而为第二个端口分配701个MAC地址,为第三个端口分配125个MAC地址,剩余端口都分配一个MAC地址。至于采取那种分配方式更加合理,这里没有统一的标准答案。通常情况下,都需要网络管理员根据企业网络应用于企业对于安全的需求来确定。

  四、启用“基于主机MAC地址允许流量功能”的最佳步骤

  如何才能够更加有效的使用这个功能呢?根据笔者的管理经验,认为需要如下五个步骤。

  一是评估需要启用端口安全的端口。在实际工作中,并不是需要为所有的端口都启用基于主机MAC地址允许流量功能。如对于一些经常用来做维护工作的端口,则往往不需要启用这个功能。为此在确定需要启用类似端口安全机制之前,需要网络管理员先进行评估。以确定需要以用端口安全技术的端口。

  二是为需要启用端口安全的端口配置动态学习主机MAC地址。在必要的时候还可以配置动态学习MAC地址所持续的时间。通常情况下,可以通过set port security age名来来实现。

  三是制定违背安全的行为。即根据企业的实际情况,如交换机的位置、对于安全的需求等因素,来考虑到底是采取“禁止”措施,还是采取“保护”或者“限制”措施。默认的设置是“永久性关闭”。这是一个比较极端的选项。通常情况下,笔者都建议对其进行更改。

  四是一个可选项,不过是笔者推荐的一个可选项。即如果网络管理员选择“关闭”措施时,那么最好能够同时启用计时器功能。也就是说,设置这个端口关闭多长时间。因为有时候可能用户是无意冒犯这个规则的。所以这个端口不能够永远关闭下去。只要能够保证不会影响到网络的正常使用的前提下,那么仍然可以开放。

  五是追踪,当出现任何一个违背行为时,交换机都会在系统日志中留下踪迹。网络管理员还必须经常的查看日志。如果发现有异常情况时,如有台主机经常违背某个原则时,那么就需要追查这台主机的原因。到底是用户恶意为止还是成为了别人的肉鸡。


本文来源:IT专家网 作者:IT专家网

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行