现在的企业网络中，到达桌面的网速越来越快。这虽然给用户带来了很好的应用体验，但是也带来了很大的安全隐患。如果来自用户的流量(无论是有意的还是无意的)存在着恶意，那么就有可能使得企业的网络发生拥塞或者DOS网络中断等等故障。为此网络管理员在快速以太网时代，更加应该重视桌面访问的安全。最简单地一条安全原则就是只允许授权的用户或者合法的用户可以访问企业的网络，而拒绝其他任何未经授权的访问。在不少的网络设备中，都可以通过MAC地址来管控流量，从而保证企业网络的安全。

　　一、通过控制交换机学习MAC地址的数量来管控流量

　　在思科的交换机中，有一个很重要的安全特性，即可以基于主机MAC地址而允许流量。通过这种方式，可以在很大程度上提高交换机等网络设备的端口安全。什么叫做基于主机MAC地址允许流量功能呢?简单的说，就是允许单个端口能够允许多少个特定树木的MAC地址。也就是说，在端口的MAC地址表中，允许记录多少个主机MAC地址。如果超过的话，那么交换机就会拒绝转换。通过这种机制就可以有效的保障端口的安全。

　　如企业现在有会议室、员工办公室等场所。如果按照普通部署的话，每个交换机的接口都可以学习到很多的MAC地址。如果在以前，各个客户段的网络速度不怎么快，那么也没什么问题。但是如果大多数桌面都实现了快速以太网或者吉比特以太网连接的话，情况就不同了。就算不是员工故意，客户端仍然可能在用户不知情的情况下，被黑客当作肉鸡来使用。此时就可能会给企业网络带来很大的安全隐患。此时笔者建议网络管理员，可以通过“基于主机MAC地址允许流量”的功能来提高端口的安全性。如可以将普通用户端口衔知道1个学到的MAC地址，而将会议室端口限制到20个MAC地址(可以根据参与会议的人员数量来进行适当的调整)。这么设置根本的目的只有一个，就是只允许授权访问的用户采用能够使用企业的网络，拒绝任何未经过授权的用户。

　　二、启用规则以及违反规则的处理

　　要在思科交换机上启用“基于主机MAC地址允许流量”的功能，相对来说比较简单。如通过命令set port security就可以实现。这个命令可以用来配置每个端口所允许的最大MAC地址数。具体的配置相对来说比较简单，笔者不做过多的阐述。笔者要重点讲解的内容是如果后续用户的流量违背了这个规则，交换机该如何来处理这些流量。笔者再次强调一遍，这个非常的重要。这对企业安全网络的组建、对后续故障的解决，都有很重要的价值。

　　首先我们来看看，在什么情况下流量会违背这两个安全原则?通常情况下，存在两种原因。一是未经许可的访问，也就是说安全端口接收到的数据帧是未经管理员授权的;二是当交换机端口已经学习到所允许的最大数目的MAC地址之后，交换机系统又受到了新的数据帧。无论以上任何一种原因，其最终都是触犯了端口的安全规则。最后都会受到一定的“惩罚”。交换机会自动检测。当检测到任何违规的数据帧时，都会及时采取措施以确保企业网络的安全。

　　其次我们来分析一下交换机会采取的行为。在任何时刻，交换机检测到以上的违规行为，都可能会采取以下的任何一种措施。一是关闭，即将这个端口永久的或者在某个周期内设置为ERR-DISABLE状态，关闭其数据通信的能力。二是限制，即这个端口仍然将正常的工作，只是将来自未经授权的主机的数据流量丢弃。三是保护，即当交换机端口已经超过所允许学习MAC地址数量的时候，交换机仍然将正常转发数据，而只是将来自新主机的数据帧丢弃。网络管理员选择任何的处理措施。但是选择哪个方式好呢?这也没有统一的答案。通常情况下，需要根据交换机所处的位置来进行选择。如这个交换机所处的位置比较关键，如实一个关键的服务器群组交换机，则最好使用限制选贤，使得服务器操作不受到任何违反规则的影响。相反，如果交换机处在交换层，既是所谓的接入层交换机的话，则最好通过关闭的处理方式，不过需要结合计时器来使用。如此的话，如果用户终端发生意味的非授权移动的时候，交换机会自动进行调整，而不需要稳拿滚落管理员重新建立连接来进行手工干预。如果在那些仅仅基于IOS软件的交换机上，则建议使用保护这种处理策略。

　　总之，当用户的数据帧违背了既定的规则之后，还采取什么处理措施呢?这往往没有统一的答案。这主要要根据网络管理员的经验来判断。如果选择的好的话，可以起到事半功倍的效果。相反，如果选择的不合适的话，有可能使搬起石头砸自己的脚。一般来说，网络管理员需要从交换机位置、网络环境、企业对于安全的需要来进行抉择。