欧美性猛护士HD黑人,日韩欧美亚洲熟妇,日本人妻深喉一区,亚洲永久高清无码一区二区

　　現在的企業(yè)網絡中，到達桌面的網速越來越快。這雖然給用戶帶來了很好的應用體驗，但是也帶來了很大的安全隱患。如果來自用戶的流量(無論是有意的還是無意的)存在著惡意，那么就有可能使得企業(yè)的網絡發(fā)生擁塞或者DOS網絡中斷等等故障。為此網絡管理員在快速以太網時代，更加應該重視桌面訪問的安全。 簡單地一條安全原則就是只允許授權的用戶或者合法的用戶可以訪問企業(yè)的網絡，而拒絕其他任何未經授權的訪問。在不少的網絡設備中，都可以通過MAC地址來管控流量，從而保證企業(yè)網絡的安全。

　　一、通過控制交換機學習MAC地址的數量來管控流量

　　在思科的交換機中，有一個很重要的安全特性，即可以基于主機MAC地址而允許流量。通過這種方式，可以在很大程度上提高交換機等網絡設備的端口安全。什么叫做基于主機MAC地址允許流量功能呢?簡單的說，就是允許單個端口能夠允許多少個特定樹木的MAC地址。也就是說，在端口的MAC地址表中，允許記錄多少個主機MAC地址。如果超過的話，那么交換機就會拒絕轉換。通過這種機制就可以有效的保障端口的安全。

　　如企業(yè)現在有會議室、員工辦公室等場所。如果按照普通部署的話，每個交換機的接口都可以學習到很多的MAC地址。如果在以前，各個客戶段的網絡速度不怎么快，那么也沒什么問題。但是如果大多數桌面都實現了快速以太網或者吉比特以太網連接的話，情況就不同了。就算不是員工故意，客戶端仍然可能在用戶不知情的情況下，被黑客當作肉雞來使用。此時就可能會給企業(yè)網絡帶來很大的安全隱患。此時筆者建議網絡管理員，可以通過“基于主機MAC地址允許流量的功能來提高端口的安全性。如可以將普通用戶端口銜知道1個學到的MAC地址，而將會議室端口限制到20個MAC地址(可以根據參與會議的人員數量來進行適當的調整)。這么設置根本的目的只有一個，就是只允許授權訪問的用戶采用能夠使用企業(yè)的網絡，拒絕任何未經過授權的用戶。

　　二、啟用規(guī)則以及違反規(guī)則的處理

　　要在思科交換機上啟用“基于主機MAC地址允許流量的功能，相對來說比較簡單。如通過命令set port security就可以實現。這個命令可以用來配置每個端口所允許的 大MAC地址數。具體的配置相對來說比較簡單，筆者不做過多的闡述。筆者要重點講解的內容是如果后續(xù)用戶的流量違背了這個規(guī)則，交換機該如何來處理這些流量。筆者再次強調一遍，這個非常的重要。這對企業(yè)安全網絡的組建、對后續(xù)故障的解決，都有很重要的價值。

　　首先我們來看看，在什么情況下流量會違背這兩個安全原則?通常情況下，存在兩種原因。一是未經許可的訪問，也就是說安全端口接收到的數據幀是未經管理員授權的;二是當交換機端口已經學習到所允許的 大數目的MAC地址之后，交換機系統又受到了新的數據幀。無論以上任何一種原因，其 終都是觸犯了端口的安全規(guī)則。 后都會受到一定的“懲罰。交換機會自動檢測。當檢測到任何違規(guī)的數據幀時，都會及時采取措施以確保企業(yè)網絡的安全。

　　其次我們來分析一下交換機會采取的行為。在任何時刻，交換機檢測到以上的違規(guī)行為，都可能會采取以下的任何一種措施。一是關閉，即將這個端口永久的或者在某個周期內設置為ERR-DISABLE狀態(tài)，關閉其數據通信的能力。二是限制，即這個端口仍然將正常的工作，只是將來自未經授權的主機的數據流量丟棄。三是保護，即當交換機端口已經超過所允許學習MAC地址數量的時候，交換機仍然將正常轉發(fā)數據，而只是將來自新主機的數據幀丟棄。網絡管理員選擇任何的處理措施。但是選擇哪個方式好呢?這也沒有統一的答案。通常情況下，需要根據交換機所處的位置來進行選擇。如這個交換機所處的位置比較關鍵，如實一個關鍵的服務器群組交換機，則 好使用限制選賢，使得服務器操作不受到任何違反規(guī)則的影響。相反，如果交換機處在交換層，既是所謂的接入層交換機的話，則 好通過關閉的處理方式，不過需要結合計時器來使用。如此的話，如果用戶終端發(fā)生意味的非授權移動的時候，交換機會自動進行調整，而不需要穩(wěn)拿滾落管理員重新建立連接來進行手工干預。如果在那些僅僅基于IOS軟件的交換機上，則建議使用保護這種處理策略。

　　總之，當用戶的數據幀違背了既定的規(guī)則之后，還采取什么處理措施呢?這往往沒有統一的答案。這主要要根據網絡管理員的經驗來判斷。如果選擇的好的話，可以起到事半功倍的效果。相反，如果選擇的不合適的話，有可能使搬起石頭砸自己的腳。一般來說，網絡管理員需要從交換機位置、網絡環(huán)境、企業(yè)對于安全的需要來進行抉擇。

　　三、啟用這個功能的注意事項

　　如果需要在基于思科設備的交換網絡中，啟用“基于主機MAC地址允許流量安全措施時，需要注意如下內容。

　　首先需要注意，思科交換機的型號不同，接口所允許的 大MAC地址數量也有所不同。如對于常見的6500系列的交換機，其就支持多達1025個MAC地址(其中1個默認的MAC地址和1024個常規(guī)的MAC地址)。由于交換機型號不同，其所支持的MAC地址數量由比較大的差異。為此在選購交換機的時候，如果需要這個功能，那么就需要考慮這個參數。

　　其實需要注意的是，交換機端口所支持的MAC數量不同，其MAC地址分配的方式也有很大的不同。如對于6500系列交換機來說，一般情況下有兩種常見的分配方式。一種方式是為其中一個端口分配1025個MAC地址，然后給其他的端口分配一個MAC地址。另一種方式是為某個端口分配201個MAC地址，而為第二個端口分配701個MAC地址，為第三個端口分配125個MAC地址，剩余端口都分配一個MAC地址。至于采取那種分配方式更加合理，這里沒有統一的標準答案。通常情況下，都需要網絡管理員根據企業(yè)網絡應用于企業(yè)對于安全的需求來確定。

　　四、啟用“基于主機MAC地址允許流量功能的 佳步驟

　　如何才能夠更加有效的使用這個功能呢?根據筆者的管理經驗，認為需要如下五個步驟。

　　一是評估需要啟用端口安全的端口。在實際工作中，并不是需要為所有的端口都啟用基于主機MAC地址允許流量功能。如對于一些經常用來做維護工作的端口，則往往不需要啟用這個功能。為此在確定需要啟用類似端口安全機制之前，需要網絡管理員先進行評估。以確定需要以用端口安全技術的端口。

　　二是為需要啟用端口安全的端口配置動態(tài)學習主機MAC地址。在必要的時候還可以配置動態(tài)學習MAC地址所持續(xù)的時間。通常情況下，可以通過set port security age名來來實現。

　　三是制定違背安全的行為。即根據企業(yè)的實際情況，如交換機的位置、對于安全的需求等因素，來考慮到底是采取“禁止措施，還是采取“保護或者“限制措施。默認的設置是“永久性關閉。這是一個比較極端的選項。通常情況下，筆者都建議對其進行更改。

　　四是一個可選項，不過是筆者推薦的一個可選項。即如果網絡管理員選擇“關閉措施時，那么 好能夠同時啟用計時器功能。也就是說，設置這個端口關閉多長時間。因為有時候可能用戶是無意冒犯這個規(guī)則的。所以這個端口不能夠永遠關閉下去。只要能夠保證不會影響到網絡的正常使用的前提下，那么仍然可以開放。

　　五是追蹤。當出現任何一個違背行為時，交換機都會在系統日志中留下蹤跡。網絡管理員還必須經常的查看日志。如果發(fā)現有異常情況時，如有臺主機經常違背某個原則時，那么就需要追查這臺主機的原因。到底是用戶惡意為止還是成為了別人的肉雞。

標簽： 網管