很多企業(yè)在日常的程控交換機維護中常常忽視交換機端口的安全性，企業(yè)員工可以隨意使用集線器等工具將一個端口增至多個，或者使用私人筆記本電腦連接到企業(yè)的網路中，類似這些情況都會給企業(yè)的網絡帶來安全隱患。那么，我們就來看一下企業(yè)交換機端口具有哪些安全問題呢，這些問題是否有相應的應對措施呢。

企業(yè)運行中，常見的程控交換機端口問題主要有未經授權的用戶主機隨意連接到企業(yè)的網絡以及未經批準采用集線器等設備，例如，企業(yè)員工可能在不經管理員同意的情況下，拔下某臺主機的網線，插在自己從家里帶來的電腦上，又或者為了增加網絡終端的數(shù)量，會在未經授權的情況下，將集線器、交換機等設備插入到辦公室的網絡接口上。所有這些行為都增加了企業(yè)網絡的安全風險，可能使得企業(yè)網絡招致病毒、網絡性能降低、企業(yè)重要資料遭到非法復制等。很多網絡管理員對這些總是缺少重視，認為交換機鎖在機房里不會出什么問題，有些管理員甚至覺得網絡管理有防火墻等軟件，不需要對交換機端口等硬件加以防范，對他們來說，這是一個盲區(qū)。

從上我們可以看出，企業(yè)現(xiàn)在程控交換機端口安全環(huán)境非常重要，我們要從意識上重視并從技術上防范這類風險，從而防止非授權用戶聯(lián)入企業(yè)網絡，消除企業(yè)交換機端口隱患。

網絡管理員要從意識上對網絡端口的安全性加以重視，特別是要消除輕硬件、重軟件這個誤區(qū)，對于程控交換機的端口，要制定一套合理的安全策略，包括是否要對接入交換機端口的MAC地址與主機數(shù)量進行限制等等，然后我們根據(jù)交換機的工作原理，在系統(tǒng)中開啟轉發(fā)過濾數(shù)據(jù)庫，保存MAC地址等相關的信息，通過交換機的端口安全策略，確保只有授權的用戶才能接入到交換機特定的端口中。

在技術上，常用的方法是特定的交換機端口只能夠連接某臺特定的主機，而其他電腦，比如某個員工自己帶來的電腦將無法接入企業(yè)網絡，這可以通過兩臺電腦的MAC地址不同而進行設置。在交換機的端口中，我們限定只有特定的IP地址才可以通過端口連入網絡，如果主機變更，就需要重新調整交換機的MAC地址設置，通過這種特定端口只能連接特定主機的方法的好處是可以有效維護交換機端口的安全，但是在實際工作中，這種方法的配置工作量大，企業(yè)在主機調整或網卡更換時，則又要重新配置。

其實，更實用的方法是對程控交換機接入的設備進行限制，出于性能的考慮，我們可以限制程控交換機端口最多可以接入多少主機，避免員工私自使用集線器等設備增加端口，相對于MAC地址設置，這種方法沒有MAC地址匹配的要求，如果更換主機仍然可以正常連接到程控交換機端口，相對而言，這種方法比MAC地址設置寬松一些，后期維護時的工作量也會減少很多，但是這種方法也有它的弊端，在用戶違反了規(guī)定，程控交換機的端口會自動關閉，造成系統(tǒng)中斷，因而在實際操作中要尤其注意。

另外，我們還可以使用sticky參數(shù)來簡化程控交換機的管理，我們通過相關的sticky參數(shù)命令，讓程控交換機自動記住所連接主機的MAC地址，如果MAC地址與原有主機不匹配，程控交換機會自動拒絕這臺主機的連接請求，通過這種方法，管理員不需要重新輸入每個端口的MAC地址，如果后期主機有所調整的話，我們可以通過手工輸入?yún)��?shù)進行設置。

需要注意的是，如果我們的程控交換機端口同時連接了PC主機與電話機，我們需要將Maximun參數(shù)設置為2，因為在程控交換機的端口上，電話機與主機屬于同類型設備。上面介紹的幾種程控交換機端口設置方法各有利弊，網絡管理員在實際操作中可以根據(jù)公司網絡的不同規(guī)模和對網絡安全的不同需求擇優(yōu)使用，選擇最適合自己的設置。電話交換機 http://www.pbx119.com