很多企業(yè)在日常的程控交換機(jī)維護(hù)中常常忽視交換機(jī)端口的安全性，企業(yè)員工可以隨意使用集線器等工具將一個(gè)端口增至多個(gè)，或者使用私人筆記本電腦連接到企業(yè)的網(wǎng)路中，類似這些情況都會(huì)給企業(yè)的網(wǎng)絡(luò)帶來安全隱患。那么，我們就來看一下企業(yè)交換機(jī)端口具有哪些安全問題呢，這些問題是否有相應(yīng)的應(yīng)對(duì)措施呢。

企業(yè)運(yùn)行中，常見的程控交換機(jī)端口問題主要有未經(jīng)授權(quán)的用戶主機(jī)隨意連接到企業(yè)的網(wǎng)絡(luò)以及未經(jīng)批準(zhǔn)采用集線器等設(shè)備，例如，企業(yè)員工可能在不經(jīng)管理員同意的情況下，拔下某臺(tái)主機(jī)的網(wǎng)線，插在自己從家里帶來的電腦上，又或者為了增加網(wǎng)絡(luò)終端的數(shù)量，會(huì)在未經(jīng)授權(quán)的情況下，將集線器、交換機(jī)等設(shè)備插入到辦公室的網(wǎng)絡(luò)接口上。所有這些行為都增加了企業(yè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，可能使得企業(yè)網(wǎng)絡(luò)招致病毒、網(wǎng)絡(luò)性能降低、企業(yè)重要資料遭到非法復(fù)制等。很多網(wǎng)絡(luò)管理員對(duì)這些總是缺少重視，認(rèn)為交換機(jī)鎖在機(jī)房里不會(huì)出什么問題，有些管理員甚至覺得網(wǎng)絡(luò)管理有防火墻等軟件，不需要對(duì)交換機(jī)端口等硬件加以防范，對(duì)他們來說，這是一個(gè)盲區(qū)。

從上我們可以看出，企業(yè)現(xiàn)在程控交換機(jī)端口安全環(huán)境非常重要，我們要從意識(shí)上重視并從技術(shù)上防范這類風(fēng)險(xiǎn)，從而防止非授權(quán)用戶聯(lián)入企業(yè)網(wǎng)絡(luò)，消除企業(yè)交換機(jī)端口隱患。

網(wǎng)絡(luò)管理員要從意識(shí)上對(duì)網(wǎng)絡(luò)端口的安全性加以重視，特別是要消除輕硬件、重軟件這個(gè)誤區(qū)，對(duì)于程控交換機(jī)的端口，要制定一套合理的安全策略，包括是否要對(duì)接入交換機(jī)端口的MAC地址與主機(jī)數(shù)量進(jìn)行限制等等，然后我們根據(jù)交換機(jī)的工作原理，在系統(tǒng)中開啟轉(zhuǎn)發(fā)過濾數(shù)據(jù)庫，保存MAC地址等相關(guān)的信息，通過交換機(jī)的端口安全策略，確保只有授權(quán)的用戶才能接入到交換機(jī)特定的端口中。

在技術(shù)上，常用的方法是特定的交換機(jī)端口只能夠連接某臺(tái)特定的主機(jī)，而其他電腦，比如某個(gè)員工自己帶來的電腦將無法接入企業(yè)網(wǎng)絡(luò)，這可以通過兩臺(tái)電腦的MAC地址不同而進(jìn)行設(shè)置。在交換機(jī)的端口中，我們限定只有特定的IP地址才可以通過端口連入網(wǎng)絡(luò)，如果主機(jī)變更，就需要重新調(diào)整交換機(jī)的MAC地址設(shè)置，通過這種特定端口只能連接特定主機(jī)的方法的好處是可以有效維護(hù)交換機(jī)端口的安全，但是在實(shí)際工作中，這種方法的配置工作量大，企業(yè)在主機(jī)調(diào)整或網(wǎng)卡更換時(shí)，則又要重新配置。

其實(shí)，更實(shí)用的方法是對(duì)程控交換機(jī)接入的設(shè)備進(jìn)行限制，出于性能的考慮，我們可以限制程控交換機(jī)端口最多可以接入多少主機(jī)，避免員工私自使用集線器等設(shè)備增加端口，相對(duì)于MAC地址設(shè)置，這種方法沒有MAC地址匹配的要求，如果更換主機(jī)仍然可以正常連接到程控交換機(jī)端口，相對(duì)而言，這種方法比MAC地址設(shè)置寬松一些，后期維護(hù)時(shí)的工作量也會(huì)減少很多，但是這種方法也有它的弊端，在用戶違反了規(guī)定，程控交換機(jī)的端口會(huì)自動(dòng)關(guān)閉，造成系統(tǒng)中斷，因而在實(shí)際操作中要尤其注意。

另外，我們還可以使用sticky參數(shù)來簡化程控交換機(jī)的管理，我們通過相關(guān)的sticky參數(shù)命令，讓程控交換機(jī)自動(dòng)記住所連接主機(jī)的MAC地址，如果MAC地址與原有主機(jī)不匹配，程控交換機(jī)會(huì)自動(dòng)拒絕這臺(tái)主機(jī)的連接請(qǐng)求，通過這種方法，管理員不需要重新輸入每個(gè)端口的MAC地址，如果后期主機(jī)有所調(diào)整的話，我們可以通過手工輸入?yún)��?shù)進(jìn)行設(shè)置。

需要注意的是，如果我們的程控交換機(jī)端口同時(shí)連接了PC主機(jī)與電話機(jī)，我們需要將Maximun參數(shù)設(shè)置為2，因?yàn)樵诔炭亟粨Q機(jī)的端口上，電話機(jī)與主機(jī)屬于同類型設(shè)備。上面介紹的幾種程控交換機(jī)端口設(shè)置方法各有利弊，網(wǎng)絡(luò)管理員在實(shí)際操作中可以根據(jù)公司網(wǎng)絡(luò)的不同規(guī)模和對(duì)網(wǎng)絡(luò)安全的不同需求擇優(yōu)使用，選擇最適合自己的設(shè)置。電話交換機(jī) http://www.pbx119.com