我的情况是，我需要在一个物理上不安全且客人来来往往的位置安装交换机。它位于一个有许多可以物理访问它的非工作人员的设施中的音响台的音频机架中。

它是 HP ProCurve 交换机。我计划采取以下预防措施，但正在寻找我可能遗漏的任何漏洞：

1. 禁用交换机正面的物理设备重置按钮（在软件中），而不是使用环氧树脂
2. 禁用所有未使用的端口
3. 用于活动端口的基于端口的 VLAN，使它们脱离主网络并进入不太受信任的网络（但不能进入 dmz 风格的完全不受信任的网络）
4. 启用两个端口，这些端口会立即进入访客 VLAN 上的强制门户，供访客使用。（这些端口的使用将被公开记录）
5. 基于已知 MAC 地址的基于端口的 802.1X 身份验证，用于活动的非访客端口
6. 上行链路端口将使用带有未使用的本地 VLAN 的 802.1q 中继。

布线将是静态的。除了两个访客端口之外，它几乎永远不会改变。

我知道一个事实，由于经过该位置的那种人，他们会好奇地查看交换机上的内容，我不希望他们进入网络的受保护部分，除非他们积极尝试颠覆安全。（如果他们这样做，那么这是 security.se 的问题）