什么是端口安全
在公司或学校的交换机网络中,你可能遇到过陌生设备随意接入导致网络异常的情况。端口安全(Port Security)就是为了解决这类问题而设计的功能。它能限制交换机端口上允许接入的设备数量,甚至只允许特定的MAC地址通过,防止未经授权的设备接入。
启用端口安全的基本步骤
以常见的Cisco交换机为例,下面是实际操作流程。
1. 进入接口配置模式
首先登录到交换机,进入需要配置的接口。比如你想对FastEthernet 0/1端口启用安全策略:
Switch> enable
Switch# configure terminal
Switch(config)# interface fa0/12. 启用端口安全功能
在接口模式下开启端口安全:
Switch(config-if)# switchport port-security这一步激活了该端口的安全机制,但还没有设置具体规则。
3. 设置允许的最大MAC地址数量
你可以指定这个端口最多允许多少台设备接入。例如,只允许一台设备:
Switch(config-if)# switchport port-security maximum 1如果接了第二台设备,新设备将无法通信,原设备仍可使用。
4. 配置MAC地址绑定方式
可以手动指定允许的MAC地址,也可以让交换机动态学习并锁定当前连接设备的MAC。
动态锁定(常用):
Switch(config-if)# switchport port-security mac-address sticky这样交换机会自动记住当前连接设备的MAC地址,并在重启后保留。
静态绑定示例:
Switch(config-if)# switchport port-security mac-address 00ab.1234.56785. 设置违规处理策略
当有非法设备接入时,可以设置交换机如何响应。常见选项有:
- protect:丢弃非法流量,不告警
- restrict:丢弃并记录日志
- shutdown(推荐):关闭端口
配置命令如下:
Switch(config-if)# switchport port-security violation shutdown6. 查看配置状态
完成设置后,可以用以下命令检查结果:
Switch# show port-security interface fa0/1会显示当前端口的安全状态、允许的MAC数、违规处理方式等信息。
实际应用场景
比如办公室前台的交换机端口,原本只接了一台电脑,但有人偷偷插了个无线路由器,导致内网被蹭。启用了端口安全后,只要有人插新设备,端口就会自动关闭,管理员收到告警就能及时处理。
这种机制简单有效,特别适合对安全性要求较高的局域网环境。