端口安全原理介绍及配置命令

【欢迎关注微信公众号：厦门微思网络】

微思网络（官网）：https://www.xmws.cn/

---

流控与交流机访问控制

可在端口上配置端口安全技术，使该端口只允许特定的设备访问。

端口安全技术通过MAC地址定义了允许访问的设备。

允许访问的设备的MAC地址可以手工配置或通过交换机自动“学习”。

端口上能配置的安全MAC地址数量是有限制的，不同的平台数量不同。

当某个未授权的 MAC 地址试图访问端口时，交换机可以挂起或停用该端口。

端口安全技术不能配置在 trunk端口、交换式端口分析器（SPAN）端口或动态分配给某个VLAN的端口上。

6500、4500、3750、3560和2960系列的交换机都支持端口安全技术。
 

配置

当交换机上的某个端口处于活动状态时，任何用户都可以使用通信线缆插入到此端口来访问网络。由于许多网络使用动态主机配置协议（DHCP）来为用户分配地址，所以对于具有物理的接入端口的用户来说，可以很容易地使用自己的设备（例如笔记本）插入交换机端口来访问网络。正因如此，每位用户都可以不断地产生流量从而导致网络发生问题。端口安全技术可为端口指定允许访问的设备的 MAC 地址。可使用以下步骤来配置端口安全技术。

1．启用端口安全功能。

( interface) switchport port- security

默认状态下，任何用户都可使用线缆插入端口并访问网络服务。如果想要保护一个端口，须在每个单独的端口上启用端口安全功能。可使用这条命令来为设备启用端口安全功能

2．指定MAC地址数量。

(interface) switchport port-security maximum number_of_addresses vlan {vlan_ ID | vlan_ range }

3．手动指定安全MAC地址。

(interface) switchport port-security mac-address mac_address

默认情况下，交换机会自动“学习”插入自身端口上的设备的MAC地址。如果想要对访问交换机的设备进行控制，可以使用这条命令来为端口指定安全MAC地址。

4．指定端口的违规行为.

(interface) switchport port-security violation [protect I restrict I shutdown]

当端口发生违规（violation）时，交换机通常会丢弃掉未授权MAC地址的流量来保护此端口。这意味着交换机不允许这些数据帧穿越设备。不过，如果入站的数据帧带有已配置的安全MAC地址的话，交换机是允许这些帧通过的。设备的默认违规行为是protect。也可将其违规行为修改成shutdown。如果使用了选项shutdown，违规发生后端口将处于关闭状态，需要管理员重新手动开启此端口。还可将使用选项restrict来让交换机在发生违规后发送SNMP trap 信息。
 

验证配置

使用以下命令来验证交换机上端口安全的配置。

(privileged) show port security [interface interface-id] [address] 

配置实例

此例为端口安全的配置实例。在此例中，为端口 FastEthernet 2/1配置了一个单独的安全MAC地址00-01-03-87-09-43，本端口只允许此地址访问。如果发生安全违规行为，交换机将关闭此端口。端口2/2和2/3分别允许 10 个安全MAC地址访问，当设备插到端口上时，交换机会自动学习并丢弃未授权的数据包。

IOS中的配置命令如下。

总结

以上是生活随笔为你收集整理的端口安全原理介绍及配置命令的全部内容，希望文章能够帮你解决所遇到的问题。

如果觉得生活随笔网站内容还不错，欢迎将生活随笔推荐给好友。