欢迎访问宝典百科,专注于IT类百科知识解答!
在交换机上开启端口安全功能通常用于防止未经授权的设备接入网络,通过限制端口的MAC地址数量或绑定特定MAC地址来增强安全性。以下是如何在不同厂商的交换机上配置端口安全的详细步骤和技术要点:
1. Cisco交换机配置
步骤:
进入全局配置模式:
bash
enable
configure terminal
进入需要配置的接口:
bash
interface gigabitethernet 1/0/1
启用端口安全:
bash
switchport mode access
switchport port-security
switchport port-security maximum 1 # 限制最大MAC地址数为1
switchport port-security mac-address sticky # 自动学习当前设备MAC并绑定
switchport port-security violation shutdown # 违规时关闭端口
扩展配置:
- 静态MAC绑定:手动指定合法MAC地址:
bash
switchport port-security mac-address 00aa.bbcc.ddee
- 老化时间:设置动态学习MAC的老化时间(默认300秒):
bash
switchport port-security aging time 600
2. 华为/H3C交换机配置
步骤:
进入接口视图:
bash
system-view
interface gigabitethernet 1/0/1
启用端口安全并设置限制:
bash
port-security enable
port-security max-mac-num 1
port-security protect-action shutdown # 违规时关闭端口
高级功能:
- MAC地址绑定:
bash
port-security mac-address sticky # 自动学习
port-security mac-address 00aa-bbcc-ddee vlan 10 # 手动绑定
- 安全策略:支持`restrict`(仅丢弃违规流量)或`block`(阻断源MAC)。
3. 常见违规处理方式
shutdown:直接禁用端口(默认需管理员手动恢复)。
restrict:丢弃违规流量并生成日志。
protect:静默丢弃流量但不记录。
4. 注意事项
Trunk端口限制:端口安全通常用于接入层Access端口,Trunk端口需谨慎配置。
MAC地址漂移:在堆叠或冗余链路中可能触发误判。
动态VLAN环境:结合`voice VLAN`时需调整安全策略。
5. 验证与排查
Cisco:
bash
show port-security interface gigabitethernet 1/0/1
华为:
bash
display port-security interface gigabitethernet 1/0/1
开启端口安全后,建议通过模拟攻击(如接入未授权设备)测试策略有效性,并监控系统日志是否正常报警。对于高安全环境,可结合802.1X认证进一步提升防护。
