【歡迎關注微信公眾號：廈門微思網絡】

微思網絡（官網）：https://www.xmws.cn/

---

流控與交流機訪問控制

可在端口上配置端口安全技術，使該端口只允許特定的設備訪問。

端口安全技術通過MAC地址定義了允許訪問的設備。

允許訪問的設備的MAC地址可以手工配置或通過交換機自動“學習”。

端口上能配置的安全MAC地址數量是有限制的，不同的平臺數量不同。

當某個未授權的 MAC 地址試圖訪問端口時，交換機可以掛起或停用該端口。

端口安全技術不能配置在 trunk端口、交換式端口分析器（SPAN）端口或動態分配給某個VLAN的端口上。

6500、4500、3750、3560和2960系列的交換機都支持端口安全技術。
?

配置

當交換機上的某個端口處于活動狀態時，任何用戶都可以使用通信線纜插入到此端口來訪問網絡。由于許多網絡使用動態主機配置協議（DHCP）來為用戶分配地址，所以對于具有物理的接入端口的用戶來說，可以很容易地使用自己的設備（例如筆記本）插入交換機端口來訪問網絡。正因如此，每位用戶都可以不斷地產生流量從而導致網絡發生問題。端口安全技術可為端口指定允許訪問的設備的 MAC 地址。可使用以下步驟來配置端口安全技術。

1．啟用端口安全功能。

( interface) switchport?port- security

默認狀態下，任何用戶都可使用線纜插入端口并訪問網絡服務。如果想要保護一個端口，須在每個單獨的端口上啟用端口安全功能。可使用這條命令來為設備啟用端口安全功能

2．指定MAC地址數量。

(interface)?switchport port-security?maximum?number_of_addresses?vlan?{vlan_ ID | vlan_ range }

3．手動指定安全MAC地址。

(interface)?switchport port-security mac-address?mac_address

默認情況下，交換機會自動“學習”插入自身端口上的設備的MAC地址。如果想要對訪問交換機的設備進行控制，可以使用這條命令來為端口指定安全MAC地址。

4．指定端口的違規行為.

(interface) switchport port-security violation [protect I restrict I shutdown]

當端口發生違規（violation）時，交換機通常會丟棄掉未授權MAC地址的流量來保護此端口。這意味著交換機不允許這些數據幀穿越設備。不過，如果入站的數據幀帶有已配置的安全MAC地址的話，交換機是允許這些幀通過的。設備的默認違規行為是protect。也可將其違規行為修改成shutdown。如果使用了選項shutdown，違規發生后端口將處于關閉狀態，需要管理員重新手動開啟此端口。還可將使用選項restrict來讓交換機在發生違規后發送SNMP trap 信息。
?

驗證配置

使用以下命令來驗證交換機上端口安全的配置。

(privileged)?show port security?[interface?interface-id]?[address]?

配置實例

此例為端口安全的配置實例。在此例中，為端口 FastEthernet 2/1配置了一個單獨的安全MAC地址00-01-03-87-09-43，本端口只允許此地址訪問。如果發生安全違規行為，交換機將關閉此端口。端口2/2和2/3分別允許 10 個安全MAC地址訪問，當設備插到端口上時，交換機會自動學習并丟棄未授權的數據包。

IOS中的配置命令如下。

總結

以上是生活随笔為你收集整理的端口安全原理介绍及配置命令的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。