交换机端口安全实例分析

一、端口安全基础概念

端口安全(Port Security)是交换机上的一项重要功能，主要用于： - 限制接入网络的设备 - 防止MAC地址泛洪攻击 - 控制网络访问权限

二、常见端口安全配置实例

实例1：静态MAC地址绑定

Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security mac-address 00ab.cd12.34ef
Switch(config-if)# switchport port-security violation restrict

分析： - 将接口Gi0/1设置为访问模式 - 启用端口安全功能 - 绑定特定MAC地址(00ab.cd12.34ef) - 违规时采取限制措施(记录日志但允许通信)

实例2：动态学习MAC地址数量限制

Switch(config)# interface gigabitethernet 0/2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security violation shutdown

分析： - 允许最多2个MAC地址通过该端口接入 - 当超过限制时，端口将被关闭 - 适用于小型工作组环境

实例3：粘性MAC地址学习

Switch(config)# interface gigabitethernet 0/3
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security maximum 5

分析： - 动态学习前5个连接的设备MAC地址 - 学习到的MAC地址会被"粘性"保存到配置中 - 适合需要一定灵活性的办公环境

三、端口安全违规处理方式

1. protect：丢弃违规帧，不产生日志
2. restrict：丢弃违规帧，产生日志和SNMP trap
3. shutdown：关闭端口，需要管理员手动恢复

四、典型问题排查

问题1：端口意外关闭

现象：端口状态显示err-disabled

解决方案：

Switch# show interface status err-disabled
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# shutdown
Switch(config-if)# no shutdown

问题2：合法设备无法连接

排查步骤： 1. 检查绑定的MAC地址是否正确 2. 确认端口安全最大MAC地址数是否足够 3. 查看端口安全违规日志：

Switch# show port-security interface gigabitethernet 0/1

五、最佳实践建议

1. 在接入层交换机全面启用端口安全
2. 对关键设备使用静态MAC绑定
3. 普通办公区域使用粘性MAC+数量限制
4. 设置适当的违规处理策略
5. 定期检查端口安全状态和日志

通过合理配置端口安全，可以有效提升网络安全性，防止未授权访问和MAC泛洪攻击。