本文详细介绍了思科交换机的Port Security（端口安全）功能。它通过限制端口的MAC地址数量和定义允许通信的MAC地址，防止非法设备接入和MAC地址泛洪攻击。文章还提供了Port Security的配置步骤，包括进入接口模式、启用功能、设置最大MAC地址数量、指定允许的MAC地址、设置违规处理方式以及查看状态等。此外，文中还列举了配置时的注意事项和常见问题解答，帮助用户更好地应用该功能保障网络安全。一、Port Security 的作用Port Security 是一种强大的安全功能，它通过限制连接到交换机端口的 MAC 地址数量，并定义哪些 MAC 地址可以通信，从而实现对网络接入的严格控制。具体来说，它有以下几大作用：防止非法设备接入：例如，防止未经授权的路由器、无线接入点（AP）等设备私自接入网络，避免网络拓扑结构被非法篡改，确保网络的可控性。防止MAC 地址泛洪攻击：MAC 地址泛洪攻击（CAM 表溢出攻击）是一种常见的网络攻击手段，攻击者通过大量伪造的 MAC 地址请求，使交换机的 CAM 表溢出，导致交换机无法正确转发数据帧。Port Security 可以有效限制端口的 MAC 地址数量，从而防止此类攻击。控制每个端口允许的最大MAC 地址数量：根据实际需求，我们可以设置每个端口允许的最大 MAC 地址数量，例如，在某些场景下，一个端口可能只允许一台设备接入，而在另一些场景下，可能允许两台或多台设备共享一个端口。可设置违规行为后的响应方式：当检测到违规行为时，我们可以选择不同的响应方式，如关闭端口、限制流量或记录日志，以便及时发现和处理潜在的安全威胁。二、Port Security 基本配置步骤接下来，我们将详细介绍如何在思科交换机上配置Port Security 功能。以下是基本的配置步骤：1. 进入接口模式（只能在访问模式端口上启用 Port Security）首先，我们需要进入交换机的接口模式，并将端口设置为访问模式。例如，对于FastEthernet0/1 端口，可以使用以下命令：Switch(config)# interface FastEthernet0/1 Switch(config-if)# switchport mode access注意：Port Security 只能在 access 模式接口 上启用，不能在 trunk 接口上直接使用。2. 启用 Port Security 功能在接口模式下，使用以下命令启用Port Security 功能：Switch(config-if)# switchport port-security3. 设置最大允许的 MAC 地址数量（默认为 1）根据实际需求，我们可以设置每个端口允许的最大MAC 地址数量。例如，允许两个设备通过这个端口接入网络：Switch(config-if)# switchport port-security maximum 24. 设置允许的 MAC 地址（可选）我们可以选择手动指定允许的MAC 地址，或者让交换机自动学习当前已连接的 MAC 地址。方法一：静态指定MAC 地址如果已知需要接入设备的MAC 地址，可以直接指定：Switch(config-if)# switchport port-security mac-address 0000.1111.2222方法二：自动学习当前已连接的MAC 地址使用以下命令，交换机会自动学习当前连接设备的MAC 地址，并将其“粘性”绑定到此端口，重启后仍有效（需保存配置）：Switch(config-if)# switchport port-security mac-address sticky5. 设置违规处理方式（Violation Mode）当检测到违规行为时，我们可以选择不同的处理方式：Switch(config-if)# switchport port-security violation {protect | restrict | shutdown}模式说明protect：丢弃非法数据包，不通知发送方，不记录日志restrict：丢弃非法数据包，发送SNMP trap 和 syslog 日志shutdown：默认模式，触发违规时立即关闭端口6. 查看 Port Security 状态配置完成后，我们可以使用以下命令查看Port Security 的状态：Switch# show port-security interface FastEthernet0/1示例输出：Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 1 Last Source Address:Vlan : 0000.1111.2222:10 Security Violation Count : 0三、完整配置示例以下是一个完整的Port Security 配置示例：Switch(config)# interface FastEthernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 1 Switch(config-if)# switchport port-security mac-address sticky Switch(config-if)# switchport port-security violation restrict四、注意事项在使用Port Security 功能时，还需要注意以下几点：Trunk 端口无法直接启用 Port Security，但可以在 Trunk 允许的 VLAN 上做动态限制。若使用sticky 学习 MAC 地址，务必保存配置 (copy running-config startup-config)，否则重启后丢失。在VOIP 或 IP Phone 环境中，通常允许一个电话和一个 PC 共享一个端口，此时 maximum 应设为 2。五、常见问题1.如何恢复被关闭的端口？如果端口因违规进入shutdown 状态，可以使用以下命令恢复端口：Switch(config-if)# shutdown Switch(config-if)# no shutdown或者重启交换机。2.Port Security 是否支持 IPv6？Port Security 是基于 MAC 地址的安全机制，与 IPv4/IPv6 无关，因此对两者都适用。通过以上介绍，相信大家对思科交换机的Port Security 功能有了更深入的了解。合理配置和使用 Port Security，可以有效提升网络的安全性和稳定性，防止未经授权的设备接入网络，保障网络的正常运行。