思科交换机端口安全配置方法

端口 安全的作用

在企业网络中，经常会遇到员工私自接入路由器或交换机，导致IP冲突或者安全隐患。比如财务部的小王为了方便自己手机上网，在工位上接了个小路由器，结果整个部门的网络都变得不稳定。这时候，启用思科交换机的端口安全功能就能有效避免这类问题。

端口安全（Port Security）可以限制交换机端口上允许接入的设备数量，甚至绑定特定的MAC地址，防止未经授权的设备接入网络。

进入需要配置的接口模式，先关闭该端口的动态学习功能，然后启用端口安全。例如，针对交换机的FastEthernet 0/1端口：

interface fa0/1
 switchport mode access
 switchport port-security
 switchport port-security maximum 1
 switchport port-security violation restrict

这段配置的意思是：将端口设为接入模式，启用端口安全，最多允许1个MAC地址接入，当违规时采用restrict方式处理——即丢弃非法流量并发出告警，但不关闭端口。

如果某台设备需要长期稳定接入，比如总经理的电脑，可以通过静态绑定MAC地址来确保只有这台设备能使用该端口。

switchport port-security mac-address 0011.2233.4455

这样即使有人插上网线，只要不是这台设备，就无法通信。相当于给端口加了把“电子锁”。

思科交换机支持三种违规处理模式：

在实际使用中，shutdown虽然最严格，但也可能导致误操作后需要管理员到场恢复，因此建议在关键岗位使用restrict模式更为稳妥。

配置完成后，可以通过以下命令查看端口安全的状态：

show port-security interface fa0/1

输出会显示当前最大MAC数、已学习的数量、违规处理方式以及是否启用等信息。如果发现MAC地址数量异常，可以及时排查是否有私接设备。

端口安全只能在接入模式（access mode）的接口上启用，不能在trunk口上直接使用。同时，如果启用了802.1X认证，需注意与端口安全的兼容性设置，避免策略冲突。