在多年的IT運(yùn)維過(guò)程中，曾經(jīng)有多個(gè)客戶的網(wǎng)絡(luò)發(fā)生過(guò)聽(tīng)上去很嚴(yán)重、解決起來(lái)也很麻煩的故障，但是，歸根結(jié)底，其實(shí)并不是什么大問(wèn)題，私接路由器算是其中比較常見(jiàn)的了。

如果在全是傻瓜交換機(jī)的網(wǎng)絡(luò)環(huán)境里，找起來(lái)那叫一個(gè)費(fèi)勁，每次找出來(lái)之后，那個(gè)私接路由器的人必將成為整個(gè)單位的千夫所指，我也因此吃到過(guò)幾次免費(fèi)的羊肉火鍋，真可謂禍兮福所倚。

別說(shuō)是我了，每個(gè)同行幾乎都碰到過(guò)私接網(wǎng)絡(luò)設(shè)備引起的網(wǎng)絡(luò)故障，有時(shí)候討論起來(lái)，都是一肚子苦水。

相對(duì)路由器而言，私接網(wǎng)絡(luò)交換機(jī)，一般不會(huì)引發(fā)網(wǎng)絡(luò)故障，但是私自擴(kuò)展網(wǎng)絡(luò)，在很多單位是不被允許的——很容易引發(fā)數(shù)據(jù)外泄。

私接路由器引起的網(wǎng)絡(luò)故障，可以用DHCP Snooping技術(shù)來(lái)防范，前面有文章已經(jīng)寫到過(guò)了；那么用戶私接網(wǎng)絡(luò)交換機(jī)又該怎么防范呢？DHCP Snooping顯然力不從心的，所以，我們還需要配合其他技術(shù)來(lái)阻止用戶私自擴(kuò)展網(wǎng)絡(luò)接口。

這就是今天要和大家討論的——端口安全技術(shù)。

一、概述

通過(guò)在交換機(jī)的指定接口上配置端口安全，可以限制接口的MAC地址學(xué)習(xí)數(shù)量，從而防止未經(jīng)允許的網(wǎng)絡(luò)端口擴(kuò)展行為；

端口安全通過(guò)將接口學(xué)習(xí)到的動(dòng)態(tài)MAC地址轉(zhuǎn)換為安全MAC地址（包括安全動(dòng)態(tài)MAC，安全靜態(tài)MAC和Sticky MAC），阻止非法用戶通過(guò)本接口和交換機(jī)通信，從而增強(qiáng)網(wǎng)絡(luò)的安全性；

概念聽(tīng)上去有些拗口，其實(shí)意思就是說(shuō)：1、交換機(jī)每個(gè)接口只允許接入一臺(tái)電腦，第二臺(tái)以擴(kuò)展小交換機(jī)的方式接入，是無(wú)法通訊的，而且會(huì)發(fā)現(xiàn)警告；2、有時(shí)候，員工私自換個(gè)位置上網(wǎng)，也可以被禁止；

二、配置

1、需求：圖中3個(gè)接口，全部激活端口安全功能；學(xué)習(xí)到的MAC地址轉(zhuǎn)換為Sticky MAC；

一旦發(fā)現(xiàn)非法接入，發(fā)出警告，并且直接斷開(kāi)接口；

2、分析：發(fā)現(xiàn)非法接入后，有3種可選的懲罰措施，分別是：

protect—— 只丟棄源MAC地址不存在的報(bào)文，不上報(bào)告警，也就是合法設(shè)備仍舊正常通信，非法設(shè)備無(wú)法通信，但是沒(méi)有告警信息；

Restrict——華為交換機(jī)默認(rèn)選項(xiàng)，即丟棄源MAC地址不存在的報(bào)文并上報(bào)告警，說(shuō)白了，就是合法設(shè)備正常通信，非法設(shè)備無(wú)法通信，而且將有告警信息；

Shutdown——最嚴(yán)厲的懲罰，也就是本例的要求，發(fā)現(xiàn)非法接入設(shè)備，直接關(guān)閉端口。

3、命令：

port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/8 //創(chuàng)建端口組，成員端口1-3，命令都是一樣的，所以3個(gè)端口弄成一個(gè)組，命令打一遍就行了，偷個(gè)懶；

port-security enable //開(kāi)啟端口安全；

port-security max-mac-num 1 //接口學(xué)習(xí)的安全MAC地址限制數(shù)量為1，就是一個(gè)接口只允許一個(gè)設(shè)備的意思；

port-security mac-address sticky //開(kāi)啟接口Sticky MAC功能；

port-security protect-action shutdown //發(fā)現(xiàn)非法接入設(shè)備，直接關(guān)閉端口，并上報(bào)告警。

注意，默認(rèn)情況下，接口關(guān)閉后不會(huì)自動(dòng)恢復(fù)，只能由網(wǎng)絡(luò)管理人員在接口視圖下使用restart命令進(jìn)行恢復(fù)。

經(jīng)過(guò)以上配置，交換機(jī)的每個(gè)端口只允許接入一臺(tái)設(shè)備（電腦或者網(wǎng)絡(luò)打印機(jī)等），如果誰(shuí)敢私自接入網(wǎng)絡(luò)交換機(jī)，把網(wǎng)絡(luò)分享給別人，那么馬上就連他自己都無(wú)法上網(wǎng)，只能求IT重開(kāi)端口，這樣應(yīng)該對(duì)某些人有一定的威懾力了吧，莫名其妙的、人為的網(wǎng)絡(luò)故障，應(yīng)該能夠排除和避免了。