端口安全

怎样才能阻止非授权用户的主机接入到交换机的端口上呢？更重要的是，怎样才能防止非授权用户讲集线器、交换机或接入点设备插入办公室的Ethernet插座上？默认时，MAC地址只是动态地显示在MAC转发/过滤数据库中，通过使用端口安全，就可以阻止它们。命令如下：

switch#config t

switch(config)#int f0/1

switch(config-if)#switchport port-security ?

aging         port-security aging commands

mac-address   secure mac address

maximum     Max secure addersses

violation      security violation mode

<cr>

从上面的输出中大家可以清楚的看到，命令switchport port-security 有4个选项可用。我个人比较喜欢port-security命令，因为它让我可以轻松的控制网络中的用户。大家可以使用switchport port-security mac-address mac-address命令，这样就可以将单个的MAC地址分配到交换机的每个端口中。但是，如果你想这样做，你最好有充足的时间可用！

如果需要对交换机端口进行设置，使得一个端口只能接一台主机，而且当这个规则被违反时就关闭端口，那么可以使用如下命令：

Switch#confit t

Switch(config)#int f0/1

Switch(config-if)#switchport port-security maximum 1

Switch(config-if)#switchport port-security violation shutdown

这些命令可能是最受欢迎的了，因为它们可以防止用户在其办公室接入交换机或接入点。Maximum设置为1，意味着在那个端口上只能使用一个MAC地址。如果用户试图在那个网段上添加另一台主机，交换机端口就将被关闭。如果发生了这中情况，就需要手工地的交换机上进行配置，就是使用命令no shutdown来重新启用端口。

我最喜欢的一个命令恐怕就是sticky了，命令sticky不仅能执行很酷的功能，它还有一个很酷的名字！在mac-address命令下，可以看到这个命令

Switch(config-if)#switchport port-security mac-address sticky

Switch(config-if)#switchport port-security maximum2

Switch(config-if)#switchport port-security violation shutdown

这个命令主要提供静态MAC地址安全，而无需在网络中输入每个端口的MAC地址。就像我说的那样------酷！！