端口安全(Port Security)设置简单、快捷,能有效地阻止非法客户端使用网络资源,通常将“静态地址表”和“端口安全”结合,通过这两项设置,可以指定交换机每个端口的电脑,不允许私自将网线更换到其他端口。
端口安全实现——当某个端口启用端口安全后,该端口将不学习新的MAC地址,并且只转发已学习到的MAC地址的数据帧,其他的数据帧将被丢弃。判断条件为:发往交换机的帧,如果其源地址为该端口的MAC地址表成员,则允许转发,否则将被丢弃。当端口安全选择“禁用”时,该端口将恢复自动学习新的MAC地址,转发收到的帧。
端口安全举例——例如:有A、B两台电脑,要求A电脑只能接在交换机1端口,B电脑只能接在2端口,其他电脑不能使用1、2端口。针对这个要求,可以通过静态地址表和端口安全来实现:
1、 将A电脑接交换机的1端口并且将A电脑的MAC地址与端口1加到静态地址表。
2、 将B电脑接交换机的2端口并且将B电脑的MAC地址与端口2加到静态地址表。
3、 交换机1、2端口开启了端口安全功能。
4、 此时若B电脑替换A电脑接在1端口,那么B电脑就不能使用网络资源,若有一台C电脑替换B电脑接
在2端口,那么C电脑同样不能使用网络资源。
端口安全设置——对所举例子设置
1、首先查找A、B电脑对应的MAC地址,可以通过命令“ipconfig /all”查看,若下图,“00-19-66-5C-4A-FF”即为MAC地址。
2、设置静态MAC地址绑定,选择“网络”--“静态MAC地址”,将电脑A、B的MAC地址与对应端口绑定。
3、设置端口安全,将端口1、2所对应的“端口安全”选项由“禁用”改为“启用”,接着选择“提交”。
注意:
1、当某个端口的端口安全启用时,不可以使用这个端口构成Trunk。
2、当某个端口已经设置了动态地址绑定后,不可以手动改变该端口的端口安全状态。