端口安全的核心在于对MAC地址的管理。当一个端口启用端口安全后,该端口将不会学习新的MAC地址,只转发已学习到的MAC地址的数据帧,其他未学习到的数据帧将被丢弃。判断条件是,如果发往交换机的帧其源地址为该端口的MAC地址表成员,则允许转发,否则被丢弃。当端口安全设置为“禁用”时,该端口将恢复自动学习新的MAC地址,转发收到的帧。
为了更好地理解端口安全,以下用一个例子来说明。假设有A、B两台电脑,要求A电脑只能连接到交换机的1端口,B电脑只能连接到2端口,其他电脑不能使用1、2端口。要实现这个要求,可以通过静态地址表和端口安全来设置。
首先,将A电脑连接到交换机的1端口,并将A电脑的MAC地址与端口1加入到静态地址表中。接着,将B电脑连接到交换机的2端口,并将B电脑的MAC地址与端口2加入到静态地址表中。然后,在交换机1、2端口开启端口安全功能。
此时,如果B电脑替换A电脑连接到1端口,B电脑将无法使用网络资源。同样,如果有一台C电脑替换B电脑连接到2端口,C电脑也无法使用网络资源。
在实际操作中,设置端口安全需要进行以下步骤:
1. 查找A、B电脑对应的MAC地址,可以通过命令“ipconfig /all”查看,例如,“00-19-66-5C-4A-FF”即为MAC地址。
2. 设置静态MAC地址绑定,选择“网络”--“静态MAC地址”,将电脑A、B的MAC地址与对应端口绑定。
3. 设置端口安全,将端口1、2所对应的“端口安全”选项由“禁用”改为“启用”,接着选择“提交”。
需要注意的是,当某个端口的端口安全启用时,不可以使用这个端口构成Trunk。另外,当某个端口已经设置了动态地址绑定后,不可以手动改变该端口的端口安全状态。
端口安全设置虽然简单,但它的作用至关重要。通过合理配置端口安全,可以有效地保护网络资源,防止非法接入,提高网络的安全性。
端口安全(Port security)设置简单、快捷,能有效地阻止非法客户端使用网络资源,通常将“静态地址表”和“端口安全”结合,通过这两项设置,可以指定交换机每个端口的电脑,不允许私自将网线更换到其他端口。
端口安全实现——当某个端口启用端口安全后,该端口将不学习新的MAC地址,并且只转发已学习到的MAC地址的数据帧,其他的数据帧将被丢弃。判断条件为:发往交换机的帧,如果其源地址为该端口的MAC地址表成员,则允许转发,否则将被丢弃。当端口安全选择“禁用”时,该端口将恢复自动学习新的MAC地址,转发收到的帧。
端口安全举例——例如:有A、B两台电脑,要求A电脑只能接在交换机1端口,B电脑只能接在2端口,其他电脑不能使用1、2端口。针对这个要求,可以通过静态地址表和端口安全来实现:
1、 将A电脑接交换机的1端口并且将A电脑的MAC地址与端口1加到静态地址表。
2、 将B电脑接交换机的2端口并且将B电脑的MAC地址与端口2加到静态地址表。
3、 交换机1、2端口开启了端口安全功能。
4、 此时若B电脑替换A电脑接在1端口,那么B电脑就不能使用网络资源,若有一台C电脑替换B电脑接
在2端口,那么C电脑同样不能使用网络资源。
端口安全设置——对所举例子设置
1、首先查找A、B电脑对应的MAC地址,可以通过命令“ipconfig /all”查看,若下图,“00-19-66-5C-4A-FF”即为MAC地址。
2、设置静态MAC地址绑定,选择“网络”--“静态MAC地址”,将电脑A、B的MAC地址与对应端口绑定。
3、设置端口安全,将端口1、2所对应的“端口安全”选项由“禁用”改为“启用”,接着选择“提交”。
注意:
1、当某个端口的端口安全启用时,不可以使用这个端口构成Trunk。
2、当某个端口已经设置了动态地址绑定后,不可以手动改变该端口的端口安全状态。
