企业内网安全必备:Cisco交换机端口安全(Port Security)配置超详细实战教程

张开发
2026/4/15 14:20:13 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

企业内网安全必备:Cisco交换机端口安全(Port Security)配置超详细实战教程
企业内网安全必备Cisco交换机端口安全Port Security配置超详细实战教程前言一、端口安全是什么作用是什么1.1 定义1.2 核心作用1.3 三种违规处理模式必懂二、端口安全工作流程图三、配置前提条件四、Cisco交换机端口安全完整配置步骤序号化实战实验环境步骤1进入特权模式 全局配置模式步骤2进入要配置的接口步骤3将端口设为 Access 模式必须步骤4开启端口安全功能步骤5限制最大接入设备数推荐 1步骤6启用粘性MAC自动学习永久保存【最常用】步骤7配置违规处理模式三选一步骤8开启接口并保存配置五、完整可复制命令一键配置六、端口安全验证命令必须掌握1. 查看端口安全状态2. 查看所有安全端口摘要3. 查看粘性MAC地址七、常见故障端口被err-disable 如何恢复方法1手动重启端口方法2自动恢复推荐八、典型应用场景场景1办公区工位场景2会议室/公共区域场景3服务器区场景4等保合规要求九、总结关键点回顾The Begin点点关注收藏不迷路前言在企业办公网络中私接随身路由器、非法电脑接入、ARP攻击是内网最常见的安全隐患。Cisco交换机的端口安全Port Security功能可以从源头解决这些问题——限制端口允许接入的设备MAC地址数量、绑定合法MAC、违规自动断网是等保合规、内网加固的必配技能。本文以Cisco Catalyst交换机为例用流程图序号化步骤可直接复制命令排错从零教会你配置端口安全全网最通俗易懂、直接落地可用。一、端口安全是什么作用是什么1.1 定义端口安全是Cisco交换机的二层安全功能用于控制某个端口下允许接入的设备MAC地址数量、合法MAC地址防止非法设备接入内网。1.2 核心作用限制端口接入设备数量防止私接路由器一拖多绑定合法设备MAC仅允许公司电脑接入违规自动触发保护告警/丢弃/关闭端口防止MAC泛洪攻击、ARP欺骗企业内网安全加固、等保要求1.3 三种违规处理模式必懂Protect保护丢弃非法流量不告警、不关闭端口Restrict限制丢弃非法流量** 发送SNMP告警**Shutdown关闭【默认】直接err-disable关闭端口最严格二、端口安全工作流程图合法非法/超量交换机端口开启安全功能学习/绑定合法MAC设备接入端口MAC是否合法/是否超数量正常通信触发违规动作Protect丢弃Restrict丢弃告警Shutdown关闭端口三、配置前提条件配置端口安全前端口必须满足以下条件端口必须是Access 口Trunk 不建议配置端口不能是以太通道、SPAN、动态端口先配置switchport mode access四、Cisco交换机端口安全完整配置步骤序号化实战实验环境交换机端口FastEthernet0/1 或 GigabitEthernet0/1需求仅允许1台设备接入自动学习MAC并固化粘性MAC违规动作Shutdown关闭端口步骤1进入特权模式 全局配置模式enableconfigure terminal步骤2进入要配置的接口interface GigabitEthernet0/1步骤3将端口设为 Access 模式必须switchport mode access步骤4开启端口安全功能switchport port-security步骤5限制最大接入设备数推荐 1switchport port-security maximum1步骤6启用粘性MAC自动学习永久保存【最常用】switchport port-security mac-address sticky步骤7配置违规处理模式三选一switchport port-security violationshutdown可选protect/restrict/shutdown步骤8开启接口并保存配置noshutdownexitwrite五、完整可复制命令一键配置conf t interface g0/1 switchport mode access switchport port-security switchport port-security maximum1switchport port-security mac-address sticky switchport port-security violationshutdownnoshutdownexitwrite六、端口安全验证命令必须掌握1. 查看端口安全状态show port-security interface GigabitEthernet0/1查看安全是否开启、最大MAC、违规计数、违规模式。2. 查看所有安全端口摘要show port-security3. 查看粘性MAC地址show mac address-table secure或show running-config|include sticky七、常见故障端口被err-disable 如何恢复如果触发了shutdown模式端口会变成err-disable状态需手动恢复方法1手动重启端口interface g0/1shutdownnoshutdown方法2自动恢复推荐conf t errdisable recovery cause psecure-violation errdisable recovery interval30表示30秒后自动恢复端口。八、典型应用场景场景1办公区工位每个端口仅允许1台办公电脑禁止私接路由器、手机、私人笔记本。场景2会议室/公共区域限制接入数量防止非法设备窃取内网数据。场景3服务器区静态绑定服务器MAC防止非法替换、ARP攻击。场景4等保合规要求必须开启端口安全防止非法接入。九、总结端口安全 交换机门禁系统必须配置Access 模式 开启安全 最大数量 粘性MAC违规模式Shutdown最严格、Restrict告警、Protect静默核心命令switchport port-securitysticky用途防私接、防非法接入、内网安全、等保合规关键点回顾端口必须是Access 模式sticky自动学习MAC并永久保存最大接入数建议设为1查看命令show port-security interface x恢复err-disableshutdown/no shutdownThe End点点关注收藏不迷路

更多文章