怎样才能阻止非授权用户的主机接入到交换机的端口上呢?更重要的是,怎样才能防止非授权用户讲集线器、交换机或接入点设备插入办公室的Ethernet插座上?默认时,MAC地址只是动态地显示在MAC转发/过滤数据库中,通过使用端口安全,就可以阻止它们。命令如下:
switch#config t
switch(config)#int f0/1
switch(config-if)#switchport port-security ?
aging port-security aging commands
mac-address secure mac address
maximum Max secure addersses
violation security violation mode
<cr>
从上面的输出中大家可以清楚的看到,命令switchport port-security 有4个选项可用。我个人比较喜欢port-security命令,因为它让我可以轻松的控制网络中的用户。大家可以使用switchport port-security mac-address mac-address命令,这样就可以将单个的MAC地址分配到交换机的每个端口中。但是,如果你想这样做,你最好有充足的时间可用!
如果需要对交换机端口进行设置,使得一个端口只能接一台主机,而且当这个规则被违反时就关闭端口,那么可以使用如下命令:
Switch#confit t
Switch(config)#int f0/1
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security violation shutdown
这些命令可能是最受欢迎的了,因为它们可以防止用户在其办公室接入交换机或接入点。Maximum设置为1,意味着在那个端口上只能使用一个MAC地址。如果用户试图在那个网段上添加另一台主机,交换机端口就将被关闭。如果发生了这中情况,就需要手工地的交换机上进行配置,就是使用命令no shutdown来重新启用端口。
我最喜欢的一个命令恐怕就是sticky了,命令sticky不仅能执行很酷的功能,它还有一个很酷的名字!在mac-address命令下,可以看到这个命令
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security maximum2
Switch(config-if)#switchport port-security violation shutdown
这个命令主要提供静态MAC地址安全,而无需在网络中输入每个端口的MAC地址。就像我说的那样------酷!!
