在 Cisco IOS 交换机上配置端口安全

概述 ：
交换机是一种网络设备，用于连接和维护各种设备之间的通信通道。以太网端口存在于交换机上，用于连接网络中的路由器、计算机系统和笔记本电脑等设备。为了连接所有这些网络，使用以太网电缆。交换机使用这些连接设备的 MAC 地址来识别它们并为它们提供请求的服务。保护这些端口是一项至关重要的任务，这样只有授权用户才能通过交换机将他们的系统连接到网络中。在组织网络中配置任何交换机之前，都要考虑端口安全性，因为它可以确保在网络中连接真实且授权的用户。 Cisco IOS 交换机的此安全功能只能在接入端口上配置，默认情况下，此功能处于禁用状态。

在 Cisco 交换机上启用端口安全：
下面提供的步骤和命令可用于在 Cisco 交换机上启用端口安全，以确保维护数据的机密性、真实性和完整性。

配置-1：
端口安全配置 –

第1步 ：
首先，访问 Cisco 交换机的命令行接口，并使用“interface Gigabit Ethernet 0/1”命令连接端口 Gigabit Ethernet 0/1。然后，执行“switchport mode access”和“switchport port-security”命令，分别将端口模式更改为访问和启用安全性。每当连接任何其他端口并且需要在其上启用端口安全性时，都必须执行这些命令。

第2步 ：
默认情况下，Cisco 交换机在单个端口上只允许 1 个 MAC 地址，如果任何其他设备尝试使用该端口进行连接，交换机会自动关闭其端口以限制未经授权的访问。要增加单个端口上的用户数，请执行“switchport port-security maximum 5”命令。这样，现在五个设备可以连接到一个端口并执行它们的功能。

第 3 步：
Cisco IOS 交换机提供了一种安全功能，称为违规。此功能用于定义每当违反端口安全性时交换机将执行的操作。可以使用三种主要的预定义模式，即保护、限制和关闭。

1. 保护模式 –
   在此模式下，来自定义的 MAC 地址的数据包仅在网络内传输。
   
2. 限制模式 –
   当启用此模式并违反端口安全性时，将阻止所有数据传输并丢弃数据包。此外，还会同时生成日志，以检查哪个设备与 Cisco 交换机连接。
   
3. 关机模式 –
   此模式默认启用，端口状态更改为错误禁用，这会限制连接的设备执行任何函数并禁用该特定端口。

预定义安全违规模式的配置

配置-2：
MAC 地址端口安全 –

第1步 ：
要只允许具有定义 MAC 地址的设备与 Cisco 交换机连接，可以使用“ switchport port-security mac-address mac_address_of_device”命令。成功执行该命令后，具有指定 MAC 地址的设备将仅被交换机授权通过可用的以太网端口连接。

第2步 ：
mac 地址命令的另一种模式称为粘性。启用此模式以允许交换机学习新的 MAC 地址并将其存储在内存中。连接设备的 MAC 地址由交换机自动收集和存储。

配置-3：
检查端口安全配置 -

第1步 ：
要检查和分析交换机上的端口安全配置，用户需要进入命令行界面的权限模式。 'show port-security address' 命令用来检查当前端口的安全状态。

检查端口安全状态的命令

第2步 ：
如果用户想要检查交换机上可用的特定接口的端口安全性，则可以使用“show port-security interface interface_name”命令。

第 3 步：
在这种情况下，GigabitEthernet 接口上的安全性已配置，执行命令如下所示，以供参考。

特定端口的端口安全状态