在多年的IT運維過程中，曾經有多個客戶的網絡發生過聽上去很嚴重、解決起來也很麻煩的故障，但是，歸根結底，其實并不是什么大問題，私接路由器算是其中比較常見的了。

如果在全是傻瓜交換機的網絡環境里，找起來那叫一個費勁，每次找出來之后，那個私接路由器的人必將成為整個單位的千夫所指，我也因此吃到過幾次免費的羊肉火鍋，真可謂禍兮福所倚。

別說是我了，每個同行幾乎都碰到過私接網絡設備引起的網絡故障，有時候討論起來，都是一肚子苦水。

相對路由器而言，私接網絡交換機，一般不會引發網絡故障，但是私自擴展網絡，在很多單位是不被允許的——很容易引發數據外泄。

私接路由器引起的網絡故障，可以用DHCP Snooping技術來防范，前面有文章已經寫到過了；那么用戶私接網絡交換機又該怎么防范呢？DHCP Snooping顯然力不從心的，所以，我們還需要配合其他技術來阻止用戶私自擴展網絡接口。

這就是今天要和大家討論的——端口安全技術。

一、概述

通過在交換機的指定接口上配置端口安全，可以限制接口的MAC地址學習數量，從而防止未經允許的網絡端口擴展行為；

端口安全通過將接口學習到的動態MAC地址轉換為安全MAC地址（包括安全動態MAC，安全靜態MAC和Sticky MAC），阻止非法用戶通過本接口和交換機通信，從而增強網絡的安全性；

概念聽上去有些拗口，其實意思就是說：1、交換機每個接口只允許接入一臺電腦，第二臺以擴展小交換機的方式接入，是無法通訊的，而且會發現警告；2、有時候，員工私自換個位置上網，也可以被禁止；

二、配置

1、需求：圖中3個接口，全部激活端口安全功能；學習到的MAC地址轉換為Sticky MAC；

一旦發現非法接入，發出警告，并且直接斷開接口；

2、分析：發現非法接入后，有3種可選的懲罰措施，分別是：

protect—— 只丟棄源MAC地址不存在的報文，不上報告警，也就是合法設備仍舊正常通信，非法設備無法通信，但是沒有告警信息；

Restrict——華為交換機默認選項，即丟棄源MAC地址不存在的報文并上報告警，說白了，就是合法設備正常通信，非法設備無法通信，而且將有告警信息；

Shutdown——最嚴厲的懲罰，也就是本例的要求，發現非法接入設備，直接關閉端口。

3、命令：

port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/8 //創建端口組，成員端口1-3，命令都是一樣的，所以3個端口弄成一個組，命令打一遍就行了，偷個懶；

port-security enable //開啟端口安全；

port-security max-mac-num 1 //接口學習的安全MAC地址限制數量為1，就是一個接口只允許一個設備的意思；

port-security mac-address sticky //開啟接口Sticky MAC功能；

port-security protect-action shutdown //發現非法接入設備，直接關閉端口，并上報告警。

注意，默認情況下，接口關閉后不會自動恢復，只能由網絡管理人員在接口視圖下使用restart命令進行恢復。

經過以上配置，交換機的每個端口只允許接入一臺設備（電腦或者網絡打印機等），如果誰敢私自接入網絡交換機，把網絡分享給別人，那么馬上就連他自己都無法上網，只能求IT重開端口，這樣應該對某些人有一定的威懾力了吧，莫名其妙的、人為的網絡故障，應該能夠排除和避免了。