交換機端口安全總結
最常用的對端口安全的（de）理解（jiě）就是可根據MAC地址來做對網（wǎng）絡流量的控製和管理，比如MAC地址與（yǔ）具體的端口綁定（dìng），限製具體端口通過的MAC地址（zhǐ）的數量，或者在具體的端口不允許某些MAC地址的幀流量通過。稍微引（yǐn）申下端口安全（quán），就是可以根據802.1X來控製網（wǎng）絡的訪問流量。
 

首先談一下MAC地址（zhǐ）與端口（kǒu）綁定，以及根據（jù）MAC地（dì）址允許（xǔ）流量的配置。

1.MAC地址與（yǔ）端口綁（bǎng）定，當發現（xiàn）主機的MAC地址與交換機上（shàng）指（zhǐ）定的MAC地址（zhǐ）不同時 ，交換機相應（yīng）的端口（kǒu）將down掉。當給端口指定（dìng）MAC地址（zhǐ）時，端口（kǒu）模式必須為access或者Trunk狀態。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定（dìng）端口模式。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地（dì）址。
3550-1(config-if)#switchport port-security maximum 1 /限製此（cǐ）端口允許通過的MAC地址數為（wéi）1。
3550-1(config-if)#switchport port-security violation shutdown /當發現與上述配置不符時，端口down掉（diào）。

2.通過MAC地（dì）址來限製端口流量，此配置允許一TRUNK口最多（duō）通過100個MAC地址，超（chāo）過100時，但來自新的主機的數（shù）據幀將丟失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置端口模式（shì）為TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允許此端口通過的最大MAC地址數目為100。
3550-1(config-if)#switchport port-security violation protect /當主（zhǔ）機MAC地址數目超過100時，交換機繼續工作，但來自新的主機的（de）數據幀（zhēn）將丟失。

上麵的配置根據MAC地（dì）址來允許流量，下麵的配置則是根據MAC地址來拒絕流量。
1.此配置在Catalyst交換機中隻能對單播（bō）流量進行過濾（lǜ），對於（yú）多播流量則無效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相（xiàng）應的Vlan丟棄（qì）流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相應的接口丟棄流量。

理解端口安全：
當（dāng）你給（gěi）一個端口配置了（le）最（zuì）大安全mac地址（zhǐ）數量，安全地址（zhǐ）是以一下方式包括在一個地址表中（zhōng）的：
·你可以（yǐ）配置所有的（de）mac地（dì）址使用 switchport port-security mac-address <mac地址>，這個接（jiē）口命令。
·你也可（kě）以允（yǔn）許動態配置（zhì）安全mac地址，使用已連接的設備的mac地址。
·你可以配置一（yī）個地址的數目（mù）且允許保持動態配置。
注意：如果這個端口shutdown了，所有的（de）動（dòng）態學的mac地址都會被移除。
一旦達到配置的最大的mac地址（zhǐ）的數量，地址們就會被存在一個地址表中。設置（zhì）最大mac地（dì）址數量為（wéi）1，並且配置連接到設備的地址確保這個設備獨占這個端口的帶寬。

當以下情（qíng）況發生時（shí）就是一個安全違規：
·最大安全數目mac地址表外的一個（gè）mac地址試圖訪（fǎng）問這（zhè）個端口。
·一個mac地址被配置為其他（tā）的（de）接口的（de）安全mac地址的站點試圖訪問這個端口。

你可以配置（zhì）接口的（de）三種違規模式，這（zhè）三種模式基於違規發生（shēng）後的（de）動作：
·protect-當mac地址的數量達到了這個端口所最大允許的數量，帶有未知的源地址的包（bāo）就會被丟棄，直到（dào）刪除了足夠數量的mac地址，來（lái）降下最（zuì）大數值之（zhī）後才會不（bú）丟棄。
·restrict-一個限製數據和並引（yǐn）起"安全違規"計數（shù）器的增加的端口安全違規動作。
·shutdown-一個導致（zhì）接口馬上shutdown，並且發送SNMP陷阱的端口安全違規動作。當一個安全端口（kǒu）處在error-disable狀態（tài），你要恢複正常必須得（dé）敲入全局下的（de）errdisable recovery cause psecure-violation 命令，或（huò）者你可以手動的shut再no shut端口。這個是端口（kǒu）安全違規的（de）默認動作。

默認（rèn）的端口安全配置：
以（yǐ）下是（shì）端口安全（quán）在接（jiē）口下的配置-
特性（xìng）：port-sercurity 默認設置：關閉的。
特性：最大（dà）安全mac地址數目（mù） 默認設置：1
特性：違規模式 默認配置：shutdown，這端口在最（zuì）大安全mac地址數量達到（dào）的時候會shutdown，並發snmp陷阱。

下麵是配置端口安（ān）全的向導-
·安全端口不能（néng）在動態的access口或者trunk口（kǒu）上做，換言之，敲port-secure之前必須的是switch mode acc之後。
·安全端口不能是一個（gè）被保護的口。
·安全（quán）端口不（bú）能是SPAN的目的地址。
·安（ān）全端口不能屬於GEC或FEC的（de）組。
·安全端口不能屬於802.1x端口。如果你在安（ān）全端口試圖開啟802.1x，就會有報錯信息，而且802.1x也關了。如果你（nǐ）試（shì）圖改變開啟了802.1x的端口為（wéi）安（ān）全端（duān）口，錯誤信息就會出現，安全性設置不會改變。

最後說一下802.1X的相（xiàng）關概念和配置。
802.1X身份驗證協議最初使用於無線網絡，後來才在普通交換機和路由器等網絡設備上使用。它可基於（yú）端口來對用（yòng）戶身份進（jìn）行認（rèn）證，即當（dāng）用戶的數據流量（liàng）企圖（tú）通過配置過802.1X協議的端口時，必須進行身（shēn）份的（de）驗證，合法則允（yǔn）許其訪（fǎng）問網絡。這（zhè）樣的做的好處就是（shì）可（kě）以對內網的（de）用戶進行認證，並且簡化配置，在一定的程度上可以取代Windows 的AD。
配置802.1X身份驗證協議，首先得全局啟用AAA認證，這個（gè）和在網絡邊界上使用AAA認證沒有太多的區別（bié），隻不過認（rèn）證的（de）協（xié）議是802.1X；其次則需要在相應的接（jiē）口上啟用（yòng）802.1X身份驗證。（建議在所有的端口上啟用802.1X身份驗證，並且使用radius服務器來管理用（yòng）戶名和密碼（mǎ））
下麵的配置AAA認證所使用的為本地（dì）的用戶名和密碼。
3550-1#conf t
3550-1(config)#aaa new-model /啟用AAA認證。
3550-1(config)#aaa authentication dot1x default local /全局啟用802.1X協議認證，並使用本地用戶名與密碼。
3550-1(config)#int range f0/1 -24
3550-1(config-if-range)#dot1x port-control auto /在所有的接口上啟用802.1X身份驗證。

後記
通過MAC地址來控製網絡的流量既可以通過上麵的配置來實現，也可以通過訪（fǎng）問控製列表來實現，比（bǐ）如在Cata3550上可通過700-799號（hào）的訪問控製列表（biǎo）可（kě）實現MAC地址過（guò）濾（lǜ）。但是（shì）利用訪問控製列表來（lái）控製流量比較麻煩，似乎用的也比較少，這裏就（jiù）不多介紹了（le）。
通過MAC地址綁定（dìng）雖然在一定程度上可保證內網安全，但效果並不是很好，建議使用802.1X身份驗證協議。在可控性，可管理性上（shàng）802.1X都是不錯的選擇