交換機網路安全探針

㈠ 交換機埠安全主要有那兩種方式埠地址綁定可以預防哪些內網的網路攻擊

防止區域網ARP攻擊。

限制交換機埠的最大連接數 ,控制網路的惡意擴展和接入，埠的安全地址綁定, 解決區域網中IP地址沖突、ARP欺騙等問題。

VLAN具備一個物理網段所具備的特性。相同的VLAN內的主機可以相互直接訪問，不同的VLAN間的主機之間互相訪問必須經由路由設備進行轉發，廣播包只可以在本VLAN內進行傳播，不能傳輸到其他VLAN中。

(1)交換機網路安全探針擴展閱讀：

注意事項：

應該做好外部電源的供應工作，一般通過引入獨立的電力線來提供獨立的電源，並添加穩壓器來避免瞬間高壓或低壓現象。

如果條件允許，可以添加UPS(不間斷電源)來保證交換機的正常供電，有的UPS提供穩壓功能，而有的沒有，選擇時要注意。

在機房內設置專業的避雷措施，來避免雷電對交換機的傷害。現在有很多做避雷工程的專業公司，實施網路布線時可以考慮。

㈡ 網管軟體，哪個比較好用

不同的側重點，可以選擇不同的軟體。
如果側重監視網路活動，NetFlow Analyzer是專門用於幫助用戶了解流量構成、協議分布和用戶活動的軟體。與傳統基於SNMP、網路探針、實時抓包分析方法不同，它利用Flow技術來收集網路中有關流量的重要信息。集流量收集、分析、報告於一體，回答誰(Who)在什麼時間(When)、什麼地方(Where)、執行什麼行為(What)等最關心的問題。為全面了解企業的網路活動，合理有效分配和規劃網路帶寬提供科學的依據，從而保證企業的關鍵業務應用暢通運行。
如果側重網路設備配置，Network Configuration Manager是一個全面的網路設備配置變更與合規性管理解決方案，可對交換機、路由器、防火牆等網路設備的配置進行統一集中的管理。支持批量配置海量設備，自動備份配置文件，實時跟蹤配置變更，快速恢復正確配置。避免由錯誤配置引起的網路故障，防止未授權的配置變更，自動化執行配置管理任務，從而提高網路管理的效率，有效降低人力成本。
如果側重安全監控，Firewall Analyzer是一個安全日誌監控與審計平台，能夠實時將企業網路安全設施(如防火牆、代理伺服器、入侵檢測/防禦系統和VPN等)在運行過程中產生的安全日誌和事件以及配置日誌匯集到審計中心，進行全網綜合安全分析。幫助安全管理人員快速識別病毒攻擊、異常流量以及用戶非法行為等重要的安全信息，從而運用合理的安全策略，保證網路的安全。
如果以上需求都有，OpManager是在以上網管產品的基礎上，整合而成的一體化網路管理軟體，提供網路性能監控、物理和虛擬伺服器監控、網路流量分析、設備配置管理、IP地址與交換機埠管理、防火牆日誌分析等功能，滿足企業IT基礎架構的智能統一管理。

㈢ 關於思科交換機路由器的網路安全報告

我可以提示您從三個方面寫
1：從硬體放置位置是否安全。
2：查看內存，CPU資源使情況，如過高可以能受到干擾要去檢查是否受到功擊
3：制定一個安全管理方案

㈣ 路由器 交換機上怎樣實施安全策略

路由器安全策略示例：

1. 路由器上不得配置用戶賬戶。

2. 路由器上的enable password命令必須以一種安全的加密形式保存。

3. 禁止IP的直接廣播。

4. 路由器應當阻止源地址為非法地址的數據包。

5. 在本單位的業務需要增長時，添加相應的訪問規則。

6. 路由器應當放置在安全的位置，對其物理訪問僅限於所授權的個人。

7. 每一台路由器都必須清楚地標識下面的聲明：

「注意：禁止對該網路設備的非授權訪問。您必須在獲得明確許可的情況下才能訪問或配置該設備。在此設備上執行的所有活動必須加以記錄，對該策略的違反將受到紀律處分，並有可能被訴諸於法律。」

每一台網路交換機必須滿足以下的配置標准：

1. 交換機上不得配置用戶賬戶。

2. 交換機上的enable password命令必須以一種安全的加密形式保存。

3. 如果交換機的MAC水平的地址能夠鎖定，就應當啟用此功能。

4. 如果在一個埠上出現新的或未注冊的MAC地址，就應當禁用此埠。

5. 如果斷開鏈接後又重新建立鏈接，就應當生成一個SNMP trap.

6. 交換機應當放置在安全的位置，對其物理訪問僅限於所授權的個人。

7. 交換機應當禁用任何Web 伺服器軟體，如果需要這種軟體來維護交換機的話，應當啟動伺服器來配置交換機，然後再禁用它。對管理員功能的所有訪問控制都應當啟用。

8. 每一台交換機都必須清楚地標識下面的聲明：

「注意：禁止對該網路設備的非授權訪問。您必須在獲得明確許可的情況下才能訪問或配置該設備。在此設備上執行的所有活動必須加以記錄，對該策略的違反將受到紀律處分，並有可能被訴諸於法律。」這些安全要求未必適合你單位的情況，僅供參考。

㈤ 交換機埠安全的作用

交換機埠有在交換機上做mac地址綁定、埠+mac+ip綁定，是為了防止arp攻擊、dhcp攻擊。。acl有基於ip的基於mac的訪問限制。基於MAC地址限制、允許客戶端流量;避免MAC地址擴散攻擊;避免MAC地址欺騙攻擊（主機使用虛假MAC地址發送非法數據）。

埠安全功能適用於用戶希望控制埠下接入用戶的IP和MAC必須是管理員指定的合法用戶才能使用網路，或者希望使用者能夠在固定埠下上網而不能隨意移動，變換IP/MAC或者埠號，或控制埠下的用戶MAC數。

防止MAC地址耗盡攻擊（病毒發送持續變化的構造出來的MAC地址，導致交換機短時間內學習了大量無用的MAC地址，8K/16K地址表滿掉後無法學習合法用戶的MAC，導致通信異常）的場景。

(5)交換機網路安全探針擴展閱讀：

當使用1X認證配合我司SU/SA客戶端的場景中，可以使用授權綁定或DHCP Snooping+IP Source Guard組合更智能的方式實現安全控制。埠安全可以配合ARP-Check可以實現靜態IP環境下的防範ARP欺騙，可以參考靜態IP環境防ARP欺騙

埠安全：埠安全功能通過定義報文的源MAC地址來限定報文是否可以進入交換機的埠，你可以靜態設置特定的MAC地址或者限定動態學習的MAC地址的個數來控制報文是否可以進入埠，使能埠安全功能的埠稱為安全埠。

只有源MAC地址為埠安全地址表中配置或者學習到的MAC地址的報文才可以進入交換機通信，其他報文將被丟棄。

㈥ 網線怎麼做交換機連HUB，HUB連PC

雙絞線的種類與選擇：

雙絞線（Twisted-Pair Cable；TP）

區域網中的雙絞線可分為非屏蔽雙絞線（Unshielded Twisted Pair，簡稱UTP）和屏蔽雙絞線（Shielded Twisted Pair，簡稱STP）兩大類。

STP外面有一層金屬材料包裹。使用金屬屏蔽層來降低外界的電磁干擾(EMI)，當屏蔽層被正確地接地後，可將接收到的電磁干擾信號變成的電流信號，與在雙絞線形成的干擾信號電流反向。只要兩個電流是對稱的，它們就可抵消，而不給接收端帶來雜訊。可是，屏蔽層不連續或者屏蔽層電流不對稱時，就會降低甚至完全失去屏蔽效果而導致雜訊。STP線纜只有當完全的端對端鏈路均完全屏蔽及正確接地後，才能防止電磁輻射及干擾。要使雜訊減小到最小，提高信噪比，這種抗干擾、防輻射的能力，就是所謂的電磁兼容性(EMC)。STP可以減小輻射，防止信息被竊聽，同時具有較高的數據傳輸率，但價格相對要貴，安裝也比較復雜。

UTP外面則只有一層絕緣膠皮包裹，這種網線在塑料絕緣外皮裡麵包裹著八根信號線，它們每兩根為一對相互纏繞，形成總共四對，雙絞線也因此得名。雙絞線這樣互相纏繞的目的就是利用銅線中電流產生的電磁場互相作用抵消鄰近線路的干擾並減少來自外界的干擾。每對線在每英寸長度上相互纏繞的次數決定了抗干擾的能力和通訊的質量，纏繞得越緊密其通訊質量越高，就可以支持更高的網路數據傳送速率，當然它的成本也就越高。國際電工委員會和國際電信委員會EIA/TIA�Electronic Instry Association/Telecommunication Instry Association已經建立了UTP網線的國際標准並根據使用的領域分為5個類別(Categories或者簡稱CAT)，每種類別的網線生產廠家都會在其絕緣外皮上標注其種類，例如CAT-5或者Categories-5。總之UTP價格相對便宜，組網方便。

雙絞線按電氣性能劃分的話，通常分為：三類、四類、五類、超五類、六類雙絞線等類型，數字越大，版本越新、技術越先進、帶寬也越寬，當然價格也越貴了。
三類、四類線目前在市場上幾乎沒有了，如果有，也不是以三類或四類線出現，而是假以五類，甚至超五類線出售，這是目前假五類線最多的一種。
目前在一般區域網中常見的是五類、超五類或者六類非屏蔽雙絞線，

下圖所示的左圖為一段非屏蔽超五類雙線示意圖，而右圖為一段屏蔽的雙絞線。可以從圖中看出，屏蔽的五類雙絞線外麵包有一層屏蔽用的金屬膜，它的抗干擾性能好些，但應用的條件比較苛刻，不是用了屏蔽的雙絞線，在抗干擾方面就一定強於非屏蔽雙絞線。屏蔽雙絞線的屏蔽作用只在整個電纜均有屏蔽裝置，並且兩端正確接地的情況下才起作用。所以，要求整個系統全部是屏蔽器件，包括電纜、插座、水晶頭和配線架等，同時建築物需要有良好的地線系統。事實上，在實際施工時，很難全部完美接地，從而使屏蔽層本身成為最大的干擾源，導致性能甚至遠不如非屏蔽雙絞線UTP。所以，除了在某些特殊或輻射比較嚴重的場合，我們一般都是用UTP。

雙絞線的品牌和RJ-45水晶頭

雙絞線作為一種價格低廉、性能優良的傳輸介質，在綜合布線系統中被廣泛應用於水平布線。雙絞線價格低廉、連接可靠、維護簡單，可提供高達1000Mbps的傳輸帶寬，不僅可用於數據傳輸，而且還可以用於語音和多媒體傳輸。目前的超五類和六類非屏蔽雙絞線可以輕松提供155Mbps的通信帶寬，並擁有升級至千兆的帶寬潛力，因此，成為當今水平布線的首選線纜。

在六類雙絞線產品家族中，主要的品牌有如下幾個：
1 安普（AMP）
2 西蒙（Siemon）
3 朗訊（Lucent）
4 麗特（NORDX/CDT）
5 IBM 的ACS銀系列

RJ-45水晶頭：

之所把它稱之為「水晶頭」，估計是因為它的外表晶瑩透亮的原因而得名的吧。
雙絞線的兩端必須都安裝RJ-45插頭，以便插在網卡、集線器（Hub）或交換機（Switch）RJ-45介面上。
水晶頭也有幾種檔次之分，一般比較好的也是如AMP這樣的名牌大廠的質量好些。價格嘛，很便宜，約為1.5元一個。不過在選購時千萬別貪圖便宜，否則質量得不到保證，主要體現在：
1 它的接觸探針是鍍銅的，容易生銹，造成接觸不良，網路不通。
2 質量差的還有一點明顯表現為塑料扣位不緊（通常是變形所致），也很容易造成接觸不良，網路中斷。

如圖所示的左圖是單個的水晶頭圖示，右圖為一段做好網線的水晶頭。
水晶頭雖小，但在網路的重要性一點都不能小看，在許多網路故障中就有相當一部分是因為水晶頭質量不好而造成的。

製作工具

在雙絞網線製作中，最簡單的方法就只需一把網線壓線鉗即可。它可以完成剪線、剝線和壓線三種用途。在購買網線鉗時一定要注意選對種類，因為網線鉗針對不同的線材會有不同的規格，一定要選用雙絞線專用的壓線鉗才可用來製作雙絞乙太網線。

直通線與交叉線的區別

正線，即直通線 ，（標准568B）：兩端線序一樣，從左至右線序是：白橙，橙，白綠，藍，白藍，綠，白棕，棕。

反線，即交叉線 ，（標准568A）：一端為正線的線序，另一端為從左至右：白綠，綠，白橙，藍，白藍，橙，白棕，棕。

以下是各種設備的連接情況下，正線和反線的正確選擇。其中HUB代表集線器，SWITCH代表交換機，ROUTER代表路由器：

PC-PC:反線

PC-HUB:正線

HUB-HUB普通口:反線

HUB-HUB級連口-級連口：反線

HUB-HUB普通口-級連口：正線

HUB-SWITCH:反線

HUB(級聯口）-SWITCH:正線
SWITCH-SWITCH:反線

SWITCH-ROUTER:正線

ROUTER-ROUTER:反線

100BaseT連接雙絞線，以100Mb/S的EIA/TIA 568B作為標准規格。

另外補充一下：
個人發現使用千兆網卡的情況下（以IBM T4x，R5x機器為例），千兆網卡可以自動識別正線和反線，繼而不需要專門製作正線而直接使用反線和其他筆記本或者台式機實現雙機直聯的操作。

雙絞線製作步驟

步驟 1：
利用斜口錯剪下所需要的雙絞線長度，至少 0.6米，最多不超過 100米。然後再利用雙絞線剝線器（實際用什麼剪都可以）將雙絞線的外皮除去2－3厘米。 有一些雙絞線電纜上含有一條柔軟的尼龍繩，如果您在剝除雙絞線的外皮時，覺得裸露出的部分太短，而不利於製作RJ－45接頭時，可以緊握雙絞線外皮，再捏住尼龍線往外皮的下方剝開，就可以得到較長的裸露線。

步驟2：
剝線完成後的雙絞線電纜如圖所示。

步驟3：
接下來就要進行撥線的操作。將裸露的雙絞線中的橙色對線撥向自己的前方，棕色對線撥向自己的方向，綠色對線剝向左方，藍色對線剝向右方。 上：橙 左：綠 下：棕 右：藍

步驟4：
將綠色對線與藍色對線放在中間位置，而橙色對線與棕色對線保持不動， 即放在靠外的位置。 左一：橙 左二：綠 左三：藍 左四：棕

步驟5：
小心的剝開每一對線，線對顏色是有一定順序的。

（需要特別注意的是，綠色條線應該跨越藍色對線。這里最容易犯錯的地方就是將白綠線與綠線相鄰放在一起，這樣 會造成串擾，使傳輸效率降低。 左起：白橙／橙／白綠／藍／白藍／綠／白棕／棕 常見的錯誤接法是將綠色線放到第4隻腳的位置。
應該將綠色線放在第6隻腳的位置才是正確的，因為在100BaseT網路中，第3隻腳與第6隻腳是同一對的，所以需要使用同一對殘。 左起：白橙／橙／白綠／綠／白藍／藍／白棕／棕）

步驟 6：
將裸露出的雙絞線用剪刀或斜口鉗剪下只剩約 14mm的長度，之所以留下這個長度是為了符合EIA／TIA的標准。最後再將雙絞線的每一根線依序放入RJ－45接頭的引腳內，第一隻引腳內應該放白橙色的線，其餘類推。

步驟7：
確定雙絞線的每根線已經正確放置之後，就可以用RJ－45壓線鉗壓接RJ－45接頭。市面上還有一種RJ－45接頭的保護套，可以防止接頭在拉扯時造成接觸不良。使用這種保護套時，需要在壓接RJ－45接頭之前就將這種膠套插在雙絞線電纜上。

步驟8：
重復步驟2到步驟7，再製作另一端的RJ－45接頭。因為工作站與集線器之間是直接對接，所以另一端RJ－45接頭的引腳接法完全一樣。完成後的連接線兩端的RJ－45接頭無論引腳和顏色都完全～樣，這種連接方法適用於ADSL MODEM和計算機網卡之間的連接，計算機與集線器（交換機）之間的連接。完成的RJ45接頭應該如下圖所示。

交叉網線製作和千兆網線製作

交叉網線用於ADSL MODEM和集線器HUB的連接（與MODEM設計有關系，並非全部如此），HUB與HUB之間不通過級連口的連接，以及兩台計算機直接通過網卡相互連接。製作方法和上面基本相同，只是在線序上不像568B，採用了1-3,2-6交換的方式，也就是一頭使用568B製作，另外一頭使用568A製作。

千兆5類或超5類雙絞線的形式與百兆網線的形式相同，也分為直通和交叉兩種。

直通網線與我們平時所使用的沒有什麼區別，都是一一對應的。
但是傳統的百兆網路只用到4 根線纜來傳輸，而千兆網路要用到8 根來傳輸，所以千兆交叉網線的製作與百兆不同，製作方法如下：
1對3，2對6，3對1，4對7，5對8，6對2，7對4，8對5。

真假UTP的識別方法

確定雙絞線的類型

雙絞線電纜中的導線是成對出現的，每2條為一對，並且相互扭繞。根據美國線纜規格(AWG)規定：雙絞線中的導線全部應為4對，共8根。但是10M乙太網標准規定只使用2對導線傳輸信號，所以3類雙絞線中有些是2對的，而有些則是4對的。

快速乙太網的出現，一方面將原來10M網路的速度從理論上提高了10倍，另一方面為將來更快速度的網路（千兆位乙太網，傳輸速度為1000Mbps）作好准備，同時傳輸速度為100Mbps的5類雙絞線也投入使用。雖然快速乙太網只使用其中的2對，但千兆位乙太網必須要用到全部的4對。建議大家多看看網線上的標注，如標有「CAT 3」的字樣則一般為3類線，當標有「CAT 5」的字樣時說明為5類雙絞線。

1 實際測試其速度

現在組建的網路一般都採用5類以上的雙絞線，3類雙絞線已屬於淘汰產品。但是，一些雙絞線生產廠商在5類雙絞線標准推出後，便將原來用於3類線的導線封裝在印有5類雙絞線字樣的電纜中出售。當你使用了這類假5類線後，網路的實際通信速度只能在很短的距離內達到5類雙絞線所規定的100Mbps。

這種造假非常隱蔽，一般用戶很難發現。這時，建議大家先購買一段，利用Windows 95/98中的「系統監視器」或Windows NT Server4.0等系統中的「網路監視器」親自測試一下。如果測試速度達到了100Mbps，則表明是5類雙絞線，若只有10Mbps，說明電纜中使用的是3類線的導線。

這種方法不僅能夠正確區別3類線和5類線，而且可以用於測試雙絞線電纜中每一對導線的扭繞度是否符合標准，同時還可以測出導線中的金屬介質是否合格。請注意：在進行網路速度測試時，雙絞線的長度應為100米的標准長度，否則測出的數據沒有任何實用意義。

2 目測外觀

並不是所有的網路布線都集中在裝有空調的辦公室中，所以網線必須具有一定的耐熱、抗拉和易彎曲等性能。

一、真的具有較高的耐溫性，可以將雙絞線放在高溫環境中測試一下，真的雙絞線在周圍溫度達到攝氏35℃至40℃時外面的一層膠皮不會變軟，而假的卻會。

二、為了保證連接的安全，真的雙絞線電纜外包的膠皮具有較強的抗拉性，而假的卻沒有。

三、雙絞線電纜中一般使用金屬銅，而一些廠商在生產時為了降低成本，在銅中添加了其他的金屬元素，其直觀表現是摻假後的導線比正常的明顯要硬，不易彎曲，使用中容易產生斷線。

四、真的雙絞線外面的膠皮還具有抗燃性，而假的則使用普通的易燃材料製成，購買時可親自試試。

五、當需要使用屏蔽雙絞線時，應注意屏蔽雙絞線與我們常用的非屏蔽雙絞線有很大的區別。與非屏蔽雙絞線相比，在屏蔽雙絞線的導線與外部膠皮之間多出了一層金屬網和一層薄薄的絕緣材料，並且對應的水晶頭的外面用金屬包裹

在組建區域網的過程中，人們往往會不惜重金去購買高檔網卡、交換機、路由器，而忽略了這「不起眼」的網線質量。
其實網線的質量對區域網的傳輸性能影響最直接，因此對網線進行測試是選購網線以及製作過程中的一個很重要的環節。

㈦ 交換機埠安全主要功能是什麼

交換機埠安全主要功能是通過定義各種埠安全模式。

支持每個埠在不同網段之間進行遷移。這種交換技術是基於OSI第一層上完成的，具有靈活性和負載平衡能力等優點。如果配置得當，那麼還可以在一定程度進行容錯，但沒有改變共享傳輸介質的特點，自而未能稱之為真正的交換。

集線器的背板通常劃分有多條乙太網段（每條網段為一個廣播域），不用網橋或路由連接，網路之間是互不相通的。以太主模塊插入後通常被分配到某個背板的網段上，埠交換用於將以太模塊的埠在背板的多個網段之間進行分配、平衡。

(7)交換機網路安全探針擴展閱讀：

通過交換的方式進行的數據傳輸，其實就是交換機的數據傳送的方式。之前的集線器，更多是利用共享的方式，來對數據進行傳輸，沒有辦法從通訊的速度上進行要求。集線器的共享方式，也就是常說的共享式網路，以集線器作為連接設備並且只有一個方向的數據流，因而網路共享的效率非常低。

相對而言，交換機能夠對連接到自身的各台電腦進行相應的識別，通過每台電腦網卡的物理地址也就是常說的MAC地址，來進行記憶和識別。

在這樣的前提之下，就不用再進行廣播尋找，而能夠直接將記憶的MAC地址找到相應的地點並且通過一個臨時性專用的數據傳輸通道，來完成兩個節點之間不受外來干擾的數據傳輸的通信。

由於交換機還具有全雙工傳輸的方式，所以也可以對於多對節點間通過同時建立臨時的專用通道，來形成一個立體且交叉的數據傳輸通道結構。

㈧ 交換機埠安全問題有哪些

交換機埠安全總結

最常用的對埠安全的理解就是可根據MAC地址來做對網路流量的控制和管理，比如MAC地址與具體的埠綁定，限制具體埠通過的MAC地址的數量，或者在具體的埠不允許某些MAC地址的幀流量通過。稍微引申下埠安全，就是可以根據802.1X來控制網路的訪問流量。

首先談一下MAC地址與埠綁定，以及根據MAC地址允許流量的配置。

1.MAC地址與埠綁定，當發現主機的MAC地址與交換機上指定的MAC地址不同時 ，交換機相應的埠將down掉。當給埠指定MAC地址時，埠模式必須為access或者Trunk狀態。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport mode access /指定埠模式。

3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。

3550-1(config-if)#switchport port-security maximum 1 /限制此埠允許通過的MAC地址數為1。

3550-1(config-if)#switchport port-security violation shutdown /當發現與上述配置不符時，埠down掉。

2.通過MAC地址來限制埠流量，此配置允許一TRUNK口最多通過100個MAC地址，超過100時，但來自新的主機的數據幀將丟失。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport trunk encapsulation dot1q

3550-1(config-if)#switchport mode trunk /配置埠模式為TRUNK。

3550-1(config-if)#switchport port-security maximum 100 /允許此埠通過的最大MAC地址數目為100。

3550-1(config-if)#switchport port-security violation protect /當主機MAC地址數目超過100時，交換機繼續工作，但來自新的主機的數據幀將丟失。

上面的配置根據MAC地址來允許流量，下面的配置則是根據MAC地址來拒絕流量。

1.此配置在Catalyst交換機中只能對單播流量進行過濾，對於多播流量則無效。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相應的Vlan丟棄流量。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相應的介面丟棄流量。

理解埠安全：

當你給一個埠配置了最大安全mac地址數量，安全地址是以一下方式包括在一個地址表中的：

·你可以配置所有的mac地址使用 switchport port-security mac-address

·你也可以允許動態配置安全mac地址，使用已連接的設備的mac地址。

·你可以配置一個地址的數目且允許保持動態配置。

注意：如果這個埠shutdown了，所有的動態學的mac地址都會被移除。

一旦達到配置的最大的mac地址的數量，地址們就會被存在一個地址表中。設置最大mac地址數量為1，並且配置連接到設備的地址確保這個設備獨占這個埠的帶寬。

當以下情況發生時就是一個安全違規：

·最大安全數目mac地址表外的一個mac地址試圖訪問這個埠。

·一個mac地址被配置為其他的介面的安全mac地址的站點試圖訪問這個埠。

你可以配置介面的三種違規模式，這三種模式基於違規發生後的動作：

·protect-當mac地址的數量達到了這個埠所最大允許的數量，帶有未知的源地址的包就會被丟棄，直到刪除了足夠數量的mac地址，來降下最大數值之後才會不丟棄。

·restrict-一個限制數據和並引起"安全違規"計數器的增加的埠安全違規動作。

·shutdown-一個導致介面馬上shutdown，並且發送SNMP陷阱的埠安全違規動作。當一個安全埠處在error-disable狀態，你要恢復正常必須得敲入全局下的errdisable recovery cause psecure-violation 命令，或者你可以手動的shut再no shut埠。這個是埠安全違規的默認動作。

默認的埠安全配置：

以下是埠安全在介面下的配置-

特性：port-sercurity 默認設置：關閉的。

特性：最大安全mac地址數目 默認設置：1

特性：違規模式 默認配置：shutdown，這埠在最大安全mac地址數量達到的時候會shutdown，並發snmp陷阱。

下面是配置埠安全的向導-

·安全埠不能在動態的access口或者trunk口上做，換言之，敲port-secure之前必須的是switch mode acc之後。

·安全埠不能是一個被保護的口。

·安全埠不能是SPAN的目的地址。

·安全埠不能屬於GEC或FEC的組。

·安全埠不能屬於802.1x埠。如果你在安全埠試圖開啟802.1x，就會有報錯信息，而且802.1x也關了。如果你試圖改變開啟了802.1x的埠為安全埠，錯誤信息就會出現，安全性設置不會改變。

最後說一下802.1X的相關概念和配置。

802.1X身份驗證協議最初使用於無線網路，後來才在普通交換機和路由器等網路設備上使用。它可基於埠來對用戶身份進行認證，即當用戶的數據流量企圖通過配置過802.1X協議的埠時，必須進行身份的驗證，合法則允許其訪問網路。這樣的做的好處就是可以對內網的用戶進行認證，並且簡化配置，在一定的程度上可以取代Windows 的AD。

配置802.1X身份驗證協議，首先得全局啟用AAA認證，這個和在網路邊界上使用AAA認證沒有太多的區別，只不過認證的協議是802.1X;其次則需要在相應的介面上啟用802.1X身份驗證。(建議在所有的埠上啟用802.1X身份驗證，並且使用radius伺服器來管理用戶名和密碼)

下面的配置AAA認證所使用的為本地的用戶名和密碼。

3550-1#conf t

3550-1(config)#aaa new-model /啟用AAA認證。

3550-1(config)#aaa authentication dot1x default local /全局啟用802.1X協議認證，並使用本地用戶名與密碼。

3550-1(config)#int range f0/1 -24

3550-1(config-if-range)#dot1x port-control auto /在所有的介面上啟用802.1X身份驗證。

後記

通過MAC地址來控制網路的流量既可以通過上面的配置來實現，也可以通過訪問控制列表來實現，比如在Cata3550上可通過700-799號的訪問控制列表可實現MAC地址過濾。但是利用訪問控制列表來控制流量比較麻煩，似乎用的也比較少，這里就不多介紹了。

通過MAC地址綁定雖然在一定程度上可保證內網安全，但效果並不是很好，建議使用802.1X身份驗證協議。在可控性，可管理性上802.1X都是不錯的選擇