怎样才能阻止非授权用户的主机接入到交换机的端口上呢?更重要的是,怎样才能防止非授权用户讲集线器、交换机或接入点设备插入办公室的Ethernet插座上?默认时,MAC地址只是动态地显示在MAC转发/过滤数据库中,通过使用端口安全,就可以阻止它们。命令如下:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

switch#config t

switch(config)#int f0/1

switch(config-if)#switchport port-security ?

aging         port-security aging commands

mac-address   secure mac address

maximum     Max secure addersses

violation      security violation mode

<cr>

从上面的输出中大家可以清楚的看到,命令switchport port-security 4个选项可用。我个人比较喜欢port-security命令,因为它让我可以轻松的控制网络中的用户。大家可以使用switchport port-security mac-address mac-address命令,这样就可以将单个的MAC地址分配到交换机的每个端口中。但是,如果你想这样做,你最好有充足的时间可用!

如果需要对交换机端口进行设置,使得一个端口只能接一台主机,而且当这个规则被违反时就关闭端口,那么可以使用如下命令:

Switch#confit t

Switch(config)#int f0/1

Switch(config-if)#switchport port-security maximum 1

Switch(config-if)#switchport port-security violation shutdown

这些命令可能是最受欢迎的了,因为它们可以防止用户在其办公室接入交换机或接入点。Maximum设置为1,意味着在那个端口上只能使用一个MAC地址。如果用户试图在那个网段上添加另一台主机,交换机端口就将被关闭。如果发生了这中情况,就需要手工地的交换机上进行配置,就是使用命令no shutdown来重新启用端口。

我最喜欢的一个命令恐怕就是sticky了,命令sticky不仅能执行很酷的功能,它还有一个很酷的名字!在mac-address命令下,可以看到这个命令

Switch(config-if)#switchport port-security mac-address sticky

Switch(config-if)#switchport port-security maximum2

Switch(config-if)#switchport port-security violation shutdown

这个命令主要提供静态MAC地址安全,而无需在网络中输入每个端口的MAC地址。就像我说的那样------酷!!