在多年的IT运维过程中，曾经有多个客户的网络发生过听上去很严重、解决起来也很麻烦的故障，但是，归根结底，其实并不是什么大问题，私接路由器算是其中比较常见的了。

如果在全是傻瓜交换机的网络环境里，找起来那叫一个费劲，每次找出来之后，那个私接路由器的人必将成为整个单位的千夫所指，我也因此吃到过几次免费的羊肉火锅，真可谓祸兮福所倚。

别说是我了，每个同行几乎都碰到过私接网络设备引起的网络故障，有时候讨论起来，都是一肚子苦水。

相对路由器而言，私接网络交换机，一般不会引发网络故障，但是私自扩展网络，在很多单位是不被允许的——很容易引发数据外泄。

私接路由器引起的网络故障，可以用DHCP Snooping技术来防范，前面有文章已经写到过了；那么用户私接网络交换机又该怎么防范呢？DHCP Snooping显然力不从心的，所以，我们还需要配合其他技术来阻止用户私自扩展网络接口。

这就是今天要和大家讨论的——端口安全技术。

一、概述

1. 通过在交换机的指定接口上配置端口安全，可以限制接口的MAC地址学习数量，从而防止未经允许的网络端口扩展行为；
2. 端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC，安全静态MAC和Sticky MAC），阻止非法用户通过本接口和交换机通信，从而增强网络的安全性；

概念听上去有些拗口，其实意思就是说：1、交换机每个接口只允许接入一台电脑，第二台以扩展小交换机的方式接入，是无法通讯的，而且会发现警告；2、有时候，员工私自换个位置上网，也可以被禁止；

二、配置

1、需求：图中3个接口，全部激活端口安全功能；学习到的MAC地址转换为Sticky MAC；

一旦发现非法接入，发出警告，并且直接断开接口；

2、分析：发现非法接入后，有3种可选的惩罚措施，分别是：

protect—— 只丢弃源MAC地址不存在的报文，不上报告警，也就是合法设备仍旧正常通信，非法设备无法通信，但是没有告警信息；

Restrict——华为交换机默认选项，即丢弃源MAC地址不存在的报文并上报告警，说白了，就是合法设备正常通信，非法设备无法通信，而且将有告警信息；

Shutdown——最严厉的惩罚，也就是本例的要求，发现非法接入设备，直接关闭端口。

3、命令：

port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/8 //创建端口组，成员端口1-3，命令都是一样的，所以3个端口弄成一个组，命令打一遍就行了，偷个懒；

port-security enable //开启端口安全；

port-security max-mac-num 1 //接口学习的安全MAC地址限制数量为1，就是一个接口只允许一个设备的意思；

port-security mac-address sticky //开启接口Sticky MAC功能；

port-security protect-action shutdown //发现非法接入设备，直接关闭端口，并上报告警。

注意，默认情况下，接口关闭后不会自动恢复，只能由网络管理人员在接口视图下使用restart命令进行恢复。

经过以上配置，交换机的每个端口只允许接入一台设备（电脑或者网络打印机等），如果谁敢私自接入网络交换机，把网络分享给别人，那么马上就连他自己都无法上网，只能求IT重开端口，这样应该对某些人有一定的威慑力了吧，莫名其妙的、人为的网络故障，应该能够排除和避免了。