交（jiāo）換機端口（kǒu）安全（quán）總結
最常用的對（duì）端口（kǒu）安全（quán）的理（lǐ）解就是可根據MAC地址來做對（duì）網絡流量的控製和管理，比如MAC地（dì）址與具體的端口綁定，限製具（jù）體端口通過的（de）MAC地址的數量，或者在具體的端（duān）口不允許某些MAC地址（zhǐ）的幀流（liú）量（liàng）通（tōng）過（guò）。稍微引申下（xià）端口安全，就是可以根（gēn）據802.1X來控製網絡（luò）的訪問流量（liàng）。
 

首先談一下MAC地址與端口綁定，以及根據（jù）MAC地（dì）址允許流量的配置。

1.MAC地址（zhǐ）與（yǔ）端口綁定，當（dāng）發（fā）現主機的（de）MAC地址與交換（huàn）機上指定的MAC地址不（bú）同時 ，交換機相應的（de）端口將（jiāng）down掉（diào）。當給端口指定MAC地（dì）址時，端口模式必須為access或者Trunk狀態。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指（zhǐ）定端口模式。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。
3550-1(config-if)#switchport port-security maximum 1 /限製此端口允（yǔn）許通過的MAC地址數為1。
3550-1(config-if)#switchport port-security violation shutdown /當發（fā）現（xiàn）與上述配置不（bú）符（fú）時，端口down掉。

2.通過MAC地址來限製端口（kǒu）流量，此配置允許（xǔ）一TRUNK口最多通過100個MAC地址，超過100時（shí），但來自新的主機（jī）的（de）數據（jù）幀將（jiāng）丟（diū）失（shī）。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置（zhì）端口模式（shì）為（wéi）TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允許此端口通過的最（zuì）大MAC地址數目為100。
3550-1(config-if)#switchport port-security violation protect /當主機MAC地（dì）址（zhǐ）數目（mù）超過100時，交換（huàn）機繼續工作（zuò），但來（lái）自新的主機的數據幀將丟失。

上麵的配置根據（jù）MAC地（dì）址來允許流量，下麵的配置（zhì）則（zé）是（shì）根（gēn）據MAC地址來拒（jù）絕流量。
1.此配置（zhì）在Catalyst交換（huàn）機中隻能對（duì）單播流量進行（háng）過濾，對於多播流量則無效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相應的（de）Vlan丟棄流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相應的（de）接口丟棄流量（liàng）。

理（lǐ）解端口（kǒu）安全：
當你給一個端口配（pèi）置了最大安全mac地址數量（liàng），安全地址是以一下方式包括在一個地址（zhǐ）表中的：
·你可（kě）以（yǐ）配（pèi）置所有的mac地址使（shǐ）用 switchport port-security mac-address <mac地址>，這個接口（kǒu）命令。
·你也可以允許動（dòng）態配置安全mac地址，使用（yòng）已連（lián）接的設備的mac地址。
·你可（kě）以配置一個地址的數目且允許保（bǎo）持動態配置。
注（zhù）意：如果這個端口shutdown了，所有的動態學的mac地址都會（huì）被移除。
一旦（dàn）達到配（pèi）置的（de）最大的（de）mac地址（zhǐ）的數（shù）量，地址們就會被存在一（yī）個地址表中。設置最大mac地址數量為1，並且配置（zhì）連（lián）接到設備（bèi）的地址確保這個設（shè）備獨占這（zhè）個端口的帶寬。

當以下情況發生（shēng）時就是一個安全違規（guī）：
·最大（dà）安（ān）全（quán）數（shù）目mac地址表外的一個mac地（dì）址試圖訪問這個端口。
·一個mac地（dì）址被配置為其他（tā）的接口的安全mac地址的站點試圖訪問（wèn）這個端口。

你可（kě）以配（pèi）置接口（kǒu）的三種違規模（mó）式，這三種模式基於違規發生後（hòu）的動作（zuò）：
·protect-當mac地址的數量達到（dào）了這個端口所最大（dà）允許（xǔ）的（de）數量（liàng），帶有（yǒu）未知的源（yuán）地址的包就會被丟（diū）棄，直到刪除了足（zú）夠數量的mac地址，來降（jiàng）下最大數值之後才會不丟（diū）棄（qì）。
·restrict-一個限（xiàn）製數據（jù）和並引（yǐn）起"安全違（wéi）規"計數器的增加的端（duān）口安（ān）全違規（guī）動作。
·shutdown-一個導致接口馬上shutdown，並（bìng）且發送SNMP陷阱的端口（kǒu）安全違規動作。當一個（gè）安全端口處在error-disable狀態，你要恢（huī）複（fù）正（zhèng）常（cháng）必須（xū）得敲入（rù）全局下的errdisable recovery cause psecure-violation 命（mìng）令，或者（zhě）你可以手動的shut再no shut端口。這（zhè）個是（shì）端口（kǒu）安全違規的默認動作。

默認的端口安全配置：
以下是（shì）端口安（ān）全（quán）在接口下的配置-
特性：port-sercurity 默認設置：關閉的。
特性：最大安全mac地址數目 默認設置：1
特性：違規（guī）模式 默認配（pèi）置：shutdown，這端（duān）口在最大安全（quán）mac地址數（shù）量達到的時候（hòu）會（huì）shutdown，並發snmp陷阱。

下麵是配置端口安全（quán）的向（xiàng）導（dǎo）-
·安全（quán）端口不能在動態的access口或者（zhě）trunk口上做，換言（yán）之，敲port-secure之前必須的是switch mode acc之後（hòu）。
·安全端（duān）口不能是（shì）一（yī）個（gè）被保護的口。
·安全端口不能是SPAN的目的（de）地址（zhǐ）。
·安全端口不能屬於GEC或（huò）FEC的（de）組。
·安全（quán）端口不能屬於（yú）802.1x端口（kǒu）。如果你在安全端口試圖（tú）開啟802.1x，就會有報錯信息（xī），而且802.1x也（yě）關了。如果你（nǐ）試圖改變開啟了802.1x的端口為安全端口，錯誤信息（xī）就會（huì）出現（xiàn），安全性設置不會改變。

最後說一下802.1X的（de）相（xiàng）關概（gài）念和配置。
802.1X身份驗證協議最（zuì）初使用於無線網（wǎng）絡，後來才在（zài）普通交換機和路由器等網絡設（shè）備（bèi）上使（shǐ）用。它可基於端口（kǒu）來（lái）對用戶（hù）身份進行認（rèn）證，即（jí）當用戶的數（shù）據流量企圖通過配置過802.1X協議的端口時，必須進行身（shēn）份的驗（yàn）證，合法則允許其訪問網絡。這樣的做的好處就是可以對內網的（de）用戶進（jìn）行認證，並且簡化配置，在一定的（de）程（chéng）度上可以取代Windows 的AD。
配置802.1X身份驗證協議，首先（xiān）得全局啟用AAA認證（zhèng），這個和在網絡邊界上使用（yòng）AAA認（rèn）證沒有太（tài）多的區別，隻不過認證的（de）協議是802.1X；其（qí）次則需要在相應的接口（kǒu）上啟用802.1X身份驗證。（建議在所有的端口（kǒu）上（shàng）啟用802.1X身份驗證，並（bìng）且（qiě）使用radius服務器來管理用戶（hù）名和密碼）
下麵的配置AAA認（rèn）證所使用的為本地的（de）用戶（hù）名和密碼。
3550-1#conf t
3550-1(config)#aaa new-model /啟用AAA認證。
3550-1(config)#aaa authentication dot1x default local /全局啟用802.1X協議認證，並使（shǐ）用本（běn）地用戶名與密碼（mǎ）。
3550-1(config)#int range f0/1 -24
3550-1(config-if-range)#dot1x port-control auto /在所有的接口上啟（qǐ）用802.1X身份驗證。

後（hòu）記（jì）
通（tōng）過（guò）MAC地址來控製網絡的流（liú）量既（jì）可以通過上麵的配置來實（shí）現，也可以通過訪問控製列表來實現，比如在（zài）Cata3550上可通過700-799號（hào）的訪（fǎng）問（wèn）控製列表可實現MAC地址過（guò）濾。但是利（lì）用訪問控製列表來控製流（liú）量比較麻（má）煩，似乎用的也比（bǐ）較少（shǎo），這（zhè）裏就不多介紹了。
通過MAC地址綁定（dìng）雖然在（zài）一定程度上可保證內網安全，但效果（guǒ）並（bìng）不是很（hěn）好，建議使（shǐ）用802.1X身（shēn）份驗證（zhèng）協議。在可控性，可管理性上（shàng）802.1X都是不錯的選擇