CISCO 指令：Port 的安全管理 ( Port Security )

假設有Server0和PC0經由Hub0連到 Switch0的FastEthernet 0/1的Port。啟動Port Security之前有兩個subcommand需要被執行。

• switchport mode access
宣告interface為access interface


• switchport port-security
啟用Port Security功能

請注意，若是沒有先執行switchport mode access而執行switchport port-security系統會發出警告 "Command rejected: FastEthernet0/1 is a dynamic port"，不予以啟用 Port Security。

Switch>enable
Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security violation protect

switchport port-security violation { protect | restrict | shutdown } 說明：

• protect
丟棄違反規則的流量，不做記錄。
• restrict
丟棄違反規則的流量，記錄到log和送出SNMP message。
• shutdown
關閉Port，封鎖所有封包。

這時Server0和PC0送出了ICMP封包沒有回應。這時增加Server0的MAC Address 0001.9609.9169 記錄到Switch0，讓Server0可以和Switch0正常了傳遞封包。

Switch(config-if)#switchport port-security mac-address 0001.9609.9169

這時若是將PC0的MAC Address 000C.85B5.C240 增加上去，會發生系統不允許增加的警告。原因是預設上限是一組MAC Address。

Switch(config-if)#switchport port-security mac-address 000C.85B5.C240
Total secure mac-addresses on interface FastEthernet0/1 has reached maximum limit.

這時修改讓系統最上限為兩組MAC Address。也就讓PC0可以和Switch0正常了傳遞封包。

Switch(config-if)#switchport port-security maximum 2
Switch(config-if)#switchport port-security mac-address 000C.85B5.C240
Switch(config-if)#exit
Switch(config)#exit
Switch#

另外有組封鎖指定MAC Address 的subcommand。

Switch(config-if)#switchport port-security mac-address sticky 000C.85B5.C240