公司刚上班,网络突然变得卡顿,IT同事一查,发现交换机某个端口下挂着三台设备,而办公室里明明只接了一台电脑。这种情况很可能是有人私接了路由器或手机热点,占用了带宽,甚至可能带来安全隐患。这时候,二层端口安全机制就能派上用场了。
什么是二层端口安全?
在局域网中,交换机工作在数据链路层(也就是二层),它通过MAC地址来转发数据帧。默认情况下,一个交换机端口可以学习并允许多个MAC地址接入。但这也给了攻击者可乘之机——比如插个路由器扩展出一堆设备,或者伪造MAC地址进行中间人攻击。
端口安全(Port Security)就是用来限制某个交换机端口下允许接入的MAC地址数量和类型,一旦超出设定规则,端口就可以自动采取措施,比如阻断流量、发送告警,甚至直接关闭端口。
常见的配置方式
以一台华为或H3C交换机为例,开启端口安全通常包括几个关键步骤:绑定合法MAC地址、设置最大学习数量、定义违规处理动作。
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] port-security enable
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num 1
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky
[Huawei-GigabitEthernet0/0/1] port-security protect-action shutdown上面这段命令的意思是:在Gi0/0/1接口上启用端口安全,最多只允许一个MAC地址接入,启用“粘性学习”功能让设备自动记住第一次接入的合法MAC,一旦检测到第二个设备尝试接入,端口就会自动shutdown。
实际场景中的应用
想象一下会议室的网络面板。平时没人用,结果某天有人偷偷插了个无线路由器,把自己的笔记本、手机、平板全连上了公司内网。如果这个端口没做任何限制,相当于给外人开了扇后门。但只要提前配置了端口安全,哪怕他插上去,设备也无法通信,甚至会触发告警,管理员很快就能定位问题。
再比如医院的护士站电脑,固定使用特定工位的有线接口。启用端口安全后,即便有人拔掉原电脑换上自己的笔记本,也无法上网,有效防止信息泄露。
sticky MAC:省心又安全的选择
手动配置静态MAC地址虽然最安全,但面对几百个终端,维护成本太高。这时候可以用“sticky MAC”机制——设备第一次正常接入时,交换机会自动将其MAC地址记录为安全地址,并保存到配置中,下次重启也不会丢失。既保证了灵活性,又不失安全性。
注意可能的“误伤”
有个同事换了新电脑,旧MAC失效,新MAC无法接入,结果连不上网。一查才发现端口安全设的是最大1个MAC且动作是shutdown。这种时候就需要提前做好资产变更通知,或者把保护动作设为restrict(仅告警+丢包)而不是直接关端口,避免影响正常办公。
端口安全不是万能锁,但它是一道简单却有效的防线。特别是在接入层交换机上批量部署后,能大大降低私接设备、ARP欺骗等常见问题的发生概率。对于经常排查“谁在我端口上乱接设备”的网管来说,这功能真该早点用起来。