公司或学校的网络里,偶尔会冒出一台陌生设备蹭网,轻则拖慢网速,重则可能窃取内部数据。这时候,端口安全中的“手动绑定MAC”就派上用场了。它能让你指定哪些设备才能通过某个交换机端口上网,其他的一律挡在外面。
什么是端口安全手动绑定MAC?
简单说,就是在交换机的某个物理端口上,手工设置允许接入的设备MAC地址。只要不是你登记过的MAC,插上网线也别想通。这种方式常见于对安全性要求较高的局域网环境,比如财务部门、实验室或者宿舍楼的固定电脑。
举个例子:你办公室有三台固定电脑,平时都连在交换机的1、2、3号口。你可以登录交换机后台,把这三台机器的MAC地址一条条绑定到对应端口。之后哪怕有人拿自己的笔记本插上去,因为MAC不在名单里,网络直接不通。
怎么配置?以华为交换机为例
进入交换机命令行界面,先找到你要保护的端口。假设是GigabitEthernet0/0/1,这台电脑的MAC是5489-9876-5432。
system-view
interface GigabitEthernet 0/0/1
port-security enable
port-security mac-address sticky 5489-9876-5432
port-security max-mac-num 1这里的意思是:开启端口安全,手动绑定这个MAC,最多只允许一个MAC地址通过。如果有人换了设备,系统会直接阻断连接,还能配合告警功能通知管理员。
思科设备上的操作类似
在Cisco交换机上,同样是进接口模式,开启端口安全并静态添加MAC。
configure terminal
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security mac-address 0011.2233.4455
switchport port-security maximum 1这样设置后,只有MAC为0011.2233.4455的设备能在这条口上通信。换别的设备插进来,端口会自动进入err-disabled状态,彻底断网。
这种绑定方式虽然麻烦点,要一个个记MAC,但胜在控制精准。适合设备固定、人员变动少的场景。有些网管图省事,干脆把整个楼层开放,结果隔壁实习生顺手接根线就把游戏机挂上了,带宽被占得死死的。手动绑定MAC,就是给每个网络接口装上一把小锁。
实际操作前记得先查好每台设备的MAC地址。Windows下打开命令提示符,输入ipconfig /all就能看到;Mac或Linux可以用ifconfig或ip addr查看。写下来,别到时候对着电脑傻眼。