公司前台那台交换机,昨天又出事了——实习生随手把手机热点连到空闲端口,结果整层楼的打印机突然找不到网络;隔壁部门同事插了个私人笔记本,没多久就有人反馈内网共享文件夹被扫出了异常访问记录。这些都不是玄学,是端口没设防的真实后果。
为什么端口不锁,等于门不上锁
交换机默认所有端口都“来者不拒”,只要网线一插、MAC地址一报,立马放行。这在实验室里没问题,但在真实办公环境里,一个没贴标签的空闲口,就是个潜在跳板:蹭网、私接路由器、甚至恶意设备接入都可能发生。端口安全(Port Security)不是高深功能,而是交换机自带的“门禁卡机制”——只认指定的MAC地址,超限就报警或自动关端口。
动手做一次真实可用的实验
用一台华为S5735或思科2960(模拟器也行),连三台PC:PC1是固定办公机,PC2是测试用的“外来设备”,SW1是待配置的交换机。
先登录交换机,进接口视图:
[SW1] interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1] port-security enable接着绑定PC1的MAC(假设是5489-98a2-c91e):
[SW1-GigabitEthernet0/0/1] port-security mac-address sticky 5489-98a2-c91e再限制最多只学1个MAC,违规动作设为shutdown(直接断端口):
[SW1-GigabitEthernet0/0/1] port-security max-mac-num 1
[SW1-GigabitEthernet0/0/1] port-security violation shutdown配完保存,拔掉PC1,插上PC2。几秒后,端口灯灭了,display port-security interface g0/0/1会显示“Security violation count: 1”,状态变成err-disabled——门已经焊死了。
别只盯着“绑定MAC”这一招
实际部署时,sticky模式最省心,它会自动把当前合法设备的MAC记下来;如果设备常换(比如会议室投屏口),可以改用protect模式:超出数量的包直接丢,但端口不down,避免误断业务;对高安全场景,还能配合802.1X认证,让设备先“交身份证”再联网。关键不是堆参数,而是想清楚:这个口谁该用?能用几个设备?出问题时希望怎么响应?
实验做完,顺手去机柜里摸一摸那些没贴标的端口——它们可能正开着门等你去关。