端口安全不是个虚概念,它直接关系到你的设备会不会被陌生人悄悄连上、改配置,甚至当跳板去攻击别人。
公司交换机接前台电脑时
前台区域人来人往,谁都能插根网线进交换机接口。要是没开MAC地址绑定和端口安全,保洁阿姨顺手把手机连到交换机上充电,或者访客用笔记本随便一插——交换机就可能学走新MAC,后续真设备再连反而不通。开了端口安全后,可以限制每个接口只允许1个合法MAC,超出就自动shutdown或restrict,立马掐断异常接入。
校园宿舍楼交换机下联口
一个宿舍端口理论上只该接一台电脑,但学生常会私接路由器、HUB甚至小型交换机,搞出一堆设备共享宽带。这不仅挤占带宽,还容易让恶意ARP欺骗、内网扫描从这里发起。启用端口安全+最大MAC数限制(比如设为2,兼顾台式机+手机热点),配合violation shutdown动作,能快速定位并隔离违规接入点。
酒店客房网络接入层
客房交换机端口面向所有住客开放,有人会带便携路由器、NAS甚至树莓派进来做内网渗透测试(别笑,真有)。一旦某个端口学习到5个以上不同MAC地址,大概率是被做了桥接或开启了DHCP服务。通过端口安全联动日志告警,网管能在3分钟内远程关闭对应端口,避免整层楼网络被拖垮。
医院检验科的内网设备接入
血球仪、生化分析仪这些医疗设备通常自带网口,厂商默认不关Telnet/HTTP管理端口。如果连接它们的交换机端口没设端口安全,又没关掉CDP/LLDP,攻击者用一台笔记本就能扫出设备型号、固件版本,再找已知漏洞打进去。这时候启用端口安全+静态MAC绑定,等于给设备入口加了一把实体锁。
怎么简单验证是否生效?
在Cisco交换机上,进接口模式后执行:
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky
switchport port-security violation restrict然后拔掉当前设备,换另一台电脑插上去——如果端口立刻丢包且控制台弹出%PORT_SECURITY-2-PSECURE_VIOLATION日志,说明它正在干活。