在公司或学校机房里,你可能遇到过这样的情况:突然有人乱插设备,导致网络异常,甚至整个局域网变慢。其实,通过交换机的“端口安全手动绑定MAC”功能,就能轻松避免这类问题。
什么是端口安全手动绑定MAC
简单说,就是把交换机上的某个物理端口和指定设备的MAC地址锁死。一旦绑定,只有这台设备能用这个端口上网,其他设备插上来直接被拒绝。
比如财务室的电脑,只允许那台固定主机联网。即使有人拿自己的笔记本插上网线,也上不了,因为MAC地址对不上。
怎么配置?以华为交换机为例
登录交换机命令行,进入对应接口视图,执行以下操作:
system-view
interface GigabitEthernet 0/0/1
port-security enable
port-security mac-address sticky 00e0-fc12-3456
port-security max-mac-num 1上面这段命令的意思是:在G0/0/1口开启端口安全,绑定MAC地址为00e0-fc12-3456的设备,并限制最多只学习一个MAC地址。
如果你不清楚设备的MAC地址,可以先用 display mac-address interface GigabitEthernet 0/0/1 查一下当前连接的设备信息。
为什么不用动态学习?
交换机默认会自动学习连接设备的MAC地址,但这种方式不安全。比如有人拔下电脑,换上路由器或手机,照样能获取网络权限。而手动绑定等于提前设好“准入名单”,谁不在名单上,谁就别想连。
有些单位为了省事,干脆把所有端口都关闭未授权接入,只放行已登记的MAC。这样一来,新设备想接网,必须找管理员手动添加,虽然麻烦点,但安全性高了不少。
实际使用中的小坑
绑定后如果换了网卡或重装系统,MAC变了,就会连不上。这时候得进交换机删旧记录,重新绑定新的MAC。建议把关键设备的MAC地址打印贴在机箱上,方便后续维护。
还有一点要注意:开启端口安全后,尽量别用Hub或者多口转换器,一个端口接多个设备容易触发安全机制,导致端口被自动shutdown。
对于网吧、教室这类地方,这种绑定方式特别实用。谁的机器出问题,直接从端口定位,排查起来也快。