思科模拟器（Cisco Packet Tracer）交换机端口安全防护配置指南

possible

运维仿真

2025-10-25

本文基于 2960-24TT 交换机与两台 PC 机的实验环境，从实验准备、拓扑搭建到入门级配置、进阶配置（静态绑定与粘性学习），系统讲解交换机端口安全的实现方法，同时提供关键验证命令，确保配置可查、可验。

一、实验基础准备

一台2960-24TT交换机 + 2台 PC机

2. 网络拓扑搭建

手动为两台 PC 设置静态 IP（确保在同一网段，无需网关，因仅需交换机二层通信）：

左 PC（个人电脑 0）：IP 地址：192.168.1.1，子网掩码 255.255.255.0；
右 PC（个人电脑 1）：IP 地址：192.168.1.2，子网掩码 255.255.255.0。

二、入门级端口安全配置（基础限制）

入门级配置的核心目标：限制交换机Fa0/1端口最多接入 2 台设备，若超过限制则丢弃违规数据包并发送告警（不关闭端口），适用于需临时接入少量设备的场景。

配置步骤

Switch(config)# interface fastethernet 0/1 # 简写：int fa 0/1

Switch(config-if)# switchport mode access # 关键：确保接口为二层Access模式

Switch(config-if)# switchport port-security # 启用端口安全核心功能

Switch(config-if)# switchport port-security maximum 2 # 最多允许2个设备接入

Switch(config-if)# switchport port-security violation restrict # 违规策略

Switch(config-if)# exit          # 退出接口配置模式

Switch(config)# exit             # 退出全局配置模式

Switch# write memory             # 保存配置（简写：wr）

三、进阶配置（精准控制接入设备）

入门级配置仅限制设备数量，进阶配置通过静态 MAC 绑定或粘性学习，精准指定 “允许接入的设备”，适用于固定设备（如服务器、办公 PC）的场景，安全性更高。

进阶配置 1：静态 MAC 绑定（指定允许的设备）

静态绑定需手动将 “允许接入的设备 MAC 地址” 与端口关联，仅绑定的设备可接入，其他设备会触发违规。

配置前提

先让两台 PC 与交换机通信（如 ping 测试），使交换机自动学习到 PC 的 MAC 地址，避免手动输入 MAC 时出错。

show mac-address-table  #  查看交换机已学习的 MAC 地址

Switch# configure terminal

Switch(config)# interface fastethernet 0/1

# 绑定左PC的MAC地址（替换为实际查询到的MAC）

Switch(config-if)# switchport port-security mac-address 000c.cf75.a58d

效果说明

仅 MAC 地址为000c.cf75.a58d的左 PC 可正常接入Fa0/1端口，若更换其他设备（MAC 不匹配），会触发restrict违规策略（丢弃数据 + 告警）。

进阶配置 2：粘性学习（自动绑定并保存 MAC）

粘性学习会自动学习接入端口的设备 MAC 地址，并将其 “固化” 到交换机配置中（重启后不丢失），无需手动输入 MAC，兼顾 “精准控制” 与 “配置便捷性”。

配置步骤

Switch(config)# interface fastethernet 0/1

Switch(config-if)# switchport port-security mac-address sticky # 启用粘性学习功能

验证粘性学习结果

Switch# show port-security interface fastethernet 0/1 # 查看接口配置

Switch# show port-security //查看所有端口的端口安全摘要

五、常见问题与注意事项

1.接口无法启用端口安全？检查接口是否为Access模式：端口安全仅支持二层 Access 模式，若接口为Trunk或Dynamic Desirable（动态协商模式），需先执行switchport mode access修改。

2.静态绑定 MAC 后设备仍无法接入？确认 MAC 地址输入正确（区分大小写，模拟器中 MAC 格式为XXXX.XXXX.XXXX，不可遗漏小数点）；同时检查 PC 是否连接到正确的端口（如绑定Fa0/1的 MAC，PC 需接Fa0/1）。

3.粘性学习的 MAC 重启后丢失？未保存配置！粘性学习会自动将 MAC 添加到 “运行配置”（running-config），需执行write memory保存到 “启动配置”（startup-config），否则重启后配置丢失。

4.违规后端口变为橙色（err-disabled 状态）？若违规模式配置为shutdown（默认模式），违规后端口会关闭（err-disabled），需手动恢复：进入接口配置模式，执行shutdown→no shutdown（先关后开）。

阅读剩余

作者：possible

链接：https://www.htmacg.cn/%e6%80%9d%e7%a7%91%e6%a8%a1%e6%8b%9f%e5%99%a8%ef%bc%88cisco-packet-tracer%ef%bc%89%e4%ba%a4%e6%8d%a2%e6%9c%ba%e7%ab%af%e5%8f%a3%e5%ae%89%e5%85%a8%e9%98%b2%e6%8a%a4%e9%85%8d%e7%bd%ae%e6%8c%87%e5%8d%97/.html

文章版权归作者所有，未经允许请勿转载。

THE END

思科模拟器 RSTP 协议配置教程

<<上一篇