相信大多数网工都比较头疼一个事儿，就是在公司的时候，总有的同事喜欢弄台家用无线路由器（无线AP）连接到公司网络中，当它把这台设备的ip地址设置为网关地址的时候，又不关闭DHCP功能，就可能导致其他的终端设备上不了网，那么我们就要来想一下如何防止它私接呢？

接下来为大家介绍一个在交换机上使用的技术----端口安全，拓扑如下：

首先第一步给终端设备配置ip地址，且交换机接口e0/0--e0/1模式为access接口。

原文来自公众号：思科CCIE训练营 微信号：h13323436057

router配置ip地址为192.168.1.1/24

PC2设置ip地址为192.168.1.2 /24

设置交换机接口为access接入模式

第二步在交换机上开启端口安全，简单解释一下这四个命令的意义：aging（老化时间），mac-address（需要绑定的mac地址），maximum（最大mac地址白名单数量，可以根据实际需要设置）violation（惩罚措施）

我们需要绑定router的mac地址，但是如果设备太多就太费劲了，所有我们需要开启一个基于粘滞的端口安全，也就是让交换机自动学习

开启端口安全

开启基于粘滞

交换机已经学习到了第一个设备MAC，并且已经生效

查看接口详细的端口安全信息

设置惩罚措施

惩罚措施一共分为三种，protect（直接诶丢弃违规流量，不发送通知，不记录日志）

restrict（丢弃违规流量，发送通知，并生成日志）

shutdown（丢弃违规流量，将接口置于err-disable状态并关闭接口，生成日志），err-disable--由于触发了端口安全的惩罚措施导致的接口关闭，这里以shutdown来模拟。

设置端口安全惩罚措施位shutdown

接下来第三步我们需要修改路由器接口的mac地址来模拟违法私接，并查看端口状态

查看这个接口的mac地址

修改该接口的mac地址

交换机接口处于errdisable状态

修改后的mac地址触发了端口安全惩罚措施，接口down掉且置于err-disable状态，对于端口安全来说，做到这儿其实已经完了，但是现在面临两个问题：第一，被置于err-disable状态的接口可以打开么？第二，如果把mac地址更改会原来的mac地址是否可以自动恢复？

简述一下第一个问题，所有被置于err-disable状态的接口都需要先shutdown再no shutdown才可以开启接口，但是，如果错误依然存在，那么还是会再一次将接口置为err-disable状态：

接口还是down掉

第二个问题如何设置mac地址回复后接口自动恢复呢？（也就是说当原终端设备重新接入交换机以后，怎样让它自动恢复），接下来我们需要开启一个叫做由于触发了端口安全导致交换机接口被置于errdisable状态允许自动恢复：

开启自动回复功能

30s检测一次，一旦检测到mac地址为原终端设备的mac允许恢复

开始倒计时29s

倒计时27s

现在我们马上将router接口的mac地址给它回复为原来的mac地址，然后查看一下它是否会自动恢复

mac地址已恢复为初始化

倒计时3s

倒计时2s

倒计时1s

到点了

已自动恢复

以上就是我整理的一个简单的防止违法私接的配置，希望对你们有所帮助，谢谢！

搜图

编辑