檢視緯育 2026-0410 的原始碼

<h3>思科交換機 Port Security 實作與診斷重點。</h3>

本講次聚焦思科交換機的Port Security（埠安全），涵蓋Access Port前置、核心參數Maximum與Violation、手動靜態綁定與sticky自動綁定的差異與操作、MAC學習與觸發條件、STP指示燈延遲、預設值在running-config的顯示行為、違規與err-disable狀態診斷及復原。以具體埠案例（如E21、11號埠）示範完整設定與驗證流程，強調多指令批次設定先關閉介面、完成後再開啟的策略；在大規模部署（如48埠、30台PC）建議採sticky以降低人工綁定成本與錯誤。並以銀行偷換線情境與「駭客」PC模擬，說明違規觸發與燈號行為差異（Packet Tracer vs. 實機），以及保存證據的設計考量與正確的err-disable復原程序。

=== Port Security基礎與目的 ===
* 定義與層級：Port Security為二層功能，用於在端口綁定允許的MAC以限制接入、防止未授權設備連線。二層相關指令以switchport為前綴。
* 應用場景：管理伺服器端口（如E21）僅允許該伺服器MAC通行，未綁定來源視為違規。
=== 前置條件與操作策略 ===
* Access Port先決條件：端口需設定為switchport mode access後，方可啟用Port Security。
* 批次設定策略：在同一介面連續下多行指令時，先shutdown，完成所有設定再no shutdown，以避免中途對外互動造成不一致。
=== 核心參數與預設行為 ===
* Maximum：switchport port-security maximum &lt;數量&gt;，示範設備支援1–132（一般情境設1；下掛小型交換器或多設備可調高）。
* Violation：switchport port-security violation &lt;protect|restrict|shutdown&gt;。違規指的是收到來源MAC不在允許名單的封包；示範採shutdown。
* 預設值顯示：維持預設（通常maximum 1與violation shutdown）時，running-config不顯示這兩行；只有非預設設定才會出現。
=== 綁定方式：手動與sticky ===
* 手動靜態綁定：switchport port-security mac-address （常見格式為xxxx.xxxx.xxxx），綁定結果在MAC表為Static。
* sticky自動綁定：switchport port-security mac-address sticky，介面上有流量時，交換機自MAC Address Table學到來源MAC並自動「貼」到running-config的該介面設定；show running-config可看到生成的mac-address條目。
* 大規模部署：手動逐台查詢並轉換MAC格式耗時且易錯；sticky能自動化寫入，適合大量端口與多台PC。
=== MAC學習、指示燈與STP ===
* 學習觸發條件：必須有封包通過該埠（如Ping）才會學到MAC；無流量則sticky不會貼、違規也不會觸發。
* 指示燈行為：初始連線橙燈約30秒後轉綠燈，源於STP收斂延遲。
* 模擬與實機差異：Packet Tracer以紅燈表示shutdown；實體交換機端口被關閉時通常不亮燈，紅燈為模擬提示。
=== 違規、err-disable與證據保全 ===
* 違規觸發：接入不同MAC的裝置並產生流量時，Port Security比對不符即依設定處置（如shutdown），可能導致err-disable狀態。
* 證據保全設計：即使重新接回原PC，端口仍維持關閉，避免自動恢復掩蓋偷換線事件，利於翌日稽核。
* 診斷命令：show port-security查看啟動與Violation次數；show mac-address-table查MAC與埠對應；show interface/port-security檢視err-disable關鍵字。
* 復原程序：遇err-disable單純no shutdown無效，需先shutdown再no shutdown；復原後約30秒橙燈轉綠燈。
=== 品牌差異與可綁數量 ===
* Cisco支援單埠綁多MAC，便於下掛小型交換器場景；部分品牌僅允許綁定一個MAC。
* 可綁上限以設備?查詢為準（示範1–132），不同機型/IOS版本可能差異。
=== 存檔要求 ===
* sticky貼上後務必copy running-config startup-config；未存檔重啟將遺失黏貼的MAC條目，影響作業與評分。
實作步驟示範（以E21/11號埠為例）
* 進入與關閉介面：enable；configure terminal；interface <介面>；shutdown。
* 設為Access Port：switchport mode access。
* 啟用Port Security：switchport port-security。
* 設定Maximum與Violation（可維持預設）：switchport port-security maximum 1；switchport port-security violation shutdown。
* 綁定方式：
** 手動：switchport port-security mac-address xxxx.xxxx.xxxx。
** sticky：switchport port-security mac-address sticky。
* 開啟介面與觸發學習：no shutdown；由連接PC發送封包（如Ping）促使MAC學習與sticky貼上。
* 驗證與存檔：show mac-address-table；show running-config；copy running-config startup-config。
[[檔案:2026-0410-04.png|800px]]