端口安全手动绑定MAC配置方法与应用场景

公司刚来的新员工小李，插上网线后发现电脑怎么都连不上内网。IT同事过来一看，笑着说：‘你这设备没做MAC绑定，交换机不认啊。’这种场景在不少企业里都发生过。其实这就是用了端口安全中的手动绑定MAC功能。

什么是端口安全手动绑定MAC

在交换机上开启端口安全后，可以限制哪些设备能通过某个物理端口上网。而手动绑定MAC，就是管理员提前指定允许接入的设备MAC地址，只有匹配的设备才能通信。

比如财务部的打印机，只允许它接在3号口。就可以把它的MAC地址和这个端口绑定，别人随便插根网线也用不了这台打印机，安全性就上来了。

有些单位对网络安全要求高，防止外来设备随意接入。比如医院、学校机房、办公室工位，一旦有人插个路由器或私人笔记本，可能带来病毒或IP冲突。

自动学习MAC虽然方便，但万一第一次接入的是错的设备，就会被“学”进去。手动绑定则完全由管理员控制，谁准入、谁禁入，清清楚楚。

以常见的华为交换机为例，在命令行中进入接口视图后进行设置：

interface GigabitEthernet0/0/1
 port-security enable
 port-security mac-address 5489-9876-1234

上面这段配置的意思是：在千兆口0/0/1上开启端口安全，并只允许MAC为5489-9876-1234的设备接入。其他任何设备插上来都会被拒绝。

如果是思科设备，写法略有不同：

interface FastEthernet0/1
 switchport mode access
 switchport port-security
 switchport port-security mac-address 0011.2233.4455

有时候设备换了网卡或者使用虚拟机，MAC地址变了，原来绑好的规则就不生效了。这时候需要登录交换机删掉旧记录，重新添加新MAC。

还有一种情况是多人共用一台电脑，但每个人有自己的固定工位端口。这时可以在每个端口绑定对应电脑的MAC，实现位置与设备的一一对应。

别忘了备份配置。改完之后用save命令保存，不然重启一下全没了。

不是所有交换机都支持这个功能。普通家用路由器基本没有端口安全选项，得用企业级设备。另外，MAC地址可以伪造，所以这招防不住高手，但对付日常乱接设备足够用了。