Som standard er alle grænseflader på en Cisco-switch slået til. Det betyder, at en angriber kan oprette forbindelse til dit netværk via en stikkontakt og potentielt true dit netværk. Hvis du ved, hvilke enheder der vil blive tilsluttet til hvilke porte, kan du bruge Cisco-sikkerhedsfunktionen kaldet portsikkerhed. Ved at bruge portsikkerhed kan en netværksadministrator tilknytte bestemte MAC-adresser til grænsefladen, hvilket kan forhindre en angriber i at tilslutte sin enhed. På denne måde kan du begrænse adgangen til en grænseflade, så kun de godkendte enheder kan bruge den. Hvis en enhed, der ikke er autoriseret, tilsluttes, kan du bestemme, hvilken handling switchen skal foretage, f.eks. kassere trafikken og lukke porten ned.
For at konfigurere portsikkerhed kræves der tre trin:
1. definer grænsefladen som en adgangsgrænseflade ved hjælp af underkommandoen switchport mode access interface
2. aktiver portsikkerhed ved hjælp af underkommandoen switchport port-security interface
3. definere, hvilke MAC-adresser der må sende rammer gennem denne grænseflade ved hjælp af underkommandoen switchport port-security mac-address MAC_ADDRESS interface eller ved hjælp af underkommandoen swichport port-security mac-address sticky interface til dynamisk at lære MAC-adressen på den aktuelt tilsluttede vært
To trin er valgfrie:
1. definere, hvilken handling switchen skal foretage, når den modtager en ramme fra en enhed, der ikke er godkendt, ved hjælp af underkommandoen port security violation {protect | restrict | shutdown} interface. Alle tre muligheder afviser trafikken fra den uautoriserede enhed. Indstillingerne restrict og shutdown sender en logmeddelelse, når der sker en overtrædelse. Shut down-tilstand lukker også porten ned.
2. definere det maksimale antal MAC-adresser, der kan bruges på porten, ved hjælp af kommandoen switchport port-security maximum NUMBER interface submode
Det følgende eksempel viser konfigurationen af portsikkerhed på en Cisco-switch:
Først skal vi aktivere portsikkerhed og definere, hvilke MAC-adresser der har tilladelse til at sende frames:
Dernæst kan vi ved hjælp af show port-security interface fa0/1 se, at switchen har lært MAC-adressen på vært A:
Det maksimale antal tilladte MAC-adresser er som standard én, så hvis vi tilslutter en anden vært til den samme port, vil der ske en sikkerhedsovertrædelse:
Statuskoden err-disabled betyder, at der er sket en sikkerhedsovertrædelse på porten.
For at aktivere porten skal vi bruge underkommandoerne shutdown og no shutdown interface subcommands.