Oletusarvoisesti kaikki Ciscon kytkimen liitännät ovat päällä. Tämä tarkoittaa, että hyökkääjä voi muodostaa verkkoon yhteyden pistorasian kautta ja mahdollisesti uhata verkkoasi. Jos tiedät, mitkä laitteet liitetään mihinkin portteihin, voit käyttää Ciscon suojausominaisuutta nimeltä porttisuojaus. Porttisuojausta käyttämällä verkonvalvoja voi liittää tietyt MAC-osoitteet liitäntään, mikä voi estää hyökkääjää liittämästä laitettaan. Näin voit rajoittaa käyttöliittymän käyttöä niin, että vain valtuutetut laitteet voivat käyttää sitä. Jos epäluokiteltu laite kytkeytyy, voit päättää, mihin toimiin kytkin ryhtyy, esimerkiksi hylkää liikenteen ja sulkee portin.
Portin suojauksen määrittäminen edellyttää kolmea vaihetta:
1. Määritä rajapinta käyttöliittymäksi käyttämällä switchport mode access interface -alakomentoa
2. Ota portin suojaus käyttöön switchport port-security interface -alakomennolla
3. Ota portin suojaus käyttöön. määritä, mitkä MAC-osoitteet saavat lähettää kehyksiä tämän liitännän kautta käyttämällä switchport port-security mac-address MAC_ADDRESS -liitännän alakomentoa tai käyttämällä swichport port-security mac-address sticky -liitännän alakomentoa oppiaksesi dynaamisesti kulloinkin kytketyn isäntäkoneen MAC-osoitteen
Kaksi vaihetta ovat valinnaisia:
1. määrittele, mihin toimiin kytkin ryhtyy, kun se vastaanottaa kehyksen epäkäytännölliseltä laitokselta, käyttämällä liitännän alakomentoa port security violation {protect | restrict | restrict | shutdown}. Kaikki kolme vaihtoehtoa hylkäävät luvattoman laitteen liikenteen. Vaihtoehdot restrict ja shutdown lähettävät lokiviestin, kun rikkomus tapahtuu. Shut down -tila sulkee myös portin.
2. määritä portissa käytettävien MAC-osoitteiden enimmäismäärä switchport port-security maximum NUMBER interface submode -komennolla
Seuraavassa esimerkissä näytetään porttisuojauksen konfigurointi Ciscon kytkimessä:
Ensin on otettava porttisuojaus käyttöön ja määriteltävä, mitkä MAC-osoitteet saavat lähettää kehyksiä:
Seuraavaksi näemme show port-security interface fa0/1:n avulla, että kytkin on oppinut isäntä A:n MAC-osoitteen:
Oletusarvoisesti sallittujen MAC-osoitteiden enimmäismäärä on yksi, joten jos kytkemme samaan porttiin toisen isännän, tapahtuu tietoturvaloukkaus:
Tilakoodi err-disabled tarkoittaa, että portissa tapahtui tietoturvaloukkaus.
Jotta portti voidaan ottaa käyttöön, on käytettävä shutdown- ja no shutdown interface -alakomentoja.