在对接入用户的安全性要求较高的网络中,可以配置端口安全功能及端口安全动态MAC学习的限制数量。此时接口学习到的MAC地址会被转换为安全MAC地址,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,仅允许这些MAC地址和交换机通信。而且接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,无论目的MAC地址是否存在,交换机即认为有非法用户攻击,就会根据配置的动作对接口做保护处理。这样可以阻止其他非信任用户通过本接口和交换机通信,提高交换机与网络的安全性。
配置安全MAC功能命令行
port-security enable,使能端口安全功能,缺省情况下,未使能端口安全功能。
port-security max-mac-num max-number,配置端口安全动态MAC学习限制数量。缺省情况下,接口学习的安全MAC地址限制数量为1。
port-security mac-address mac-address vlan vlan-id,手工配置安全静态MAC地址表项。
port-security protect-action { protect | restrict | shutdown },配置端口安全保护动作。缺省情况下,端口安全保护动作为restrict。
port-security aging-time time [ type { absolute | inactivity } ],配置接口学习到的安全动态MAC地址的老化时间。缺省情况下,接口学习的安全动态MAC地址不老化。
配置Sticky MAC功能命令行
Sticky MAC功能一般使用在终端用户变更较少的网络中。
port-security enable,使能端口安全功能。缺省情况下,未使能端口安全功能。
port-security mac-address sticky,使能接口Sticky MAC功能。缺省情况下,接口未使能Sticky MAC功能。
port-security max-mac-num max-number,配置接口Sticky MAC学习限制数量。使能接口Sticky MAC功能后,缺省情况下,接口学习的MAC地址限制数量为1。
接口使能Sticky MAC功能,安全动态MAC地址表项将转化为Sticky MAC地址,之后学习到的MAC地址也变为Sticky MAC地址。
接口使能Sticky MAC功能,即使配置了port-security aging-time,Sticky MAC也不会被老化。
Sticky MAC地址表项,保存后重启设备不丢弃。
版权归原作者 网络打工仔 所有, 如有侵权,请联系我们删除。