端口安全配置

端口安全（port-security）

端口安全就是MAC地址绑定，主要是面向非法接入，MAC地址是全球唯一标识

配置命令集

配置一对一手动绑定

注意：端口安全一定是用在交换机的access接口上的
查看PC的MAC地址

//PC
show int e0/0

en
conf ter
int e0/0
shutdown //为了防止报错，关闭接口
sw mode ac
switchport port-security //开启端口安全
switchport port-security mac-address aabb.cc00.2000 //绑定PC的MAC地址
end

查看MAC地址表

//SW
show mac address-table 

查看ARP表，ARP表的数量是跟着缓存走的（一条ARP表示一个待机数）

//SW
show arp

配置MAC地址动态粘贴

动态粘贴就是会动态粘贴第一次获取到的MAC地址，不需要人为手动绑定

en
conf ter
int e0/0
switchport port-security mac-address sticky

switchport port-securiy maximum 3 //设置最大粘贴三个MAC地址，默认只能粘贴一个MAC地址
end

MAC地址一旦粘贴上之后是不会消失的，就算设备重启也不会消失，自动粘贴上的和手动配置的效果是一样的

当手动no掉粘贴一条绑定的MAC配置，他会继续再次粘贴一个MAC

MAC地址不一致接口自动shutdown

en
conf ter
int e0/0
switchport port-security mac-address sticky
switchport port-security violation shutdown //默认使用的是shutdown，当接入的设备MAC和绑定端口的MAC地址不一样时，接口就会自动shutdown
end

修改PC的MAC地址进行测试

en
conf ter
int e0/0
mac-address aabb.cc00.5001  
end

//SW
show int e0/0

err-disabled 表示接口是错误关闭状态

如果要接口重新开启，需要把PC的MAC地址修改回来，并且在SW连接PC的接口上进行shutdown，no shutdown，在此期间也会有日志提醒

设置接口shutdown之后自动恢复

但是在实际工作中，接口shutdown之后如果要手动开启时不方便的，需要结合error-disable参数来使用

en
conf ter
errdisable recovery cause psecure-violation //设置因为端口安全导致的接口errdisable（这个导致的原因参数有很多）

errdisable recovery interval 30 //设置30s检测一次接口是否恢复正常
end

修改PC的MAC地址，然后并修改回来查看效果

//SW
show ip int br

发现MAC地址修改回来之后不需要手动开启端口，它会自动恢复

清理mac地址表

en
clear mac address-table dynamic

扩展（三个violation的惩罚参数）

protect

当PC的MAC地址与交换机连接PC的端口绑定的MAC地址不同时，接口不会down掉，但会阻塞掉e0/0口传来的数据

en
conf ter
int e0/0
switchport port-security violation protect
end

restrict

当PC的MAC地址与交换机连接PC的端口绑定的MAC地址不同时，接口不会down掉，但会一直弹出报错消息，并且也会阻塞掉e0/0口传来的数据

en
conf ter
int e0/0
switchport port-security violation restrict
end

shutdown

当PC的MAC地址与交换机连接PC的端口绑定的MAC地址不同时，接口直接会down掉

en
conf ter
int e0/0
switchport port-security violation shutdown
end