端口安全技术白皮书

端口安全技术白皮书技术白皮书-端口安全技术白皮书-端口安全1端口安全PAGE1PAGE11端口安全关于本章介绍应用介绍

端口安全（PortSecurity）功能将交换机接口学习到的MAC地址变为安全MAC地址（包括安全动态MC和SckyMACACC原理描述端口学习安全MAC地址的方式安全MAC地址分为两种：安全动态MAC与StickyMAC。二者定义及区别如下：MACStickyMACMACMAC地址不会被老化，设备重启后安全动态MACStickyMACStickyMACMAC地址。StickyMACStickyMACMACMACMACMACMACMACStickyMAC功能，安全动态MACStickyMACMACStickyMACMACMAC安全MAC地址学习数限制缺省情况下，每个接口仅可以学习一个安全MAC地址，用户可以配置接口学习安全MAC地址的最大数量限制。端口安全保护动作用户可以配置端口安全的保护动作，当端口学习到的安全MAC地址数量达到限制时，可以选择采取以下某一种动作：protect：当学习到的MACMAC表restrictMACMAC表shutdownMACShutdown缺省情况下，端口安全保护动作为restrict。手动指定安全MAC地址表项用户可以通过命令port-securitymac-addresssticky手动配置sticky-mac表项。本文中的配置命令及配置文件均以S7700交换机举例。安全动态MAC的配置在使用端口安全之前，请确保已完成以下任务：MACMUXVLANMAC802.1x关闭DHCPSnoopingMACGE1/0/1[Switch]interfacegigabitethernet1/0/1[Switch-GigabitEthernet1/0/1]port-securityenableMAC5shutdown。[Switch-GigabitEthernet1/0/1]port-securitymax-mac-num5[Switch-GigabitEthernet1/0/1]port-securityprotect-actionshutdowndisplaymac-addresssecurity命令查看安全动态MAC[Switch]mac-addresssecurityMACAddress VLAN/VSI Type0019-21db-25a31/- GE1/0/1 securityTotalitemsdisplayed=1StickyMAC的配置在使用端口安全之前，请确保已完成以下任务：MACMUXVLANMAC802.1x关闭DHCPSnoopingMACGE1/0/2StickyMAC[Switch]interfacegigabitethernet1/0/2[Switch-GigabitEthernet1/0/2]port-securityenable[Switch-GigabitEthernet1/0/2]port-securitymac-addressstickyMAC5shutdown。[Switch-GigabitEthernet1/0/2]port-securitymax-mac-num5[Switch-GigabitEthernet1/0/2]port-securityprotect-actionshutdownGE1/0/2MAC0001-0001-0001VLAN2的StickyMAC[Switch-GigabitEthernet1/0/2]port-securitymac-addresssticky0001-0001-0001vlan2displaymac-addressstickyStickyMAC[Switch]mac-addressstickyMACAddress VLAN/VSI Type0025-9eff-ffff1/-GE1/0/2sticky0001-0001-00012/-GE1/0/2stickyTotalitemsdisplayed=2应用1.3.1端口安全典型组网应用如1-1SwitchMAC使用自己带来的PC图1-1配置端口安全示例组网图Switch的配置文件。#sysnameSwitch#vlanbatch#interfaceGigabitEthernet1/0/1portlink-typetrunkporttrunkallow-passvlan10port-securityena