交换机端口安全

switchport mode access 端口调整为接入模式，切忌在uplink端口开启端口安全

 

switchport port-security 交换机端口安全的开关，无论后序命令为何，都必须先打开此开关

 

switchport port-security maximum xx   该端口允许学到的最大mac地址数目，默认值为1

 

switchport port-security violation protect/shutdown/restrict   违反安全规则后端口的响应模式

protect为保护模式，违例丢弃；

restrict为约束模式，违例丢弃，发送trap；

默认为shutdown模式，违例丢弃，发送trap，关闭接口。

 

当你使用了port-security后，端口学到的mac地址都是静态绑定，不会老化，重启后会消失。

若要其老化，使用命令 switchport port-security aging ｛static / time time｝

static表示老化时间将同时应用于手工配置的安全地址①和自动学习的地址，否则则只应用于自动学习的地址。

time参数为老化时间，单位分钟，0-1440，0即为不老化。

 

①switchport port-security mac-address xxxxx 将指定的mac地址绑定在此端口上，不允许从其他端口上再次学到此地址，保存配置后，重启不会消失。

①switchport port-security mac-address sticky 粘性学习，将当前和以后合法学习到的静态绑定的地址自动粘帖到running-config中，若执行了copy run start或者write后，下次即便重新启动交换机，此粘帖的mac地址仍在mac地址表中。不允许从其他的端口学到这些地址。

 

 

可以使用show port-security interface x 命令查看交换机端口安全的设置和违反规定计数器值。

可以使用show port-security查看全局端口安全参数值 。

 

违反安全规定的行为包括：

当达到maximum的mac-address被学习到，又有新的mac地址进来时；

当一个被绑定在某安全端口的mac地址被另一个端口再次学习到时。