switchport mode access 端口调整为接入模式,切忌在uplink端口开启端口安全
switchport port-security 交换机端口安全的开关,无论后序命令为何,都必须先打开此开关
switchport port-security maximum xx 该端口允许学到的最大mac地址数目,默认值为1
switchport port-security violation protect/shutdown/restrict 违反安全规则后端口的响应模式
protect为保护模式,违例丢弃;
restrict为约束模式,违例丢弃,发送trap;
默认为shutdown模式,违例丢弃,发送trap,关闭接口。
当你使用了port-security后,端口学到的mac地址都是静态绑定,不会老化,重启后会消失。
若要其老化,使用命令 switchport port-security aging {static / time time}
static表示老化时间将同时应用于手工配置的安全地址①和自动学习的地址,否则则只应用于自动学习的地址。
time参数为老化时间,单位分钟,0-1440,0即为不老化。
①switchport port-security mac-address xxxxx 将指定的mac地址绑定在此端口上,不允许从其他端口上再次学到此地址,保存配置后,重启不会消失。
①switchport port-security mac-address sticky 粘性学习,将当前和以后合法学习到的静态绑定的地址自动粘帖到running-config中,若执行了copy run start或者write后,下次即便重新启动交换机,此粘帖的mac地址仍在mac地址表中。不允许从其他的端口学到这些地址。
可以使用show port-security interface x 命令查看交换机端口安全的设置和违反规定计数器值。
可以使用show port-security查看全局端口安全参数值 。
违反安全规定的行为包括:
当达到maximum的mac-address被学习到,又有新的mac地址进来时;
当一个被绑定在某安全端口的mac地址被另一个端口再次学习到时。