1、端口安全简介。
端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
2、安全MAC地址的分类。
安全MAC地址分为:安全动态MAC、安全静态MAC与Sticky MAC。
3、特性依赖和限制。
-
端口安全的默认安全MAC地址的限制数是1个,即只能学习一个MAC地址表项,请根据组网需求正确配置安全MAC地址的限制数。
-
端口安全和RRPP、Smart Link、SEP、ERPS不能配置在同一端口上,否则会导致RRPP、Smart Link、SEP、ERPS无法破环。
4、端口安全实验。
实验拓扑:
1、S1配置。
##开启dhcp服务
[S1]dhcp enable
[S1]vlan 10
[S1-vlan10]q
[S1]int vlanif 10
[S1-Vlanif10]ip add 192.168.10.1 24
[S1-Vlanif10]dhcp select interface //打开接口的dhcp
[S1-Vlanif10]q
——————————————————————————————
将接口分别加入到vlan10中
[S1]int g0/0/1
[S1-GigabitEthernet0/0/1]port link-type access
[S1-GigabitEthernet0/0/1]port default vlan 10
[S1-GigabitEthernet0/0/1]q
[S1]int g0/0/2
[S1-GigabitEthernet0/0/2]port link-type access
[S1-GigabitEthernet0/0/2]port default vlan 10
[S1-GigabitEthernet0/0/2]q
[S1]int g0/0/3
[S1-GigabitEthernet0/0/3]port link-type access
[S1-GigabitEthernet0/0/3]port default vlan 10
[S1-GigabitEthernet0/0/3]q
——————————————————————————————
##配置端口安全功能
[S1]int g0/0/1
[S1-GigabitEthernet0/0/1]port-security enable //开启端口安全功能
[S1-GigabitEthernet0/0/1]port-security mac-address sticky //配置为sticky
[S1-GigabitEthernet0/0/1]port-security max-mac-num 1 //配置端口安全MAC地址学习限制数
[S1-GigabitEthernet0/0/1]q
[S1]int g0/0/2
[S1-GigabitEthernet0/0/2]port-security enable
[S1-GigabitEthernet0/0/2]port-security mac-address sticky
[S1-GigabitEthernet0/0/2]port-security max-mac-num 1
[S1-GigabitEthernet0/0/2]q
[S1]int g0/0/3
[S1-GigabitEthernet0/0/3]port-security enable
[S1-GigabitEthernet0/0/3]port-security mac-address sticky
[S1-GigabitEthernet0/0/3]port-security max-mac-num 1
[S1-GigabitEthernet0/0/3]q
[S1]
2、实验结果。
1、因为在接口上配置了sticky端口安全功能,所有接口只能学习到一个mac地址。
2、因为接口限制了mac地址学校数量,所有原本pc2拥有IP地址,但是但pc2换成新的终端。
终端的mac不会被交换机学习到