在对接入用户的安全性要求较高的网络中,可以配置端口安全功能及端口安全动态MAC学习的限制数量。此时接口学习到的MAC地址会被转换为安全MAC地址,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,仅允许这些MAC地址和交换机通信。而且接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,无论目的MAC地址是否存在,交换机即认为有非法用户攻击,就会根据配置的动作对接口做保护处理。这样可以阻止其他非信任用户通过本接口和交换机通信,提高交换机与网络的安全性。
配置安全MAC功能命令行
port-security enable,使能端口安全功能,缺省情况下,未使能端口安全功能。
port-security max-mac-num max-number,配置端口安全动态MAC学习限制数量。缺省情况下,接口学习的安全MAC地址限制数量为1。
port-security mac-address mac-address vlan vlan-id,手工配置安全静态MAC地址表项。
port-security protect-action { protect | restrict | shutdown },配置端口安全保护动作。缺省情况下,端口安全保护动作为restrict。
port-security aging-time time [ type { absolute