配置端口安全特性的步骤如下:

1.启用端口安全特性:

(config-if)#switchport port-security

2.限制被允许访问的MAC地址是最大数目:

(config-if)#switchport port-security maximum {number} [vlan vlan-list]

3.静态定义MAC地址,可以设置一个或多个MAC地址:

(config-if)#switchport port-security mac-address {mac-address} [vlan vlan-id]

4.定义当收到带有违法MAC地址信息的帧的时候,端口所采取的动作.如果关键字设置shutdown,那么一旦端口收到带有未知MAC地址(即违法)的帧的时候,端口将被设置为error-disable状态,即不可用;关键字restrict和protect的区别仅仅在于后者会发送日志信息,它们对违法的帧的操作均为丢弃:Aiko(config-if)#switchport port-security violation {protect|restrict|shutdown}

5.启用MAC地址的粘滞学习(sticky learning),即当交换机重启之后,MAC地址不需要重新学习,它们是被保存在交换机启动配置文件里的.可选:

Aiko(config-if)#switchport port-security mac-address sticky

802.1x Port-Based Authentication

802.1x标准提供了基于交换机端口的认证方式.

配置802.1x端口认证的步骤如下:

1.启用认证,授权和审计(AAA):

Aiko(config)#aaa new-model

2.创建方式列表(method list):

Aiko(config)#aaa authentication dot1x default group {radius|tacacs+}

3.全局启用802.1x端口认证:

Aiko(config)#dot1x system-auth-control