将接口学习到的MAC地址转换为安全MAC,并阻止除安全MAC以外的其他MAC访问本接口,从而增强设备安全性
三类 MAC地址配置方式
1、安全动态MAC
int g 0/0/2
port-security enable
port-security aging-time 30 如果不配默认不DOWN不丢失DOWN了会丢失。
调试:dis mac-address security
2、安全静态MAC
配静态前题要先开sticky
port-security mac-address sticky 5449-9001-0808-2324 vlan 1
3、sticky MAC
port-security enable
port-security mac-address sticky
port-security max-mac-num 3 默认为1,修改后为3
sticky mac和静态MAC地址是永久的,端口DOWN也不丢失。
如果非安全MAC有三种处理方式
port-security protect-action {protect | restrict | shutdown}
1、restrict 丢弃源MAC地址不存在的报文并上报警。推荐使用该动作。 注:设备收到非法MAC地址的报文时,每30s至少警告1次,至多警告2次。
2、protect 只丢弃源MAC地址不存在的报文,不上告报警。
3、shutdown 接口状态被置为error-down,并上报告警。 注:默认情况下,接口关闭后不会自动恢复,只能由管理员手动恢复。
error-down auto-recovery cause port-security interal 30 30s后自动UP