交换机端口安全Port-Security
配置Port-Security 有什么用?
答:1.可以通过Port-Security 来限制交换机端口下的主机数量(通过mac地址限制)
2.当出现违例时间的时候,端口自动变成惩罚端口(shutdown)
Port-Security的基本配置?(以思科举例)
one:限制端口最大MAC地址数(1-132)
int fa 0/1
switchport port-security max 5
two:为端口绑定静态的MAC地址
int fa 0/1
switchport port-security max-add X:X:X:X
惩罚机制
当一个激活了Port-Security的接口上,MAC地址数量已经达到了配置的最大安全地址数,当在一个Port-Security接口上配置了某个安全地址,而这个安全地址的MAC又企图在同VLAN的另一个Port-Security接口上接入时,启动惩罚措施(简单的来说与你设置的不符合,相违背的时候端口就变为惩罚端口,然后端口就会变成shutdown,手动无法打开!!!如果端口此时状态发生改变,那么动态获取的Mac地址全部被清空,但是你静态手动绑定的Mac还在!!)
如果不想自己的惩罚端口变为shutdown,则在端口上配置以下命令,则只会记录不会是的端口变为shutdown
switchport port-security violation shutdown
其他命令
去除绑定的mac地址
no switchport port-security mac-address
查看绑定的Mac地址
show mac-address-table