端口安全功能通过报文的源MAC地址来限定报文是否可以进入交换机的端口,可以静态设置特定的MAC地址或者动态学习限定个数的MAC地址来控制报文是否可以进入端口,使能端口安全功能的端口称为安全端口。只有源MAC地址为端口安全地址表中配置或者学习到的MAC地址的报文才可以进入交换机通信,其他报文将被丢弃。
还可以设定端口安全地址绑定IP+MAC,或者仅绑定IP,用来限制必须符合绑定的以端口安全地址为源MAC地址的报文才能进入交换机通信;符合IP+MAC或者IP绑定的安全地址的IP报文和ARP报文可以进入交换机,不符合绑定的IP和ARP报文将被丢弃。
端口安全还支持Sticky MAC地址功能,通过使能该功能,可以将动态学习到的安全地址转换为静态配置。用“show running-config”可以看到配置,保存配置后,重启不用重新学习这些动态安全地址,而如果没有启用该功能,那么动态学习到的安全 MAC地址在交换机重启后要重新学习。
可以为每个安全端口配置最大可允许的安全地址数,最大安全地址数指的是静态配置与动态学习的安全地址总数,当安全端口下安全地址没有达到最大安全地址数时,安全端口能够动态学习新的动态安全地址,当安全地址数达到最大数时,安全端口将不再学习动态安全地址,如果此时有新的用户接入安全端口,将产生安全违例事件。违例事件将按照用户指定的处理方式执行,共有如下3种。
(1)protect:当安全地址个数满后,安全端口将丢弃所有新接入的用户数据流。该处理模式为默认的违例处理模式。
(2)restrict:当违例产生时,将发送一个 Trap 通知。(www.xing528.com)
(3)shutdown:当违例产生时,将关闭端口并发送一个 Trap 通知。
端口安全的安全地址支持老化配置,可以指定只老化动态学习的地址,或指定老化静态配置与动态学习同时进行的安全地址。
图4-5中,配置计算机的IP地址在同一网段,如1.1.123.0/24,它们的MAC地址如图所示,默认情况下所有计算机在1号VLAN,可以互相通信,图中的二层和三层交换机都支持端口安全功能,三层交换机可以替换为二层交换机。
图4-5 交换机端口安全配置拓扑
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。