在很多应用场景中,会遇到交换机端口限制最大接入数,但是不限制接入用户是哪一个的情况。当计算机接入需求大于端口最大接入数时,如果接入的MAC地址永远存在于安全MAC地址表中,永不过期,那么后续接入的用户将永远无法访问网络。在安全端口上通常会配置地址老化时间,老化时间按照绝对的方式倒计时,经过指定的时间后,这个地址将被自动删除。
图4-5的拓扑中配置三层交换机f0/24端口的最大连接数为1,并且修改违例方式为protect,同时修改端口老化时间为1 min。
以上指令在配置时可能会遇到因为MAC地址表中存在的记录数大于1而引起的错误提示,此时断开二层交换机和三层交换机之间的链路,清空端口地址表即可。老化时间的范围为0~1440,单位为分钟,0代表永远不超时,是默认值。
确保二层交换机和三层交换机之间的链路连接好后,从PC2和PC3同时使用带“t”参数的“ping”命令测试与PC1的连通性,会发现PC2和PC3不能同时“ping”通PC1,而能够交替“ping”通PC1,这是因为1 min超时时间到达后,安全MAC地址表中的记录被删除,另外一台的MAC地址如果被记录则能“ping”通。1 min之后,该记录同样也会被删除。在三层交换机上查看安全MAC地址表,只会存在一条记录,可能是PC1的或者PC2的,又或者是二层交换机的本机MAC地址,超时时间都是1 min。
(www.xing528.com)
这3台设备的MAC地址会被三层交换机交替地动态学习到,如果将二层交换机发出的数据包过滤掉可能会导致生成树协议故障,因此,为了使二层交换机的本机MAC地址对应的记录不超时,可以将其配置为静态地址(Configured)。
此时,因为最大连接数为1,PC2和PC3的MAC地址将不会被三层交换机动态学习了,它们都无法与PC1通信。接口模式下“switchport port-security aging static”指令配置的老化时间将同时应用于手工配置的安全地址。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
