交换机端口安全Port-Security超级详解

交换机端口安全 Port-Security 超级详解交换安全】交换机端口安全 Port-Security 超级详解 一、Port-Security 概述 在部署园区网的时候，对于交换机，我们往往有如下几种特殊的需求：限制交换机每个端口下接入主机的数量（MAC 地址数量）限定交换机端口下所连接的主机（根据 IP 或 MAC 地址进行过滤）当出现违例时间的时候能够检测到，并可采取惩罚措施上述需求，可通过交换机的 Port-Security 功能来实现： 二、理解 Port-Security1.Port-Security 安全地址：secure MAC address 在接口上激活 Port-Security 后，该接口就具有了一定的安全功能，例如能够限制接口（所连接的）的最大 MAC 数量，从而限制接入的主机用户；或者限定接口所连接的特定 MAC，从而实现接入用户的限制。那么要执行过滤或者限制动作，就需要有依据，这个依据就是安全地址 – secure MAC address。 安全地址表项可以通过让使用端口动态学习到的 MAC（SecureDynamic），或者是手工在接口下进行配置（SecureConfigured），以及 sticy MAC address（SecureSticky） 三种方式进行配置。 当我们将接口允许的 MAC 地址数量设置为 1 并且为接口设置一个安全地址，那么这个接口将只为该 MAC 所属的 PC 服务，也就是源为该 MAC 的数据帧能够进入该接口。2.当以下情况发生时，激活惩罚（violation）： 当一个激活了 Port-Security 的接口上，MAC 地址数量已经达到了配置的最大安全地址数量，并且又收到了一个新的数据帧，而这个数据帧的源 MAC 并不在这些安全地址中，那么启动惩罚措施 当在一个 Port-Security 接口上配置了某个安全地址，而这个安全地址的 MAC 又企图在同 VLAN 的另一个 Port-Security 接口上接入时，启动惩罚措施 当设置了 Port-Security 接口的最大允许 MAC 的数量后，接口关联的安全地址表项可以通过如下方式获取：在接口下使用 switchport port-security mac-address 来配置静态安全地址表项使用接口动态学习到的 MAC 来构成安全地址表项一部分静态配置，一部分动态学习当接口出现 up/down，则所有动态学习的 MAC 安全地址表项将清空。而静态配置的安全地址表项依然保留。3.Port-Security 与 Sticky MAC 地址 上面我们说了，通过接口动态学习的 MAC 地址构成的安全地址表项，在接口出现up/down 后，将会丢失这些通过动态学习到的 MAC 构成的安全地址表项，但是...