一、开启端口安全

[switch] port-security enable


二、配置端口安全允许的最大安全MAC地址数

[switch] interface interface-type interface-number   //进入端口

[switch-interface] port-security max-mac-count count-value


三、配置端口安全模式-自动学习

[switch-interface] port-security port-mode autolearn


四、配置端口安全的特性

[switch-interface] port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly }

 

注:ntkonly:仅允许目的 MAC 地址为已通过认证的 MAC 地址的单播报文通过。

ntk-withbroadcasts:允许目的 MAC 地址为已通过认证的 MAC 地址的单播报文或广播地址

的报文通过。

ntk-withmulticasts:允许目的 MAC 地址为已通过认证的 MAC 地址的单播报文,广播地址

或组播地址的报文通过。

 

五、配置***检测特性

[switch-interface] port-security intrusion-mode { blockmac | disableport | disableport-temporarily }

 

注:blockmac:表示将非法报文的源 MAC 地址加入阻塞 MAC 地址列表中,源 MAC 地址为阻塞

MAC 地址的报文将被丢弃。此 MAC 地址在被阻塞 3 分钟(系统默认,不可配)后恢复正常。

• disableport:表示将收到非法报文的端口永久关闭。

• disableport-temporarily:表示将收到非法报文的端口暂时关闭一段时间。关闭时长可通过port-security timer disableport 命令配置。




基本配置已完成,下面的是可选项

-----------------------------------------------------------------------------------------------------------------------------------------------------------

 


六、配置系统暂时关闭端口的时间(可选)

[switch] port-security timer disableport time-valu

 

七、手动配置MAC安全地址(可选)

[switch] port-security mac-address security [ sticky ] mac-address interface interface-type interface-number vlan vlan-id