配置端口安全性

在所有交换机端口上实施安全措施：

l  在端口上指定一组允许的有效MAC地址。

l  只允许一个MAC地址访问端口。

l  指定端口在检测到未经授权的MAC地址时自动关闭。

         安全 MAC 地址类型：

l  静态安全 MAC 地址：静态 MAC 地址是使用 switchport port-security mac-addressmac-address 接口配置命令手动配置的。即使交换机重启绑定的MAC也依然存在。

l  动态安全 MAC 地址：动态 MAC 地址是动态获取的，并且仅存储在地址表中。以此方式配置的 MAC 地址在交换机重新启动时将被移除。

l  粘滞安全 MAC 地址：可以将端口配置为动态获得 MAC 地址，然后将这些 MAC 地址保存到运行配置中。

         粘滞 MAC 地址：

                粘滞安全 MAC 地址有以下特性：

l  当使用 switchport port-security mac-address sticky 接口配置命令在接口上启用粘滞获取时，接口将所有动态安全 MAC 地址（包括那些在启用粘滞获取之前动态获得的 MAC 地址）转换为粘滞安全 MAC 地址，并将所有粘滞安全 MAC 地址添加到运行配置。

l  如果使用 no switchport port-security mac-address sticky 接口配置命令禁用粘滞获取，则粘滞安全 MAC 地址仍作为地址表的一部分，但是已从运行配置中移除。

l  如果使用 switchport port-security mac-address sticky mac-address 接口配置命令配置粘滞安全 MAC 地址时，这些地址将添加到地址表和运行配置中。 如果禁用端口安全性，则粘滞安全 MAC 地址仍保留在运行配置中。

l  如果将粘滞安全 MAC 地址保存在配置文件中，则当交换机重新启动或者接口关闭时，接口不需要重新获取这些地址。如果不保存粘滞安全地址，则它们将丢失。

l  如果禁用粘滞获取并输入 switchport port-security mac-address sticky mac-address 接口配置命令，则会出现错误消息，并且粘滞安全 MAC 地址不会添加到运行配置。

         安全违规模式：

               当出现以下任一情况时，则会发生安全违规：

l  地址表中添加了最大数量的安全 MAC 地址，有工作站试图访问接口，而该工作站的 MAC 地址未出现在该地址表中。

l  在一个安全接口上获取或配置的地址出现在同一个 VLAN 中的另一个安全接口上。

根据出现违规时要采取的操作，可以将接口配置为三种违规模式之一。图中演示，当端口上配置了以下某一安全违规模式时，将转发哪些类型的数据流量：

 

 

保护未使用的端口：

将没有使用的端口关闭，从提高网络安全性的角度来看，这却是值得付出的工作。禁用交换机上的多个端口：interface range 接口类型 接口号 –到多少接口号 命令进入批量端口选择，后使用shutdown命令来关闭端口。