思科Port-Security
一、为什么要配置端口安全Port-Security?
可以通过Port-Security来限制交换机端口下的主机数量(通过MAC地址限制)
当出现违例时间的时候,端口自动变成惩罚端口(shutdown)
二、Port-Security的基本配置
1.限制端口最大MAC地址数(1-132)
int fa 0/1
switchport port-security max 5
2.为端口绑定静态的MAC地址
int fa 0/1
switchport port-security max-add X:X:X:X
三、惩罚机制
当一个激活Port-Security的接口上,MAC地址数量已经达到了配置的最大安全地址数,当在一个Port-Security接口上配置了某个安全地址,而这个安全地址的MAC又企图在同VLAN的另一个Port-Security接口上接入时,启动惩罚措施(简单的来说与你设置的不符合,相违背的时候端口就变为惩罚端口,然后端口就会变成shutdown,手动无法打开!!!如果端口此时状态发生改变,那么动态获取的MAC地址全部被清空,但是你静态手动绑定的MAC还在!!!)
如果你不想自己的惩罚端口变为shutdown,则在端口上配置以下命令,则只会记录不会使得端口变为shutdown
switchport port-security violation shutdown
2.去除绑定的IP地址
no switchport port-security mac-address
3.查看绑定的MAC地址
文章转载自IT知识一享,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
