交换机端口安全功能设置指导
本页链接:https://kb.edianzu.cn:90/index.php?c=show&id=1169

端口安全:通过限制端口的最大学习MAC数目,来防范MAC地址攻击和控制端口的网络流量。如果端口启用端口安全功能,将动态学习接入的MAC地址,当学习地址数达到最大值时停止学习。此后,MAC地址未被学习的网络设备将不能再通过该端口接入网络,保证安全性。

具体配置如下

交换机web界面 二层交换 -> 端口管理 -> 端口安全:



1. 选择对应端口,本例选择端口1

2. 设置最大学习地址数,本例设置为20个;

3. 配置端口的学习模式为永久,开启端口1的端口安全功能。

经过以上配置,端口1最多只能学习到20MAC地址,且学习到的MAC地址不受端口老化时间限制,为永久学习。

参数含义

最大学习地址数 :填写对应端口最多可以学习的MAC地址数目。

已学习地址数 :显示对应端口已经学习的MAC地址数目。

学习模式 :选择MAC地址学习的模式。

动态:MAC地址学习受老化时间的限制,老化时间过后,所学的MAC地址将被删除。

静态:MAC地址学习不受老化时间的限制,只能手动进行删除。交换机重启后该条目清空。

永久:MAC地址学习不受老化时间的限制,只能手动进行删除。交换机重启后该条目保持不变。

状态 :选择是否启用端口安全功能。

应用场景

通常将静态地址表+端口安全结合,应用在“网络管理员希望将交换机每端口的主机都固定,不允许随便拔网线换端口”等场合。

例:管理员要求端口1只能是静态地址表中1MAC对应的设备可以上网,不在静态地址表中的设备则无法上网,那么设置端口安全功能针对端口1设置最大学习地址数为0.,并且在静态地址表中添加允许上网的这个设备的MAC,如下:

设置端口安全,端口1最大学习地址数为0

针对端口1做静态地址绑定,绑定允许上网的设备

进行如上设置后,则只有MAC80-EA-07-0D-0B-CC的设备接在端口1VLAN1下能上网,其他设备接到端口1则无法上网。


本页链接:https://kb.edianzu.cn:90/index.php?c=show&id=1169