端口安全:通过限制端口的最大学习MAC数目,来防范MAC地址攻击和控制端口的网络流量。如果端口启用端口安全功能,将动态学习接入的MAC地址,当学习地址数达到最大值时停止学习。此后,MAC地址未被学习的网络设备将不能再通过该端口接入网络,保证安全性。
具体配置如下
交换机web界面 二层交换 -> 端口管理 -> 端口安全:
1. 选择对应端口,本例选择端口1;
2. 设置最大学习地址数,本例设置为20个;
3. 配置端口的学习模式为永久,开启端口1的端口安全功能。
经过以上配置,端口1最多只能学习到20个MAC地址,且学习到的MAC地址不受端口老化时间限制,为永久学习。
参数含义
最大学习地址数 :填写对应端口最多可以学习的MAC地址数目。
已学习地址数 :显示对应端口已经学习的MAC地址数目。
学习模式 :选择MAC地址学习的模式。
动态:MAC地址学习受老化时间的限制,老化时间过后,所学的MAC地址将被删除。
静态:MAC地址学习不受老化时间的限制,只能手动进行删除。交换机重启后该条目清空。
永久:MAC地址学习不受老化时间的限制,只能手动进行删除。交换机重启后该条目保持不变。
状态 :选择是否启用端口安全功能。
应用场景
通常将静态地址表+端口安全结合,应用在“网络管理员希望将交换机每端口的主机都固定,不允许随便拔网线换端口”等场合。
例:管理员要求端口1只能是静态地址表中1个MAC对应的设备可以上网,不在静态地址表中的设备则无法上网,那么设置端口安全功能针对端口1设置最大学习地址数为0.,并且在静态地址表中添加允许上网的这个设备的MAC,如下:
设置端口安全,端口1最大学习地址数为0
针对端口1做静态地址绑定,绑定允许上网的设备
进行如上设置后,则只有MAC为80-EA-07-0D-0B-CC的设备接在端口1的VLAN1下能上网,其他设备接到端口1则无法上网。
