交换机与端口的绑定方法.docx

一、原理
1、首先必须明白两个概念: 可靠的 MAC 地址。设置时候有三种类
型。
静态可靠的 MAC 地址:在交换机接口模式下手动设置,这个设置
会被保存在交换机 MAC 地址表和运行设置文件中,交换机重新启动后
,
不丢失(当然是在保存设置完成后) 具体命令如下:
Mac
Switch(config-if)#switchport port-security mac-address 地址
动态可靠的 MAC 地址:这种类型是交换机默认的类型。在这种类
型下,交换机会动态学习 MAC 地址,不过这个设置只会保存在MAC
地址表中,不会保存在运行设置文件中,并且交换机重新启动后,这些
MAC 地址表中的 MAC 地址自动会被清除。
黏性可靠的 MAC 地址:这种类型下,能手动设置MAC 地址和端
口的绑定,也能让交换机自动学习来绑定,这个设置会被保存在MAC
地址中和运行设置文件中,如果保存设置,交换机重起动后不用再自动
重新学习 MAC 地址,虽然黏性的可靠的 MAC 地址能手动设置,不过
具
CISCO官方不推荐这样做。 体命令如下: Switch(config-if)#switchport
port-security mac-address sticky其实在上面这条命令设置后并且该端
口得到 MAC 地址后,会自动生成一条设置命令
Mac
Switch(config-if)#switchport port-security mac-address sticky地址 这
也是为何在这种类型下 CISCO不推荐手动设置 MAC 地址的原因。
2、违反 MAC 安全采取的措施: 当超过设定 MAC 地址数量的最大值,
或访问该端口的
备 MAC 地址不是这个 MAC 地址表中该端口的 MAC 地址,或同一个
VLAN 中一个 MA
地址被设置在几个端口上时,就会引发违反MAC 地址安全,这个时候
采取的措施有三种: 保护模式(protect):丢弃数据包,不发
警告。 .
限制模式(restrict):丢弃数据包发警告,发出SNMP trap,同时被记
录在 syslog日志里。
关闭模式(shutdown):这交换机 默认模式,在这种情况下端口即时
变为 err-disable状态,并且关掉端口灯,发出SNMPtrap,同时被记
录在 syslog日志里,除非管理员手工激活,否则该端口失效。
具体命令下:
Switch(config-if)#switchport port-security violation {protect | restrict |
shutdown }
下面这个表一就是具体的对比 Violation Mode Traffic is forwarded
error
Sends SNMP trap Sends syslog message Displays message Shuts
down port protect No No No No No restrict No Yes Yes No No shutdown
表
No Yes Yes No Yes 一  设置端口安全时还要注意以下几
个问题:
端口安全仅仅设置在静态 Access端