端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
安全MAC地址的分类
安全MAC地址分为:安全动态MAC、安全静态MAC与Sticky MAC
| 类型 | 定义 | 特点 |
|---|---|---|
| 安全动态MAC地址 | 使能端口安全而未使能Sticky MAC功能时转换的MAC地址。 | 设备重启后表项会丢失,需要重新学习。 缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化。 安全动态MAC地址的老化类型分为:绝对时间老化和相对时间老化。
|
| 安全静态MAC地址 | 使能端口安全时手工配置的静态MAC地址。 | 不会被老化,手动保存配置后重启设备不会丢失。 |
| Sticky MAC地址 | 使能端口安全后又同时使能Sticky MAC功能后转换到的MAC地址。 | 不会被老化,手动保存配置后重启设备不会丢失。 |
实验拓补图
S1的配置
[s1-vlan10]
[s1]interface gigabitethernet 0/0/1
[s1-GigabitEthernet0/0/1]port link-type access
[s1-GigabitEthernet0/0/1]port default vlan 10
[s1]interface gigabitethernet 0/0/2
[s1-GigabitEthernet0/0/2]port link-type access
[s1-GigabitEthernet0/0/2]port default vlan 10
[s1-GigabitEthernet0/0/2]interface gigabitethernet 0/0/3
[s1-GigabitEthernet0/0/3]port link-type access
[s1-GigabitEthernet0/0/3]port default vlan 10
[s1]interface gigabitethernet 0/0/1
[s1-GigabitEthernet0/0/1]port-security enable
[s1-GigabitEthernet0/0/1]port-security mac-address sticky
[s1-GigabitEthernet0/0/1]port-security max-mac-num 1
[s1-GigabitEthernet0/0/1]interface gigabitethernet 0/0/2
[s1-GigabitEthernet0/0/2]port-security enable
[s1-GigabitEthernet0/0/2]port-security mac-address sticky
[s1-GigabitEthernet0/0/2]port-security max-mac-num 1
[s1-GigabitEthernet0/0/2]interface gigabitethernet 0/0/3
[s1-GigabitEthernet0/0/3]port-security enable
[s1-GigabitEthernet0/0/3]port-security mac-address sticky
[s1-GigabitEthernet0/0/3]port-security max-mac-num 1
[s1]interface GigabitEthernet 0/0/4
[s1-GigabitEthernet0/0/4]port link-type access
[s1-GigabitEthernet0/0/4]port default vlan 10
[s1]interface Vlanif 10
[s1-Vlanif10]ip address 192.168.1.2 24
r1的配置
[r1]dhcp enable
[r1]interface GigabitEthernet 0/0/0
[r1-GigabitEthernet0/0/0]ip address 192.168.1.1 24
[r1-GigabitEthernet0/0/0]dhcp select interface
[r1-GigabitEthernet0/0/0]dhcp server dns-list 6.6.6.6
换成其他设备,无法访问公司网络
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
