端口安全性

在部署交换机以用于生产之前,应保护所有交换机端口(接口)。 一种保护端口的方法就是实施称为“端口安全”的功能。 端口安全限制端口上所允许的有效 MAC 地址的数量。 允许合法设备的 MAC 地址进行访问,而拒绝其他 MAC 地址。

可以配置端口安全以允许一个或多个 MAC 地址。 如果将端口允许的 MAC 地址数量限制为一,则只有具有该特定 MAC 地址的设备才能成功连接到端口。

如果端口已配置为安全端口,并且 MAC 地址的数量已达到最大值,那么任何其他未知 MAC 地址的连接尝试都将产生安全违规。 图 1 总结了这些要点。

安全 MAC 地址类型

配置端口安全有很多方法。 安全地址的类型取决于配置,包括:

粘滞安全 MAC 地址

要将接口配置为可以将动态获取的 MAC 地址转换为粘滞安全 MAC 地址并将其添加到运行配置,您必须启用粘滞获取。 使用 switchport port-security mac-address sticky 接口配置模式命令在接口上启用粘滞获取。

当输入此命令时,交换机会将所有动态获取的 MAC 地址(包括在启用粘滞获取之前动态获取的 MAC 地址)转换为粘滞安全 MAC 地址。 所有粘滞安全 MAC 地址都会添加到地址表和运行配置中。

还可以手动定义粘滞安全 MAC 地址。 当使用 switchport port-security mac-address sticky mac-address 接口配置模式命令配置粘滞安全 MAC 地址时,所有指定地址都将添加到地址表和运行配置中。

如果将粘滞安全 MAC 地址保存到启动配置文件中,则当交换机重新启动或接口关闭时,接口无需重新获取地址。 如果粘滞安全地址未保存,则这些地址将会丢失。

如果使用 no switchport port-security mac-address sticky 接口配置模式命令禁用粘滞获取,则粘滞安全 MAC 地址仍作为地址表的一部分,但会从运行配置中移除。

图 2 显示了粘滞安全 MAC 地址的特征。

注意,在使用 switchport port-security 命令在接口上启用端口安全之前,端口安全功能无法正常工作。