使用 安全 > 端口安全 页面来为设备配置端口能学到的最大 MAC 地址数(存储在地址表中),以及网络访问认证。
若在某端口上开启了端口安全功能,则当交换机学习的 MAC 地址超过最大数时将停止在该端口学习新的 MAC 地址。 只有源地址已经存在于地址表时,入数据流才能通过该端口的网络访问认证。如果某设备的 MAC 地址未被认证并试图使用该交换机端口时,交换机将能检测到入侵并自动采取行动来关闭该端口及发送 trap 消息。
命令用法
安全端口上默认允许的最大 MAC 地址数为 0 (这是关闭状态)。若要使用端口安全,必须为端口配置允许的最大地址数。
配置某端口可学到的最大地址数表项时,首先要关闭该端口的端口安全功能,然后指定被允许的最大动态地址数。 交换机将一直学习该端口收到的帧的地址,直到达到最大被允许的地址对(源 MAC 地址,VLAN)。 端口已经达到最大 MAC 地址数,则会停止学习新的地址。对于已经在地址表中 MAC 地址,将会被刷新而不会被老化。
当端口的安全状态从开启更改到关闭,所有动态学习的表项从地址表中清除。
如果端口安全被开启且被允许的最大地址数设置为非零,则那些试图使用端口且未在地址表中的设备将被阻止访问交换机。
如果端口因违反安全问题被关闭,则必须要在 接口 > 端口 > 全局 页面里手动重新开启。
安全端口有以下限制:
它不能被用来作为静态或动态trunk的成员。
它不应该被连接到一个网络互连设备。
参数
端口号。
启用或禁用端口上的端口安全。 (默认:禁用)
运行状态:
端口安全被关闭。
端口安全被开启。
端口被关闭,由于一个端口安全违规的回应。
当检测到有违反端口安全的行为时,将要执行的操作:
没有将要执行的操作。这是默认操作项)
发送一个 SNMP trap 消息。
关闭端口。
发送一个 SNMP trap 消息及关闭端口。
端口可学到的最大 MAC 地址数。(范围:0 - 1024 ,0 表示关闭)
目前与该接口相关联的MAC地址的数目。
显示,如果MAC地址过滤已根据安全 > 网络接入 (配置MAC过滤)被设置。
一个MAC地址过滤的标示符。
最后一个未授权的MAC地址被检测。
最后一次检测到未授权的MAC地址。