当为端口配置了些安全地址后,这个端口将不转发除源地址外的其他任何报文。此外,用户可以限制个端口上能包含的安全地址的大个数。端口安全配置可以防止局域网大部分的内部(如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等)攻击。
1、端口安全的内容
端口安全的具体内容包括端口安全开头、大安全地址个数、安全地址、违例处理方式4项。
配置端口安全时有如下些限制:
①个安全端口不能是个trunk port。
②个安全端口只能是个access port。
2、加满端口上的安全地址
当用户设置了安全端口上安全地址的大个数后,可以使用下面几种方式加满端口上的安全地址。
①使用接口配置模式下的switchport port-security mac-address mac-address命令来手工配置端口的所有安全地址。
②让端口自动学习地址,这些自动学习到的地址将变成此端口上的安全地址,直到端口数量达到大个数。
注意:自动学习的安全地址均不会绑定IP地址,如果在个端口上已经配置了绑定地址,将不能再通过自动学习来增加安全地址。
3、违反端口安全性的情况
下述两种情况均违反了端口安全性:
①个具有安全性的端口所收到帧的源MAC地址已经被赋予另个具有安全性的端口。
②MAC地址表已满时仍试图学习新地址。
4、违例的处理模式
当违例产生时,可以设置下面几种针对违例的处理模式。
①protect:当安全地址个数满后,安全端口将丢弃未知名地址的包。
②restrict:当违例产生时,将发送个Trap通知。
③shutdown:当违例产生时,将关闭端口并发送个通知。
5、违例端口处理措施
当出现违反端口安全性的情况时,端口有以下几种措施。
①Suspend(挂起):端口不再工作,直到有数据帧流入并带有合法的地址信息。
②Disable(禁用):端口不再工作,除非人工使其再次启用。
③Ignore(忽略):忽略其违反安全性,端口仍可工作。
注意:默认情况是suspend。
