实现交换机端口安全功能

端口安全功能通过报文的源MAC地址来限定报文是否可以进入交换机的端口，可以静态设置特定的MAC地址或者动态学习限定个数的MAC地址来控制报文是否可以进入端口，使能端口安全功能的端口称为安全端口。只有源MAC地址为端口安全地址表中配置或者学习到的MAC地址的报文才可以进入交换机通信，其他报文将被丢弃。

还可以设定端口安全地址绑定IP+MAC，或者仅绑定IP，用来限制必须符合绑定的以端口安全地址为源MAC地址的报文才能进入交换机通信；符合IP+MAC或者IP绑定的安全地址的IP报文和ARP报文可以进入交换机，不符合绑定的IP和ARP报文将被丢弃。

端口安全还支持Sticky MAC地址功能，通过使能该功能，可以将动态学习到的安全地址转换为静态配置。用“show running-config”可以看到配置，保存配置后，重启不用重新学习这些动态安全地址，而如果没有启用该功能，那么动态学习到的安全 MAC地址在交换机重启后要重新学习。

可以为每个安全端口配置最大可允许的安全地址数，最大安全地址数指的是静态配置与动态学习的安全地址总数，当安全端口下安全地址没有达到最大安全地址数时，安全端口能够动态学习新的动态安全地址，当安全地址数达到最大数时，安全端口将不再学习动态安全地址，如果此时有新的用户接入安全端口，将产生安全违例事件。违例事件将按照用户指定的处理方式执行，共有如下3种。

（1）protect：当安全地址个数满后，安全端口将丢弃所有新接入的用户数据流。该处理模式为默认的违例处理模式。

（2）restrict：当违例产生时，将发送一个 Trap 通知。(www.xing528.com)

（3）shutdown：当违例产生时，将关闭端口并发送一个 Trap 通知。

端口安全的安全地址支持老化配置，可以指定只老化动态学习的地址，或指定老化静态配置与动态学习同时进行的安全地址。

图4-5中，配置计算机的IP地址在同一网段，如1.1.123.0/24，它们的MAC地址如图所示，默认情况下所有计算机在1号VLAN，可以互相通信，图中的二层和三层交换机都支持端口安全功能，三层交换机可以替换为二层交换机。

图4-5　交换机端口安全配置拓扑