cisco端口安全配置详解

cisco交换机端口的安全配置

一、switchport port-security

设置端口安全功能，端口安全的违例处理等。使用该命令的no选项关闭端口安全的设置，或者将安全违例处理方式恢复成缺省值。

switchport port-security [violation {protect | restrict | shutdown}]

no switchport port-security [violation]

参数说明参数描述

port-security 接口安全开关

violation protect 发现违例，则丢弃违例的报文。

violation restrict 发现违例，则丢弃违例的报文并且发送trap。violation shutdown

发现违例，则丢弃报文、发送Trap并且关闭

接口。

缺省配置接口的安全缺省是关闭的。命令模式接口配置模式

使用指导利用端口安全这个特性，可以通过限制允许访问设备上某个接口的MAC地址以及IP(可选)来实现严格控制对该接口的输入。当为安全端口(打开了端口安全功能的端口)配置了一些安全地址后，则除了源地址为这些安全地址的包外，这个端口将不转发其它任何报。此外，还可以限制一个端口上能包含的安全地址最大个数，如果将最大个数设置为1并且为该端口配置一个安全地址，则连接到这个口的工作站（其地址为配置的安全M地址）将独享该端口的全部带宽。

配置举例下面的例子是在接口Gigabitethernet 1/1 上打开端口安全功能，并设置违例处理为shutdown：

Ruijie(config)# interface gigabitethernet1/1

Ruijie(config-if)# switchport port-security

Ruijie(config-if)# switchport port-security violation shutdown

二、switchport port-security aging

该命令为一个接口上的所有安全地址配置老化时间。打开这个功能，就需要设置安全地址的最大个数，这样，就可以让设备自动的增加和删除接口上的安全地址。使用该命令的no选项设置老化时间只应用于自动学习的地址，或者关闭老化功能。

switchport port-security aging {static | time time }

no switchport port-security aging {static | time}

参数说明参数描述

Static

表示老化时间将同时应用于手工配置的安全

地址和自动学习的地址，否则则只应用于自

动学习的地址。

time time

表示这个端口上安全地址的老化时间，范围

是0－1440，单位是分钟。如果设置为0，则

老化功能实际上被关闭。

缺省配置不老化任何安全地址命令模式接口配置模式

使用指导可以在接口配置模式下使用命令no switchport port-security aging time关闭一个接口的安全地址老化功能，使用命令no switchport port-security aging static 来是老化时间仅应用于动态学习到的安全地址。

使用show port-security命令查看设置。

配置举例Ruijie(config)# interface gigabitethernet1/1

Ruijie(config-if)# switchport port-security aging time8 Ruijie(config-if)# switchport port-security aging static

相关命令命令描述

show port-security

显示端口安全的设置信息和安

全地址。

三、switchport port-security maximum

设置端口最大安全地址个数，使用no选项可恢复缺省个数：switchport port-security maximum value

[no] switchport port-security maximum

参数说明参数描述

value 安全地址个数1-128

缺省配置128

命令模式接口模式

使用指导安全地址个数包含静态配置和动态学习的安全地址个数的总和，缺省为128个，如果设置的安全地址个数小于当前已有的安全地址个数，将提示设置失败

配置举例例1：设置口10的端口安全地址个数为2：Ruijie(config)#interg0/10

Ruijie(config-if)# switchport port-security maximum2

四、switchport port-security mac-address

接口模式下手工配置静态安全地址，使用no选项删除配置的地址：[no] switchport port-security mac-address mac-address[vlan vlan-id]

参数说明参数描述

mac-address 静态安全地址

vlan-id

MAC地址的VID

注意：仅在TRUNK口下才支持设置vlan-id

的设置

缺省配置无

命令模式接口模式

配置举例例1：设置TRUNK接口10的静态安全地址00d0.f800.5555 VID=2：Ruijie(config)#inter g0/10

Ruijie(config-if)# switchport port-security mac-address00d0.f800.5555 vlan2

五、show port-security

显示端口安全的设置信息和安全地址。

show port-security [address] [interfaceinterface-id] [all]

参数说明参数描述

address

显示所有的安全地址，或者是指定接口的所

有安全地址。

interfaceinterface-id 显示指定接口的端口安全设置信息。

all 显示所有接口的端口安全设置信息。

命令模式特权模式

使用指导如果使用该命令时不加参数，则显示所有接口的安全设置状态、违例处理等信息，同时显示所有安全地址表的信息。

配置举例Ruijie# show port-security

Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action -------- -------------- ----------- -----------

Gi1/1 128 1 Restrict

Gi1/2 128 0 Restrict

Gi1/3 8 1 Protect