cisco端口安全配置详解

cisco交换机端口的安全配置

一、switchport port-security

设置端口安全功能，端口安全的违例处理等。使用该命令的no选项关闭端口安全的设置，或者将安全违例处理方式恢复成缺省值。

switchport port-security [violation {protect | restrict | shutdown}] no switchport port-security [violation]

参数 描述 port-security 接口安全开关 violation protect 发现违例，则丢弃违例的报文。

参数说明

violation restrict 发现违例，则丢弃违例的报文并且发送trap。

发现违例，则丢弃报文、发送Trap并且关闭

violation shutdown

接口。

缺省配置 接口的安全缺省是关闭的。

命令模式 接口配置模式

利用端口安全这个特性，可以通过允许访问设备上某个接口的MAC地址以与IP(可选)来实现严格控制对该接口的输入。当为安全端口(打开了端口安全功能的端口)配置了一些安全地址后，则除了源地址为这些安全地址的

使用指导 包外，这个端口将不转发其它任何报。此外，还可以一个端口上能包含

的安全地址最大个数，如果将最大个数设置为1并且为该端口配置一个安全地址，则连接到这个口的工作站（其地址为配置的安全M地址）将独享该端口的全部带宽。

下面的例子是在接口Gigabitethernet 1/1 上打开端口安全功能，并设置违例处理为shutdown：

配置举例 Ruijie(config)# interface gigabitethernet1/1

Ruijie(config-if)# switchport port-security

Ruijie(config-if)# switchport port-security violation shutdown

二、 switchport port-security aging

该命令为一个接口上的所有安全地址配置老化时间。打开这个功能，就需要设置安全地址的最大个数，这样，就可以让设备自动的增加和删除接口上的安全地址。使用该命令的no选项设置老化时间只应用于自动学习的地址，或者关闭老化功能。 switchport port-security aging {static | time time } no switchport port-security aging {static | time}

1 / 4

优质文本

参数说明

缺省配置 命令模式

参数 Static

time time

描述

表示老化时间将同时应用于手工配置的安全地址和自动学习的地址，否则则只应用于自动学习的地址。

表示这个端口上安全地址的老化时间，范围是0－1440，单位是分钟。如果设置为0，则老化功能实际上被关闭。

使用指导

配置举例

相关命令

不老化任何安全地址 接口配置模式

可以在接口配置模式下使用命令no switchport port-security aging time关闭一个接口的安全地址老化功能，使用命令no switchport port-security aging static来是老化时间仅应用于动态学习到的安全地址。 使用show port-security命令查看设置。 Ruijie(config)# interface gigabitethernet1/1

Ruijie(config-if)# switchport port-security aging time8 Ruijie(config-if)# switchport port-security aging static 命令 描述

显示端口安全的设置信息和安

show port-security

全地址。

三、switchport port-security maximum

设置端口最大安全地址个数，使用no选项可恢复缺省个数： switchport port-security maximum value [no] switchport port-security maximum

参数 描述

参数说明

value 安全地址个数1-128

缺省配置 128

命令模式 接口模式

安全地址个数包含静态配置和动态学习的安全地址个数的总和，缺省为128

个，如果设置的安全地址个数小于当前已有的安全地址个数，将提示设置失

使用指导

败

例1：设置口10的端口安全地址个数为2：

配置举例 Ruijie(config)#interg0/10

Ruijie(config-if)# switchport port-security maximum2

2 / 4

优质文本

四、 switchport port-security mac-address

接口模式下手工配置静态安全地址，使用no选项删除配置的地址： [no] switchport port-security mac-address mac-address[vlan vlan-id]

参数 描述 mac-address 静态安全地址

参数说明 MAC地址的VID

vlan-id 注意：仅在TRUNK口下才支持设置vlan-id

的设置

缺省配置 无

命令模式 接口模式

例1：设置TRUNK接口10的静态安全地址00d0.f800.5555 VID=2：

Ruijie(config)#inter g0/10

配置举例

Ruijie(config-if)# switchport port-security mac-address00d0.f800.5555 vlan2

五、 show port-security

显示端口安全的设置信息和安全地址。

show port-security [address] [interfaceinterface-id] [all]

参数 描述

显示所有的安全地址，或者是指定接口的所

address

参数说明 有安全地址。

interfaceinterface-id 显示指定接口的端口安全设置信息。 all 显示所有接口的端口安全设置信息。

命令模式 特权模式

如果使用该命令时不加参数，则显示所有接口的安全设置状态、违例处理等

使用指导

信息，同时显示所有安全地址表的信息。 Ruijie# show port-security

Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action -------- -------------- ----------- -----------

配置举例

Gi1/1 128 1 Restrict Gi1/2 128 0 Restrict Gi1/3 8 1 Protect

3 / 4

优质文本

六、switchport protected

该命令是将接口设为保护接口。使用该命令的no选项关闭保护接口。 switchport protected no switchport protected 缺省配置 命令模式 使用指导 配置举例 相关命令

命令

show interfaces switchport

描述

查看接口设置和统计信息。

Ruijie(config)# interface gigabitethernet 1/1 Ruijie(config-if)# switchport protected

当将某些端口设为保护口之后，缺省情况下保护口和保护口之间不能进行二层交换可以进行3层路由，保护口与非保护口之间可以正常通讯。使用show interfaces switchport命令查看设置。 接口配置模式 缺省关闭保护接口

4 / 4