端口安全的配置问题

1.1.13  port-security mac-address dynamic

port-security mac-address dynamic命令用来将Sticky MAC地址设置为动态类型的安全MAC地址。

undo port-security mac-address dynamic命令用来恢复缺省情况。

【命令】

port-security mac-address dynamic

undo port-security mac-address dynamic

【缺省情况】

端口学习到的是Sticky类型的安全MAC，它能够被保存在配置文件中，设备重启后也不会丢失。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【使用指导】

动态类型的安全MAC地址不会被保存在配置文件中，可通过执行display port-security mac-address security命令查看到，设备重启之后会丢失。在不希望设备上保存重启之前端口上已有的Sticky MAC地址的情况下，可将其设置为动态类型的安全MAC地址。

本命令成功执行后，指定端口上的Sticky MAC地址会立即被转换为动态类型的安全MAC地址，且将不能手工添加Sticky MAC地址。之后，若成功执行对应的undo命令，该端口上的动态类型的安全MAC地址会立即转换为Sticky MAC地址，且用户可以手工添加Sticky MAC地址。

【举例】

# 将端口GigabitEthernet1/0/1上的Sticky MAC地址设置为动态类型的安全MAC地址。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port-security mac-address dynamic

【相关命令】

·     display port-security

·     display port-security mac-address security

1.1.14  port-security mac-address security

port-security mac-address security命令用来添加安全MAC地址。

undo port-security mac-address security命令用来删除指定的安全MAC地址。

【命令】

在二层以太网接口视图下：

port-security mac-address security [ sticky ] mac-address vlan vlan-id

undo port-security mac-address security [ sticky ] mac-address vlan vlan-id

在系统视图下：

port-security mac-address security [ sticky ] mac-address interface interface-type interface-number vlan vlan-id

undo port-security mac-address security [ [ mac-address [ interface interface-type interface-number ] ] vlan vlan-id ]

【缺省情况】

未配置安全MAC地址。

【视图】

系统视图

二层以太网接口视图

【缺省用户角色】

network-admin

【参数】

sticky：表示要添加一个可老化的安全MAC地址（Sticky MAC地址）。若不指定本参数，则表示添加的是一个不老化的静态安全MAC地址。

mac-address：安全MAC地址，格式为H-H-H。

interface interface-type interface-number：指定添加安全MAC地址的接口。其中，interface-type interface-number表示接口类型和接口编号。

vlan vlan-id：指定安全MAC地址所属的VLAN。其中，vlan-id表示VLAN编号，取值范围为1～4094。

【使用指导】

Sticky MAC地址的老化时间可通过port-security timer autolearn aging命令配置。当Sticky MAC地址的老化时间到达时，Sticky MAC地址即被删除。

手工配置添加的安全MAC地址在保存配置并设备重启后，不会被删除。因此，可以将网络中一些已知的、固定要接入某端口的主机或设备的MAC地址添加为安全MAC地址，这样在端口处于autoLearn安全模式时，此类源MAC地址为安全MAC地址的主机或设备的报文将被允许通过指定端口，而且还可避免与其它通过自动方式学习到端口上的MAC地址的报文争夺资源而被拒绝接收。

成功添加安全MAC地址的前提为：端口安全处于开启状态；端口的端口安全模式为autoLearn；当前的端口允许指定的VLAN通过或已加入该VLAN，且该VLAN已存在。

已添加的安全MAC地址，除非首先将其删除，否则不能重复添加或者修改其地址类型，例如已经在某端口上添加了一条安全MAC地址port-security mac-address security 1-1-1 vlan 10，则不能再添加一条安全MAC地址port-security mac-address security sticky 1-1-1 vlan 10。

所有的静态安全MAC地址均不老化，除非被管理员通过命令行手工删除，或因为配置的改变（端口的安全模式被改变，或端口安全功能被关闭）而被系统自动删除。

【举例】

# 使能端口安全，配置端口GigabitEthernet1/0/1的安全模式为autoLearn，并指定端口安全允许的最大MAC地址数为100。

<Sysname> system-view

[Sysname] port-security enable

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] port-security max-mac-count 100

[Sysname-GigabitEthernet1/0/1] port-security port-mode autolearn

# 为该端口添加一条Sticky MAC地址0001-0002-0003，该安全MAC地址属于VLAN 4。

[Sysname-GigabitEthernet1/0/1] port-security mac-address security sticky 0001-0002-0003 vlan 4

[Sysname-GigabitEthernet1/0/1] quit

# 在系统视图下为端口GigabitEthernet1/0/1添加一条安全MAC地址0001-0001-0002，该安全MAC地址属于VLAN 10。

[Sysname] port-security mac-address security 0001-0001-0002 interface gigabitethernet 1/0/1 vlan 10