当设置了端口上的最大个数后,你可以使用下面几种方式加满端口上的安全:可以使用接口模式下的命令switchport port-security mac-address mac-address来手工端口的所有安全地址。
可以让该端口自动学习地址,这些自动学习到的地址将变成该端口上的安全地址,直到达到最大个数。需要注意的是,自动学习的安全地址均不会绑定IP地
址,IP如果在一个端口上,你已经配置了绑定地址的安全地址,则将不能再通过自动学习来增加安全地址。你也可以手工配置一部分安全地址,剩下的部分让交换
机自己学习。
当违例产生时,可以设置下面几种针对违例的处理模式:
protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个) 的包
restrict:当违例产生时,将发送一个通知Trap shutdown:当违例产生时,将关闭端口并发送一个通知。
1:configure terminal 进入全局配置模式。
步骤2:interface interface-id 进入接口配置模式。
步骤3:switchport mode access 设置接口为access模式(如果确定接口已经处于access模式,则此步骤可以省略)
步骤4: switchport port-security 打开该接口的端口安全功能
步骤5: switchport port-security maximum value 设置接口上安全地址的最大个数,范围是1-132(不同厂家这个数值略微有不同。)
步骤6: switchport port-security violation{protect | restrict | shutdown}
设置处理违例的方式:
protect:保护端口,当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。
Restrict:当违例产生时,将发送一个通知Trap
shutdown:当违例产生时,将关闭端口并发送一个通知。当端口因为违例而Trap被关闭后,你可以在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。
步骤7: end 回到特权模式。
步骤8: show port-security interface 验证你的配置。
步骤9: wr 保存配置。
注意:保护端口只对同一VLAN内的端口有效,对不同VLAN的端口无效。因为一般不同VLAN访问都做了路由,而相同VLAN内的保护端口是不能访问的了。
阅读(1321) | 评论(0) | 转发(1) |