你可以使用端口安全特性來(lái)約束進(jìn)入一個(gè)端口的訪(fǎng)問(wèn)，基于識(shí)別站點(diǎn)的mac地址的方法。當(dāng)你綁定了mac地址給一個(gè)端口，這個(gè)口不會(huì)轉(zhuǎn)發(fā)限制以外的mac地址為源的包。如果你限制安全mac地址的數(shù)目為1，并且把這個(gè)唯一的源地址綁定了，那么連接在這個(gè)接口的主機(jī)將獨(dú)自占有這個(gè)端口的全部帶寬。

如果一個(gè)端口已經(jīng)達(dá)到了配置的最大數(shù)量的安全mac地址，當(dāng)這個(gè)時(shí)候又有另一個(gè)mac地址要通過(guò)這個(gè)端口連接的時(shí)候就發(fā)生了安全違規(guī)，(security violation).同樣地，如果一個(gè)站點(diǎn)配置了mac地址安全的或者是從一個(gè)安全端口試圖連接到另一個(gè)安全端口，就打上了違規(guī)標(biāo)志了。

理解端口安全：

當(dāng)你給一個(gè)端口配置了最大安全mac地址數(shù)量，安全地址是以一下方式包括在一個(gè)地址表中的：
·你可以配置所有的mac地址使用 switchport port-security mac-address <mac地址>，這個(gè)接口命令。
·你也可以允許動(dòng)態(tài)配置安全mac地址，使用已連接的設(shè)備的mac地址。
·你可以配置一個(gè)地址的數(shù)目且允許保持動(dòng)態(tài)配置。

注意：如果這個(gè)端口shutdown了，所有的動(dòng)態(tài)學(xué)的mac地址都會(huì)被移除。

一旦達(dá)到配置的最大的mac地址的數(shù)量，地址們就會(huì)被存在一個(gè)地址表中。設(shè)置最大mac地址數(shù)量為1，并且配置連接到設(shè)備的地址確保這個(gè)設(shè)備獨(dú)占這個(gè)端口的帶寬。

當(dāng)以下情況發(fā)生時(shí)就是一個(gè)安全違規(guī)：
·最大安全數(shù)目mac地址表外的一個(gè)mac地址試圖訪(fǎng)問(wèn)這個(gè)端口。
·一個(gè)mac地址被配置為其他的接口的安全mac地址的站點(diǎn)試圖訪(fǎng)問(wèn)這個(gè)端口。

你可以配置接口的三種違規(guī)模式，這三種模式基于違規(guī)發(fā)生后的動(dòng)作：
·protect-當(dāng)mac地址的數(shù)量達(dá)到了這個(gè)端口所最大允許的數(shù)量，帶有未知的源地址的包就會(huì)被丟棄，直到刪除了足夠數(shù)量的mac地址，來(lái)降下最大數(shù)值之后才會(huì)不丟棄。
·restrict-一個(gè)限制數(shù)據(jù)和并引起"安全違規(guī)"計(jì)數(shù)器的增加的端口安全違規(guī)動(dòng)作。
·shutdown-一個(gè)導(dǎo)致接口馬上shutdown，并且發(fā)送SNMP陷阱的端口安全違規(guī)動(dòng)作。當(dāng)一個(gè)安全端口處在error-disable狀態(tài)，你要恢復(fù)正常必須得敲入全局下的errdisable recovery cause psecure-violation 命令，或者你可以手動(dòng)的shut再no shut端口。這個(gè)是端口安全違規(guī)的默認(rèn)動(dòng)作。

默認(rèn)的端口安全配置：
以下是端口安全在接口下的配置-
特性：port-sercurity 默認(rèn)設(shè)置：關(guān)閉的。
特性：最大安全mac地址數(shù)目 默認(rèn)設(shè)置：1
特性：違規(guī)模式 默認(rèn)配置：shutdown，這端口在最大安全mac地址數(shù)量達(dá)到的時(shí)候會(huì)shutdown，并發(fā)snmp陷阱。

配置向?qū)В?BR>下面是配置端口安全的向?qū)?
·安全端口不能在動(dòng)態(tài)的access口或者trunk口上做，換言之，敲port-secure之前必須的是switch mode acc之后。
·安全端口不能是一個(gè)被保護(hù)的口。
·安全端口不能是SPAN的目的地址。
·安全端口不能屬于GEC或FEC的組。
·安全端口不能屬于802.1x端口。如果你在安全端口試圖開(kāi)啟802.1x，就會(huì)有報(bào)錯(cuò)信息，而且802.1x也關(guān)了。如果你試圖改變開(kāi)啟了802.1x的端口為安全端口，錯(cuò)誤信息就會(huì)出現(xiàn)，安全性設(shè)置不會(huì)改變。

配置案例：
1.在f0/12上最大mac地址數(shù)目為5的端口安全，違規(guī)動(dòng)作為默認(rèn)。

switch#config t
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)#int f0/12
switch(config-if)#swi mode acc
switch(config-if)#swi port-sec
switch(config-if)#swi port-sec max 5
switch(config-if)#end
switch#show port-sec int f0/12

Security Enabled:Yes, Port Status:SecureUp
Violation Mode:Shutdown
Max. Addrs:5, Current Addrs:0, Configure Addrs:0

2.如何配置f0/12安全mac地址
switch(config)#int f0/12
switch(config-if)#swi mode acc
switch(config-if)#swi port-sec
switch(config-if)#swi port-sec mac-add 1111.1111.1111
switch(config-if)#end
switch#show port-sec add

Secure Mac Address Table
------------------------------------------------------------

Vlan Mac Address Type Ports
---- ----------- ---- -----
1 1000.2000.3000 SecureConfigured Fa0/12

3.配置端口安全超時(shí)時(shí)間兩小時(shí)。
switch(config)#int f0/12
switch(config)#swi port-sec aging time 120

4.端口安全超時(shí)時(shí)間2分鐘，給配置了安全地址的接口，類(lèi)型為inactivity aging：
switch(config-if)#swi port-sec aging time 2
switch(config-if)#swi port-sec aging type inactivity
switch(config-if)#swi port-sec aging static

show port-security interface f0/12可以看狀態(tài).

其他show
show port-security 看哪些接口啟用了端口安全.
show port-security address 看安全端口mac地址綁定關(guān)系.