配置端口安全（Port Security）

小乔

            本文以华为设备为例
端口安全简介
端口安全（Port Security）通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC、安全静态MAC和Sticky MAC）阻止非法用户通过本接口和交换机通信，一般使用在接入层设备，实现用户和接口的绑定，同时控制接口的用户接入数。

相比通过静态MAC地址和user-bind手动配置用户静态绑定，端口安全可以实现用户和接口的动态绑定。

相比通过DHCP snooping实现的用户和接口的动态绑定，端口安全的配置比较简单。另外端口安全还可以提供限制用户接入数量的功能。

配置注意事项
接口上配置了mac-limit后，将无法再配置端口安全功能。


组网需求
如图1所示，用户PC1、PC2、PC3通过接入设备连接公司网络。为了提高用户接入的安全性，将接入设备Switch的接口使能端口安全功能，并且设置接口学习MAC地址数的上限为接入用户数，这样其他外来人员使用自己带来的PC无法访问公司的网络。

图1 配置端口安全组网图


配置思路
采用如下的思路配置端口安全：

配置VLAN，实现二层转发功能。

配置端口安全功能，并使能Sticky MAC功能，实现保存配置重启设备MAC地址表项不丢失。

操作步骤
在Switch上创建VLAN，并把接口加入VLAN。接口GE1/0/2和GE1/0/3的配置与GE1/0/1相同，不再赘述

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan 10   //创建VLAN 10
[Switch-vlan10] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access   //和接入设备PC相连的接口类型必须是access，接口默认类型不是access，需要手动配置为access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit

配置GE1/0/1接口的端口安全功能。接口GE1/0/2和GE1/0/3的配置与GE1/0/1相同，不再赘述

[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port-security enable   //使能端口安全功能
[Switch-GigabitEthernet1/0/1] port-security mac-address sticky   //使能端口安全后，才可以再使能sticky MAC功能
[Switch-GigabitEthernet1/0/1] port-security max-mac-num 1   //使能端口安全后，接口默认限制数为1，如果确认限制一个用户，可以不用配置 说明：
端口默认限制数为1，如果有多个用户通过一个接口接入，请使用port-security max-mac-num修改限制数。
如果用户PC使用IP Phone连接设备，MAC地址学习限制数请配置为3个。因为IP Phone需要占用两个MAC地址表项，PC需要占用一个MAC地址表项。其中IP Phone占用的两个MAC地址表项的VLAN不同，一个VLAN用来传输语音报文，一个VLAN用来传输数据报文。

验证配置结果

将PC1、PC2、PC3换成其他设备，无法访问公司网络。


配置文件
Switch的配置文件

#
sysname Switch
#
vlan batch 10
#
interface GigabitEthernet1/0/1
port link-type access                                                         
port default vlan 10
port-security enable
port-security mac-address sticky
#
interface GigabitEthernet1/0/2
port link-type access                                                         
port default vlan 10
port-security enable
port-security mac-address sticky
#
interface GigabitEthernet1/0/3
port link-type access                                                         
port default vlan 10
port-security enable
port-security mac-address sticky
#
return

Zeratuls

谢谢楼主分享

liyou60

华   值    为   得    认   拥    证   有    ，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！