User Guide
安全
配置端口安全
思科 200 系列智能型交换机管理指南 228
19
端口安全具有四种模式:
• 传统锁定 - 端口上学习的所有 MAC 地址均被锁定,并且端口未学习任何新 MAC 地址。学习的地址不会
过期或无需重新学习。
• 有限动态锁定 - 设备学习的 MAC 地址数不超过配置的允许地址极限。达到极限之后,设备不会学习其他
地址。在这种模式下,地址不会过期且无需重新学习。
• 永久安全 - 保持当前的动态 MAC 地址与端口相关联,并最多学习端点上允许的最大地址数量 (由允许的
最大地址数量设定)。禁用重新学习和老化。
• 重置即安全删除 - 重置后删除当前与端口相关联的动态 MAC 地址。新的 MAC 地址可作为重置即删除地
址学习,数量最多为端口上允许的最大地址数量。禁用重新学习和老化。
当在新 MAC 地址未经授权的端口 (该端口已按照传统模式进行锁定且具有新 MAC 地址,或者该端口已被动态
锁定且已超过了允许地址的最大数量)上检测到来自该地址的帧时,会调用保护机制,并且可能会执行以下操作
之一:
• 丢弃帧
• 转发帧
• 关闭端口
当在另一个端口上发现安全 MAC 地址时,将转发帧,但不会学习该端口上的 MAC 地址。
除了以上这些操作,您还可以生成 Trap,并限制其频率和数量以避免设备过载。
注 若要在端口上使用 802.1X,则端口必须处于多主机或多会话模式。如果端口处于单个
模式,则不能在端口上设置安全 (请参阅 802.1x“主机和会话验证”页面
)
。
配置端口安全的步骤:
步骤 1 单击安全 > 端口安全。
步骤 2 选择要修改的接口,然后单击编辑。
步骤 3 输入参数。
• 接口 - 选择接口名称。
• 接口状态 - 选择该选项可锁定端口。
• 学习模式 - 选择端口锁定的类型。要配置此字段,必须取消锁定“接口状态”。仅当锁定
接口状态
字段
时,才会启用“学习模式”字段。要更改学习模式,必须清除“锁定接口”。更改模式之后,可以恢复“
锁定接口”的设置。选项如下:
-
传统锁定
- 立即锁定端口,而不考虑已学习的地址数量。
-
有限动态锁定
- 通过删除与端口相关联的当前动态 MAC 地址来锁定端口。端口最多可学习端口上允许
的最大地址数量。同时启用 MAC 地址的重新学习和过期机制。