SX500系列堆叠式交换机的端口安全配置

目标

端口安全可与动态获取的静态MAC地址一起使用，以限制端口的入口流量，因为它会限制允许向端口发送流量的MAC地址。当安全MAC地址分配给安全端口时，端口不会转发源MAC地址与定义的地址不类似的流量的入口流量。

本文档的目的是解释Sx500系列交换机上的端口安全配置。

适用设备

· Sx500系列堆叠式交换机

软件版本

•v1.2.7.76

端口安全配置

步骤1.登录Web配置实用程序，然后选择Security > Port Security。“端口安全”页打开：

步骤2.从过滤器：Interface Type下拉列表中，选择数据包预期所在的接口类型。

步骤3.单击Go，显示接口的状态。

步骤4.单击要修改的接口，然后单击“编辑”。系统将显示Edit Port Security Interface Settings窗口。

步骤5.（可选）要更改您配置的接口，请单击“接口”字段中的所需单选按钮，然后从下拉列表中选择所需的接口。

·设备/插槽 — 从设备/插槽下拉列表中选择适当的设备/插槽。设备标识交换机是活动的还是堆叠中的成员。插槽标识哪台交换机连接到哪个插槽（插槽1为SF500，插槽2为SG500）。 如果您不熟悉所用术语，请查看思科业务：新术语表。

  ·端口 — 从端口下拉列表中，选择要配置的适当端口。 

· LAG — 从LAG下拉列表中选择LAG。链路聚合组(LAG)用于将多个端口连接在一起。LAG可增加带宽，提高端口灵活性，并在两个设备之间提供链路冗余以优化端口使用

步骤6.（可选）要立即锁定端口且不学习任何新的MAC地址，请在“接口状态”字段中选中“锁定”。

节省时间：如果选中了Lock，请跳至步骤9。

步骤7.单击“学习模式”字段中所需的所需端口锁定类型所对应的单选按钮。有四个选项。

·经典锁 — 立即锁定端口，而不考虑已获取的地址数。端口不会获取任何新的MAC地址。获取的地址不能重新获取或老化。

·受限动态锁 — 锁定端口，删除与端口相关的当前动态MAC地址，然后端口获取地址以达到其最大限制。端口可以重新学习和老化。

·安全永久 — 保留与端口相关的当前动态MAC地址，并获取端口上允许的最大地址数。这由Max No. of Address Allowed字段设置。重新学习和老化已启用。

·重置时安全删除 — 重置端口后，删除当前动态MAC地址。MAC地址可根据端口上允许的地址数来获取。这由Max No. of Address Allowed字段设置。重新学习和老化已禁用。

步骤8.如果步骤7中未单击经典锁，请输入在单击有限动态锁学习模式时可在端口上获取的最大MAC地址数。数字0表示接口仅支持静态地址。

步骤9.如果在步骤6中选中了锁定，则单击违规操作字段中的单选按钮以选择要对在锁定端口接收的数据包执行的操作。 

·丢弃 — 丢弃来自任何未学习源的数据包。

·转发 — 从未知源转发数据包，但不知道MAC地址。

·关闭 — 丢弃来自任何未获取源的数据包，并且端口关闭。此端口在重新激活或交换机重新启动前一直关闭。

步骤10.（可选）要在锁定的端口收到数据包时启用陷阱，请在“陷阱”字段中选中启用。它适用于锁违规。如果是经典锁，这是收到的任何新地址。在有限动态锁的情况下，这是超出允许地址数的任何新地址。

节省时间：如果步骤10中未选中Enable，请跳至步骤12。

步骤11.在Trap Frequency字段中输入陷阱之间传递的最短时间(以秒为单位)。

步骤12.单击“应用”以应用设置。

复制设置

步骤1.单击要修改的接口，然后单击“复制设置”。系统将显示“复制设置”窗口。

步骤2.在提供的字段中输入需要将配置复制到的接口或接口范围。

步骤3.单击Apply修改端口安全并更新运行配置文件。