Sx500系列堆疊式交換機上的埠安全配置

目標

連線埠安全可與動態學習及靜態MAC位址搭配使用，以限制連線埠的輸入流量，因為它會限制允許將流量傳送到連線埠的MAC位址。將安全MAC地址分配給安全埠時，對於源MAC地址與定義的地址不相似的埠，該埠不會轉發其入口流量。

本文旨在說明Sx500系列交換器上連線埠安全的組態。

適用裝置

· Sx500系列堆疊式交換器

軟體版本

· v1.2.7.76

連線埠安全的組態

步驟1.登入到Web配置實用程式並選擇Security > Port Security。Port Security頁面隨即開啟：

步驟2.在篩選條件中：Interface Type（介面型別）下拉選單，選擇資料包預期使用的介面型別。

步驟3.按一下Go，顯示介面的狀態。

步驟4.按一下要修改的介面，然後按一下Edit。出現Edit Port Security Interface Settings視窗。

步驟5.（可選）要更改您配置的介面，請按一下Interface欄位中所需的單選按鈕，然後從下拉選單中選擇所需的介面。

·裝置/插槽 — 從Unit/Slot下拉選單選擇適當的裝置/插槽。裝置可識別交換器是處於作用中還是堆疊中的成員。插槽標識連線到哪個插槽的交換機（插槽1是SF500，插槽2是SG500）。 如果您不熟悉使用的術語，請檢視思科業務：新字詞詞彙表.

  ·埠 — 從Port下拉選單中，選擇要配置的相應埠。 

· LAG — 從LAG下拉選單中選擇LAG。連結彙總組(LAG)用於將多個連線埠連結在一起。LAG使頻寬成倍增長，提高了埠靈活性，並在兩台裝置之間提供鏈路冗餘以最佳化埠使用

步驟6.（可選）若要立即鎖定連線埠且不會得知任何新的MAC位址，請檢查Interface Status欄位中的Lock。

時間分配器：如果選中Lock（鎖定），請跳至步驟9。

步驟7.點選與Learning Mode欄位所需的所需埠鎖定型別對應的單選按鈕。有四個選項。

·經典鎖定 — 立即鎖定埠，不考慮已獲知的地址數量。連線埠不會得知任何新的MAC位址。無法重新獲知或老化獲知的地址。

·受限動態鎖定 — 鎖定埠，刪除與埠相關的當前動態MAC地址，然後埠學習地址達到其最大限制。可以重新學習並老化埠。

·安全永久 — 保留與連線埠相關的目前動態MAC位址，且會得知連線埠上允許的最大位址數。這是由Max No. of Address Allowed欄位設定。啟用重新啟用和老化。

·重設時安全刪除 — 一旦連線埠重設，便會刪除目前的動態MAC位址。MAC地址可根據埠上允許的地址數量獲取。這是由Max No. of Address Allowed欄位設定。已禁用重新啟用和老化。

步驟8.如果在第7步中未按一下經典鎖定，請輸入在按一下有限動態鎖定學習模式時可在埠上學習的最大MAC地址數。數字0表示介面僅支援靜態地址。

步驟9.如果在步驟6中選中了鎖定，則按一下Action on Violation欄位中的單選按鈕以選擇要在鎖定埠接收的包上執行的操作。 

·丟棄 — 丟棄來自任何未獲知的源的資料包。

·轉發 — 轉發來自未知源的資料包，但不知道MAC地址。

·關閉 — 丟棄來自任何未獲知的源的資料包，且埠關閉。此埠將保持關閉狀態，直到重新啟用或交換機重新啟動為止。

步驟10。（可選）要在鎖定的埠收到資料包時啟用陷阱，請在陷阱欄位中選中Enable。它適用於鎖定違規。如果是經典鎖，這是收到的所有新地址。在有限動態鎖的情況下，這是任何超過允許地址數量的新地址。

時間分配器：如果步驟10中未選中Enable ，請跳到步驟12。

步驟11.在Trap Frequency欄位中輸入陷阱之間經過的最短時間（以秒為單位）。

步驟12.按一下Apply以套用設定。

複製設定

步驟1。按一下要修改的Interface，然後按一下Copy Settings。出現「Copy Settings」視窗。

步驟2.在所提供的欄位中輸入配置需要複製到的介面的介面或範圍。

步驟3.按一下Apply以修改連線埠資安並更新執行組態檔。