第14章端口安全配置本章主要讲述了贝尔系列交换机支持的端口安全功能以及详细的配置信息。

章节主要内容：●端口安全介绍●端口安全配置●监控与维护14.1端口安全介绍端口安全一般应用在接入层。

它能够对使用交换机端口的主机进行限制，允许某些特定的主机访问网络，而其他主机均不能访问网络。

端口安全功能将用户的MAC地址、IP地址、VLAN ID以及INTERFACE号四个元素灵活绑定，杜绝非法用户接入网络，从而保证网络数据的安全性，并保证合法用户能够得到足够的带宽。

用户可以通过三种规则来限制可以访问网络的主机，这三种规则分别是MAC规则，IP规则和MAX 规则，MAC规则又分为三种绑定方式：MAC绑定，MAC+IP绑定，MAC+VID绑定；IP规则可以针对某一IP也可以针对一系列IP；MAX规则用以限定端口可以“自由学习”到的（按顺序）最多MAC地址数目，这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。

在MAX规则下，又有sticky规则。

如果端口仅配置了拒绝规则，没有配置MAX规则，其他报文均不能转发（通过允许规则检查的例外）。

对于配置permit的MAC规则和IP规则系统将在端口LinkUp和端口安全使能时主动将配置写入二层转发表或发送ARP请求报文（详细见配置命令）。

Sticky规则的MAC地址，能够自动地学习，也能够手工地配置，并保存于运行的配置文件中。

如果设备重启前保存运行的配置文件，设备重启后，不需再去配置，这些MAC地址自动生效。

当端口下开启sticky功能，会将MAX规则学到的动态MAC地址添加成sticky规则，并保存到运行的配置的文件中。

在MAX规则未学满的情况下，能允许继续学习新的MAC地址，形成sticky规则，直至sticky规则数达到MAX所配置的最大值。

这三种规则的配置如下：（1）MAC规则MAC绑定：(config-if-gigabitethernetxxx)#port-security permit mac-address 0050.bac3.bebd(config-if- gigabitethernetxxx)#port-security deny mac-address 0050.bac3.bebdMAC+VID绑定：(config-if- gigabitethernetxxx)#port-security permit mac-address 0050.bac3.bebd vlan-id 100(config-if- gigabitethernetxxx)#port-security deny mac-address 0050.bac3.bebd vlan-id 100MAC+IP绑定：(config-if-gigabitethernetxxx)#port-security permit mac-address 0050.bac3.bebd ip-address 128.255.1.1 (config-if-gigabitethernetxxx)#port-security deny mac-address 0050.bac3.bebd ip-address 128.255.1.1（2）IP规则(config-if- gigabitethernetxxx)#port-security permit ip-address 128.255.1.1(config-if-gigabitethernetxxx)#port-security deny ip-address 128.255.1.1(config-if-gigabitethernetxxx)#port-security permit ip-address 128.255.1.1 to 128.255.1.63(config-if- gigabitethernetxxx)#port-security deny ip-address 128.255.1.1 to 128.255.1.63（3）MAX规则(config-if- gigabitethernetxxx)#port-security maximum 50(config-if- gigabitethernetxxx)# port-security permit mac-address sticky 0050.bac3.bebd(config-if- gigabitethernetxxx)# port-security permit mac-address sticky 0050.bac3.bebe vlan-id 100注：1、如果一个MAC地址或IP地址是被deny掉的，即使这时未达到MAX的上限，该主机也不能通讯。

2、端口安全不能与802.1X共同启用。

14.2端口安全配置本节主要内容：●端口安全配置命令基本描述●端口安全启用与关闭●配置MAC绑定●配置MAC+VLAN绑定●配置MAC+IP绑定●配置IP规则●配置MAX规则●配置地址老化时间●配置静态地址老化●配置错误处理模式●配置日志输出间隔14.2.1基本指令描述port-security该命令在端口启用或者关闭端口安全功能。

port-security {enable|disable}no port-security语法描述enable 启用端口安全disable 关闭端口安全【缺省情况】disable注：端口安全不能与动态arp检测（Dynamic ARP Inspection）共同启用。

⏹port-security deny mac-address该命令配置端口的MAC绑定规则，相关的no命令删除该规则。

port-security {deny mac-address mac-address}no port-security {deny mac-address mac-address}语法描述deny 规则执行动作为拒绝mac-address 规则应用的mac地址【缺省情况】无⏹port-security permit mac-address mac-address desc该命令配置端口的MAC绑定规则，相关的no命令删除该规则。

port-security {permit mac-address mac-address}[ desc security-rule-description]no port-security {permit mac-address mac-address}语法描述permit 规则执行动作为允许mac-address 规则应用的mac地址security-rule-description 规则描述信息【缺省情况】无注：对于permit规则系统将其配置MAC地址和端口配置的默认VID一起写入二层转发表(MAC Address表)。

⏹port-security deny mac-address mac-address vlan-id该命令设置端口的MAC+VLAN绑定规则，相关的no命令删除该规则。

port-security {permit|deny mac-address mac-address vlan-id vlan-id}no port-security {permit|deny mac-address mac-address vlan-id vlan-id}语法描述deny 规则执行动作为拒绝mac-address 规则应用的mac地址vlan-id 与mac地址绑定的vlan号【缺省情况】无⏹port-security permit mac-address mac-address vlan-id vlan-id desc该命令设置端口的MAC+VLAN绑定规则，相关的no命令删除该规则。

port-security {permit mac-address mac-address vlan-id vlan-id}[ desc security-rule-description]no port-security {permit mac-address mac-address vlan-id vlan-id}语法描述permit 规则执行动作为允许mac-address 规则应用的mac地址vlan-id 与mac地址绑定的vlan号security-rule-description 规则描述信息【缺省情况】无注：对于permit规则系统将其配置MAC地址和VID一起写入二层转发表(MAC Address表)。

⏹port-security permit|deny mac-address mac-address ip-address该命令配置端口的MAC+IP绑定规则，相关的no命令删除该规则。

port-security {permit|deny mac-address mac-address ip-address ip-address}no port-security {permit|deny mac-address mac-address ip-address ip-address}语法描述permit 规则执行动作为允许deny 规则执行动作为拒绝mac-address 规则应用的mac地址ip-address 与mac地址绑定的IP地址【缺省情况】无注：对于permit规则系统将跟据配置的IP地址并在端口的默认VLAN域内从本端口发送ARP请求报文⏹port-security permint|deny ip-address该命令配置端口的IP规则，相关的no命令删除该规则。

port-security {permint|deny ip-address start-ip-address[to end-ip-address]}no port-security {permint|deny ip-address start-ip-address[to end-ip-address]}语法描述permit 规则执行动作为允许deny 规则执行动作为拒绝start-ip-address 规则应用的起始IP地址end-ip-address 规则应用的结束IP地址【缺省情况】无如果只增加某一个IP地址规则，可以不使用[to end-ip-address]部分注：对于permit规则和IP地址为单地址时系统将跟据配置的IP地址并在端口的默认VLAN域内从本端口发送ARP请求报文⏹port-security maximum该命令配置端口的MAX规则，相关的no命令删除该规则。

port-security maximum {0-4000}no port-security maximum语法描述0-4000 MAX规则的地址数【缺省情况】0注：该功能学到的MAC地址为动态MAC地址，端口安全不负责其老化，其老化是由芯片来控制。