如何配置接入层交换机的端口安全

1、我们先看一下拓扑图，这里的测试机是替换pc0和pc5的mac地址。

2、pc0连接的是交换机SW1的fa0/1端口，先将它模式设为access模式SW1(config-line)#int fa0/1SW1(config-if)#swi mod acc

3、配置fa0/1端口的安全，SW1(config-if)#swi port-security该命令会默认配置很多设置

4、小编这里主要介绍MAC 地址静态绑定，我们想fa0/1端口只有pc0能使用，就需要绑定pc0的mac地址。查看pc0的mac地址。这里可以看到mac地址是0060.4736.0A87

5、指定mac地址只熹栳缂靖能是pc0的mac地址SW1(config-if)#swi port-security mac-address 0060.4736.0A87因为是绑定成功，我们测试下pc0墩伛荨矧通信，发现可以正常通信。

6、我们在将测试机pc1连接到端口fa0/1下，相当于更换了mac地址，即mac地址违规了。然后测试是否通信，发现不能通信！

7、检查端口安全SW1#sh port-security查看具体端口安全配置SW1#sh port-security int fa0/1可以看到端口安全已经打开

8、下面我们来配置端口MAC 地址粘滞，如果我们有很多终端计算机，一台一台绑定mac地址的话，工作量就会很大。这时候就需要交换机的动态mac地址粘滞。下面我们用pc5来演示

9、配置交换机SW1的fa0/3端口安全SW1(config)#int fa0/3SW1(con酆璁冻嘌fig-if)#swi mod accSW1(config-if)#swi port-security

10、动态mac地址粘滞SW1(config-if)#switchport port-security mac-address sticky这样就完成了，当终端第一次接入时，绑定mac地址。

11、更改端口安全默认参数，从拓扑图里，我们可以看到交换机SW2下面也有两个终端，就需要我们更改安全参数。

12、SW1(config)#int fa0/2SW1(config-if)#衡痕贤伎swi mod accSW1(config-if)#swi port注意这里连接的是3个。SW1(config-if)#swi port-security maximum 3

13、配置mac绑定SW1(config-if)#swi port-security mac-ad蟠校盯昂dress 00E0.F937.3980SW1(config-if)#swi port-security mac-address 00E0.F74B.AC77两个以上流量通过，使用violation restrictSW1(config-if)#swi port-security violation restrict

14、用 SW2的fa0/3连接测试机PC4（相当于更换MAC地址）：PC4 测试PC0，可以看到不能通信。