、原理1、首先必须明白两个概念：可靠的MAC地址。设置时候有三种类型。静态可靠的MAC地址：在交换机接口模式下手动设置，这个设 置会被保存在交换机MAC地址表和运行设置文件中，交换机重新启动 后不丢失(当然是在保存设置完成后)，具体命令如下：Switch(c on fig-if)#switchport port-security mac-address M地址动态可靠的MAC地址：这种类型是交换机默认的类型。在这种 类型下，交换机会动态学习MAC地址，不过这个设置只会保存在MAC 地址表中，不会保存在运行设置文件中，并且交换机重新启动后，这 些MAC地址表中的MAC地址自动会被清除。黏性可靠的MAC地址：这种类型下，能手动设置MAC地址和端 口的绑定，也能让交换机自动学习来绑定，这个设置会被保存在MAC 地址中和运行设置文件中，如果保存设置，交换机重起动后不用再自 动重新学习MAC地址，虽然黏性的可靠的MAC地址能手动设置，不 过CISCC官方不推荐这样做。具体命令如下：Switch(c on fig-if)#switchport port-security mac-address stick其 实在上 面这条命令设置后并且该端口得到MAC地址后，会自动生成一条设置 命令 Switch(config-if)#switchport port-security mac-address sticky Mac 地址 这也是为何在这种类型下CISC(不推荐手动设置MAC地址的原 因。2、违反MAC安全采取的措施：当超过设定MAC地址数量的最大值，或访问该端口的备MAC地址不是这个MAC地址表中该端口的MAC地址，或同一个VLAN中一个 MA地址被设置在几个端口上时，就会引发违反MAC地址安全，这个时候采取的措施有三种：保护模式（protect）：丢弃数据包，不发警告。 限制模式（restrict）:丢弃数据包发警告，发出SNMP trap同时 被记录在syslog日志里。关闭模式（shutdown）：这交换机默认模式，在这种情况下端口 即时变为err-disable状态，并且关掉端口灯，发出SNMPtrap 同时被记录在syslog日志里，除非管理员手工激活，否则该端口 失效。具体命令下：Switch(config-if)#switchport port-security violation protect | restrict | shutdown 面这个表一就是具体的对比 Violation Mode Traffic is forwarded down port protect No No No No No restrict No Yes Yes No No shutdownSends SNMP trap Sends syslog message Displays emrreosrsage ShutsNo Yes Yes No Y表一 设置端口安全时还要注意以下几个问题：端口安全仅仅设置在静态Access端口；在trunk端口、SPAN端口、快速以太通道、吉比特以太通道端口组或被动态划给一个VLAN的端口上不能设置端口安全功能；不能基于每VLAN设置端口安全；交换机不 支持黏性可靠的MAC地址老化时间。protect和restrict模式不能同时 设置在同一端口上。下面寻修网把上面的知识点连接起来谈谈实现设置步骤的全部 命令。1. 静态可靠的MAC地址的命令步骤：Switch#config terminalSwitch(c on fig)# in terface in terface-i进入需要设置的端口 Switch(c on fig-if)#switchport mode AcceSS 置为交换模式 Switch(c on fig-if)#switchport port-securit打开端口安全模式 Switch(config-if)#switchport port-security violation protect | restrict | shutdown 上面这一条命令是可选的，也就是能不用 设置，默认的是shutdown模式，不过在实际设置中寻修网推荐 用 restrict。Switch(config-if)#switchport port-security maximumvalue 上面这一条命令也是可选的，也就是能不用设置，默认的maximum是个MAC地址,2950和3550交换机的这个最大值 是 132。其实上面这几条命令在静态、黏性下都是相同的，Switch(c on fig-if)#switchport port-security mac-address M地址 上面这一条命令就说明是设置为静态可靠的MAC地址2. 动态可靠的MAC地址设置，因为是交换机默认的设置。3. 黏性可靠的MAC地址设置的命令步骤：Switch#config terminalSwitch(config)#interface interface-idSwitch(config-if)#switchportmode Access Switch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security violation protect | restrict| shutdown Switch(config-if)#switchport port-security maximum value 上面这几天命令解释和前面静态讲到原因相同，不再说明。 Switch(c on fig-if)#switchport port-security mac-address sticky面 一条命令就说明是设置为黏性可靠的MAC地址。最后，说说企业中怎么快速MAC地址和交换机端口绑定。在实际的运用中常用 黏性可靠的MAC地址绑定，目前我们在一台2950EMI上绑定。方 法 1:在 CLI方式下设置 2950 (config)#int rang faO/1 - 482950 (config-if-range)#switchport mode Access 2950 (config-if-range)#switchport port-security2950 (config-if-range)#switchport port-security mac-address violation restrict 2950 (config-if-range)#switchport port-security mac-address sticky 这样交换机的48个端口都绑定了，寻修网提示大家注意:在 实际运用中需求把连在交换机上的PC机都打开，这样才能学到 MAC地址，并且要在学到MAC地址后保存设置文件，这样下次就 不用再学习MAC地址了，然后用show port-security addres查看绑 定的端口，确认设置正确。方法2:在WEB界面下设置，也就是CMS(集群管理单元)我们通过在IE浏览器中输入交换机IP地址，就能进入,然后在portportsecurity下能选定交换机端口，在Status和Sticky MAC Addres中选 Enable或 Disabled Violation Action能选 Shutdown Restrict Protect 中的一种，Maximum Address Count 1-132)能填写这个范围的数 值。当然更有需求绑定IP地址和MAC地址的，这个就需要三层或以上的交换了，因为我们知道普通的交换机都是工作在第二层， 也就是使数据链路层，是不可能绑定IP的。如果企业是星型的网络， 中心交换机是带三层或以上功能的。我们就能在上绑定，Switch(config)#arp I地址 Mac地址 arpa二 交换机与端口进行绑定的方法1、端口+MACa)AM命令使用特殊的AM User-bind命令，来完成MAC地址与端口之间的绑定。例如：SwitchAam user-b ind mac-address 00e0-fc22-f8d3 in terface Ethernet 0/1配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网b)mac-addres命令使用mac-address stat命令，来完成MAC地址与端口之间的绑定。例如：SwitchAmac-address static 00e0-fc22-f8d3 in terface Ethernet 0/1 via n 1SwitchAmac-address max-mac-co unt 0配置说明：由于使用了端口学习功能，故静态绑定mac后，需再设置 该端口 mac学习数为0，使其他PC接入此端口后其mac地址无法被学2、IP+MACa)AM命令使用特殊的AM User-bind命令，来完成IP地址与MAC地址之间的绑定。例如:SwitchAam user-b ind ip-addressmac-address 00e0-fc22-f8d3配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定， 即与绑定的IP地址或者MAC地址不同的PC机，在任何端口都无法上 网。支持型号：S3026E/EF/C/G/TS3026C-PWRE026E026T S3O5OCEO50S3526E/C/EFS5012T/G S5024Gb)arp命令使用特殊的arp static命令，来完成IP地址与MAC地址之间的绑定。例如：SwitchAarp static 00e0-fc22-f8d3配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定。3、端口+IP+MAC使用特殊的AM User-binc命令，来完成IP、MAC地址与端口之间的绑 定。例如：SwitchAam user-b ind ip-addressmac-address 00e0-fc22-f8d3 in terfaceEthernet 0/1配置说明：可以完成将PC1的IP地址、MAC地址与端口 E0/1之间的绑定功能。由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的IP地址、MAC地址的PC 机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上 网。支持型号： S3026E/S3026E-FM/S3026；-SFS3026G；S3026C；S3026C-PW；R E3026；E050；S3526E/C;S3526E-FM/FS; S501、2ST5/G024G、S3900、S5600、 S6500（3弋引擎）