在 Cisco 交换机上配置端口安全的三种方法：静态、动态和粘性端口安全

企业网络安全涉及多个方面。 从交换机的角度来看，首要的是保证交换机端口的安全。 在许多公司中，员工可以使用集线器和其他工具将一个互联网端口增加到多个，或者使用自己的笔记本电脑连接到公司网络。 类似情况将会给企业的网络安全带来不利影响。 本文小编就来谈谈思科交换机配置端口安全的三种方法的特点、优缺点。

如何在Cisco交换机上配置端口安全：

静态安全 MAC 地址：静态 MAC 地址是使用 port-mac-mac- 配置命令手动配置的。 通过这种方式配置的 MAC 地址将存储在地址表中，并添加到交换机的运行配置中。

动态安全MAC地址：动态MAC地址是动态获取的，仅存储在地址表中。 当交换机重新启动时，以这种方式配置的 MAC 地址将被删除。

粘性安全 MAC 地址：可以将端口配置为动态获取 MAC 地址，然后将这些 MAC 地址保存到运行配置中。

粘性安全 MAC 地址具有以下特征：

(1) 当使用 port-mac- 配置命令启用粘性获取时，接口会将所有动态安全 MAC 地址（包括启用粘性获取之前动态获取的地址）转换为粘性安全 MAC 地址，并将所有粘性安全 MAC 地址添加到运行配置。

(2) 当使用 port-mac- 配置命令禁用粘性获取时，粘性安全 MAC 地址仍作为地址表的一部分，但会从运行配置中删除。

已删除的地址可以重新配置并作为动态地址添加到地址表中。

(3) 当使用 port-mac-- 配置命令配置粘性安全 MAC 地址时，这些地址将添加到地址表和运行配置中。 如果禁用端口安全，粘性安全 MAC 地址将保留在运行配置中。

(4) 如果启动配置文件中保存了粘性安全MAC地址，则当交换机重启或接口关闭时，接口不需要重新获取这些地址。

如果不保存粘性安全地址，它们将会丢失。

如果禁用粘性获取，则粘性安全 MAC 地址将转换为动态安全地址并从运行配置中删除。

(5) 如果禁用粘性获取并输入 port-mac-mac- 配置命令，则会出现错误消息，并且粘性安全 MAC 地址不会添加到运行配置中。

当出现以下任一情况时，就会发生安全违规：

(1) 将更大数量的安全MAC地址添加到地址表中。 工作站尝试访问该接口，但该工作站的 MAC 地址未出现在地址表中。

(2) 在一个安全接口上获取或配置的地址出现在同一VLAN 内的另一个安全接口上。

根据发生违规时要采取的操作，可以将接口配置为 3 种违规模式之一：

保护：当安全MAC地址数量达到端口允许的限制时，未知源地址的数据包将被丢弃，直到删除足够数量的安全MAC地址或增加允许的更大地址数量。 您不会收到发生安全漏洞的通知。

限制：当安全MAC地址数量达到端口允许的限制时，未知源地址的数据包将被丢弃，直到删除足够数量的安全MAC地址或增加允许的更大地址数量。 在此模式下，当发生安全漏洞时您会收到通知。 具体来说，发出 SNMP 陷阱、记录消息并递增违规计数器。

Off：在此模式下，端口安全违规将导致接口立即进入错误禁用（error-）状态并关闭端口 LED。 此模式还发送 SNMP 陷阱、记录消息并递增违规计数器。 当安全端口处于错误禁用状态时，请输入 ，然后输入 no 接口配置命令以使其退出此状态。