一、开启端口安全
[switch] port-security enable
二、配置端口安全允许的最大安全MAC地址数
[switch] interface interface-type interface-number //进入端口
[switch-interface] port-security max-mac-count count-value
三、配置端口安全模式-自动学习
[switch-interface] port-security port-mode autolearn
四、配置端口安全的特性
[switch-interface] port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly }
注:ntkonly:仅允许目的 MAC 地址为已通过认证的 MAC 地址的单播报文通过。
• ntk-withbroadcasts:允许目的 MAC 地址为已通过认证的 MAC 地址的单播报文或广播地址
的报文通过。
• ntk-withmulticasts:允许目的 MAC 地址为已通过认证的 MAC 地址的单播报文,广播地址
或组播地址的报文通过。
五、配置***检测特性
[switch-interface] port-security intrusion-mode { blockmac | disableport | disableport-temporarily }
注:blockmac:表示将非法报文的源 MAC 地址加入阻塞 MAC 地址列表中,源 MAC 地址为阻塞
MAC 地址的报文将被丢弃。此 MAC 地址在被阻塞 3 分钟(系统默认,不可配)后恢复正常。
• disableport:表示将收到非法报文的端口永久关闭。
• disableport-temporarily:表示将收到非法报文的端口暂时关闭一段时间。关闭时长可通过port-security timer disableport 命令配置。
基本配置已完成,下面的是可选项
-----------------------------------------------------------------------------------------------------------------------------------------------------------
六、配置系统暂时关闭端口的时间(可选)
[switch] port-security timer disableport time-valu
七、手动配置MAC安全地址(可选)
[switch] port-security mac-address security [ sticky ] mac-address interface interface-type interface-number vlan vlan-id