Cisco Cisco SG200-26P 26-port Gigabit PoE Smart Switch ユーザーガイド
配置安全
思科 200 系列智能型交换机管理指南
197
17
配置端口安全
限制用户通过特定的 MAC 地址访问端口可增强网络安全。可以动态地学习或静态地
配置 MAC 地址。
配置 MAC 地址。
端口安全功能可监控接收的和学习的数据包。限制用户通过特定的 MAC 地址访问锁
定的端口。
定的端口。
端口安全具有四种模式:
•
传统锁定 - 端口上学习的所有 MAC 地址均被锁定,并且端口未学习任何新
MAC 地址。学习的地址不会过期或无需重新学习。
MAC 地址。学习的地址不会过期或无需重新学习。
•
有限动态锁定 - 交换机学习的 MAC 地址数不超过配置的允许地址极限。达到极
限之后,交换机不会学习其他地址。在这种模式下,地址不会过期且无需重新
学习。
限之后,交换机不会学习其他地址。在这种模式下,地址不会过期且无需重新
学习。
•
永久安全 - 保持当前的动态 MAC 地址与端口相关联,并最多学习端点上允许的
最大地址数量 (由允许的最大地址数量设定)。启用重新学习和老化。
最大地址数量 (由允许的最大地址数量设定)。启用重新学习和老化。
•
重置即安全删除 - 重置后删除当前与端口相关联的动态 MAC 地址。新的 MAC
地址可作为重置即删除地址学习,数量最多为端口上允许的最大地址数量。禁
用重新学习和老化。
地址可作为重置即删除地址学习,数量最多为端口上允许的最大地址数量。禁
用重新学习和老化。
当在新 MAC 地址未经授权的端口 (该端口已按照传统模式进行锁定且具有新 MAC
地址,或者该端口已被动态锁定且已超过了允许地址的最大数量)上检测到来自该地
址的帧时,会调用保护机制,并且可能会执行以下操作之一:
地址,或者该端口已被动态锁定且已超过了允许地址的最大数量)上检测到来自该地
址的帧时,会调用保护机制,并且可能会执行以下操作之一:
•
丢弃帧
•
转发帧
•
关闭端口
当在另一个端口上发现安全 MAC 地址时,将转发帧,但不会学习该端口上的 MAC
地址。
地址。
除了以上这些操作,您还可以生成 Trap,并限制其频率和数量以避免设备过载。
注
Trap 为与系统日志有关的 Trap,不是通过 SNMP 生成的。
注
若要在端口上使用 802.1X,则端口必须处于多主机或多会话模式。如果端口处于单个
模式,则不能在端口上设置安全 (请参阅
模式,则不能在端口上设置安全 (请参阅
802.1x、主机和会话验证
页面
)
。