端口安全分为IP+MAC绑定、仅IP绑定、仅MAC绑定

配置端口安全是注意事项

如果设置了IP+MAC绑定或者仅IP绑定，该交换机还会动态学习下联用户的MAC地址

如果要让IP+MAC绑定或者仅IP绑定的用户生效，需要先让端口安全学习到用户的MAC地址，负责绑定不生效

交换机如果某些端口设置了端口安全（端口MAC绑定），但是某些端口没有设置为端口安全，则绑定此mac的设备只可以在设置了端口安全的那个端口上网

例如：1口设置了端口MAC绑定的用户为PC1，则PC1只可以在1口上网，在其它端口无法上网

交换机如果某些端口设置了端口安全（IP绑定或IP+MAC绑定），但是某些端口没有设置为端口安全，则绑定此mac的设备在设置了端口安全的那个端口上网，也可以在没有设置端口安全的端口上网

例如：1口设置了端口MAC绑定的用户为PC1，则PC1可以在1口上网，也可以在其它端口上网

配置端口安全的违例动作（三种为例动作）

当接口的MAC地址数量到达限制后，如果收到了源MAC地址不存在的报文，端口安全会此端口执行违例动作

Shutdown、restrict、protect

二层安全——MAC安全_静下心来敲木鱼的博客-CSDN博客https://blog.csdn.net/m0_49864110/article/details/127172942?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522166898918516782427453535%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=166898918516782427453535&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-1-127172942-null-null.nonecase&utm_term=%E7%AB%AF%E5%8F%A3%E5%AE%89%E5%85%A8&spm=1018.2226.3001.4450

---

端口安全相关配置

Int g0/0

配置IP+MAC端口安全

vlan 10 192.168.10.1此IP地址和MAC地址5000.0001.0001绑定在此接口中

switchport port-security binding 5000.0001.0001 vlan 10 192.168.10.1

配置IP端口安全

通过端口安全将IP地址192.168.10.2绑定到此接口

switchport port-security binding 192.168.10.2

配置MAC端口安全

通过端口安全将MAC地址5001.0001.0001绑定到此接口中

switchport port-security mac-address 5001.0001.0001

设置端口安全MAC地址绑定的条目为1

switchport port-security maximum 1

设置端口安全的违例动作

switchport port-security violation shutdown  

开启端口安全功能

switchport port-security

show port-security address

---

全局IP+MAC地址绑定

此非端口安全技术，配置全局IP+MAC地址绑定注意事项

开启全局IP+MAC地址绑定后，对于匹配的用户均可上网（可以从任意一个端口上网，例外端口除外)，对于未绑定或匹配错误的用户都无法上网（从任何端口进入都无法上网）

全局IP+MAC地址绑定对应的是交换机，而不是端口

对于绑定后的用户，对应的IPv6报文无法通过，需要在交换机上开启IPv6模式为兼容模式

       全局IP+MAC绑定对于IPv6的三种模式

              兼容模式(compatible)：绑定IP+MAC的用户可以使用IPv6地址访问外网

              宽松模式(loose)：所有IPv6地址均可以访问IPv6网络

              严格模式(strict)：默认此模式，即使绑定正确的用户也无法使用IPv6地址访问外网

配置IP地址和MAC地址的绑定关系

Address-bind 192.168.1.1 5001.0001.0001

配置地址绑定的例外端口（一般配置上游端口为例外端口）

Address-bind uplink G0/0

使得IP和MAC地址绑定生效

Address-bind install

配置全局IP+MAC绑定对于IPV6的处理模式

Address-bind ipv6-mode compatible/loose/strict

---

配置静态MAC绑定

将5002.002.0002此MAC地址绑定在G0/0接口

Mac-address static 5002.0002.0002 vlan 1 int g0/0

如果这个MAC地址街道交换机的其它接口就不能和其它设备通信