1，問題描述

公司爲了提高信息安全，將Switch連接員工PC側的接口使能了接口安全功能，並且設置了接口學習MAC地址數的上限爲信任的設備總數，這樣其他外來人員使用自己帶來的PC無法訪問公司的網絡。

在對接入用戶的安全性要求較高的網絡中，可以配置端口安全功能，將接口學習到的MAC地址轉換爲安全動態MAC、安全靜態MAC或Sticky MAC，接口學習的最大MAC數量達到上限後不再學習新的MAC地址，只允許這些MAC地址和設備通信。這樣可以阻止其他非信任的MAC主機通過本接口和交換機通信，提高設備與網絡的安全性。

Sticky MAC不會被老化，保存配置後重啓設備，Sticky MAC也不會丟失，無需重新學習。

2，解決方案

操作步驟

1、創建VLAN，並配置接口的鏈路類型

system-view

[Quidway] vlan 10

[Quidway-vlan10] quit

[Quidway] interface gigabitethernet 0/0/1

[Quidway-GigabitEthernet0/0/1] port link-type trunk

[Quidway-GigabitEthernet0/0/1] port trunk allow-pass vlan 10

2、 配置接口安全功能

[Quidway-Ethernet0/0/1] port-security enable // 使能接口安全功能

[Quidway-Ethernet0/0/1] port-security mac-address sticky // 使能接口Sticky MAC功能

[Quidway-Ethernet0/0/1] port-security max-mac-num 3 //配置接口MAC地址學習限制數

[Quidway-Ethernet0/0/1] port-security protect-action protect //配置接口安全功能的保護動作

缺省情況下，接口安全保護動作爲restrict

接口安全保護動作有以下三種：

protect：當學習到的MAC地址數達到接口限制數時，接口丟棄源地址在MAC表以外的報文。

restrict：當學習到的MAC地址數超過接口限制數時，接口丟棄源地址在MAC表以外的報文，同時發出告警。

shutdown：當學習到的MAC地址數超過接口限制數時，接口執行Shutdown操作，同時發出告警。

其他接口如需使能接口安全功能，請重複上述配置。