交换机接口安全配置

用途：
企业期望在接入层交换机上对员工用户进行基本的安全管控。出于安全考虑，企业要求接入层交换机上每个连接终端设备的接口均只允许一台PC 接入网络，也就是说，如果有用户试图在某个接口下级联一台小型交换机或者集线器从而扩展上网接口，那么这种行为应该被发现而且被禁止。另外，只有可信赖的终端发送的数据帧才允许被交换机转发到上层网络，员工不能私下更换位置(将PC从接入层交换机的某个接口变更至其他接口)。

案例1：交换机接口安全基础配置
在交换机接口配 port security ， 但重启后MAC地址表项会丢失。虽然限制一个或几个，但是在一段时间内先用先得。

interface g0/0/1 # 进入接口
port-security enable # 将接口设置为安全接口
port-security max-mac-num 1 #配置接口动态学习mac地址的数量为1(默认1）

port-security protect-action restrict # 配置学习到的mac地址到达数量后的保护动作
参数说明：
protect: 到达数量后丢弃
restrict：到达数量后丢弃并发出告警(默认）
shutdown: 到达数量后关闭端口，只能手动 undo shutdown 解除
#可以在系统视图下配置延迟时间自动恢复端口：
[SW]  error-down auto-recovery cause port-security interval 30

查看：先发数据后查看
display mac-address security

案例2：Sticky MAC 地址
Sticky MAC 地址表项在交换机保存配置后重启不会丢失。

interface g0/0/1 # 进入接口
port-security enable # 将接口设置为安全接口
port-security max-mac-num 1 #配置接口动态学习mac地址的数量为1(默认1）
port-security mac-address sticky #将学习到的合法的动态安全MAC 转化为Sticky MAC地址
port-security mac-address sticky 5489-981d-2f8a vlan 1 # 接口绑定mac地址，不用发数据就能display查看
#上边这行不知道为什么写完后接口配置里不显示，但确是生效的。

在交换机上 save 保存后重启，Sticky MAC地址表也不会丢失。这样可以固定mac地址，而不像前面的先用先得。