企業網絡安全涉及到方方面面。從交換機來說，首選需要保證交換機端口的安全。在不少企業中，員工可以隨意的使用集線器等工具將一個上網端口增至多個，或者說使用自己的筆記本電腦連接到企業的網路中。類似的情況都會給企業的網絡安全帶來不利的影響。在這篇文章中，武林網的小編就是大家談談Cisco交換機配置端口安全性的三種方法的特性及優缺點。

　　Cisco交換機上配置端口安全性的方法：

　　靜態安全MAC地址：靜態MAC地址是使用switchport port-security mac-address mac-address接口配置命令手動配置的。以此方法配置的MAC地址存儲在地址表中，并添加到交換機的運行配置中。

　　動態安全MAC地址：動態MAC地址是動態獲取的，并且僅存儲在地址表中。以此方式配置的MAC地址在交換機重新啟動時將被移除。

　　粘滯安全MAC地址：可以將端口配置為動態獲得MAC地址，然后將這些MAC地址保存到運行配置中。

　　粘滯安全MAC地址有以下特性：

　　(1)當使用 switchport port-security mac-address sticky 接口配置命令啟用粘滯獲取時，接口將所有動態安全MAC地址(包括那些在啟用粘滯獲取之前動態獲得的MAC地址)轉換為粘滯安全MAC地址，并將所有粘滯安全MAC地址添加到運行配置。

　　(2)當使用noswitchport port-security mac-address sticky 接口配置命令禁用粘滯獲取時，粘滯安全MAC地址仍作為地址表的一部分，但是已從運行配置中移除。

　　已經被刪除的地址可以作為動態地址被重新配置和添加到地址表。

　　(3)當使用 switchport port-security mac-address stickymac-address接口配置命令配置粘滯安全MAC地址時，這些地址將添加到地址表 和運行配置 中。如果禁用端口安全性，則粘滯安全MAC地址仍保留在運行配置中。

　　(4)若果將粘滯安全MAC地址保存在啟動配置文件中，則當交換機重新啟動或者接口關閉時，接口不需要重新獲取這些地址。

　　如果不保存粘滯安全地址，則它們將丟失。

　　如果粘滯獲取被禁用，粘滯安全MAC地址則被轉換為動態安全地址，并被從運行配置中刪除。

　　(5)如果禁用粘滯獲取并輸入switchport port-security mac-address sticky mac-address接口配置命令，則會出現錯誤消息，并且粘滯安全MAC地址不會添加到運行配置。

　　當出現以下任一情況時，則會發生安全違規：

　　(1)地址表中添加了最大數量的安全MAC地址，有工作站試圖訪問接口，而該工作站的MAC地址未出現在該地址表中。

　　(2)在一個安全接口上獲取或配置的地址出現在同一個VLAN中的另一個安全接口上。

　　根據出現違規時要采取的操作，可以將接口配置為3種違規模式之一：

　　保護：當安全MAC地址的數量達到端口允許的限制時，帶有未知源地址的數據包將被丟棄，直至移除足夠數量的安全MAC地址或增加允許的最大地址數。 不會得到發生安全違規的通知。

　　限制：當安全MAC地址的數量達到端口允許的限制時，帶有未知源地址的數據包將被丟棄，直至移除足夠數量的安全MAC地址或增加允許的最大地址數。 在此模式下，您會得到發生安全違規的通知。具體而言就是，將有SNMP陷阱發出、syslog消息記入日志，以及違規計數器的計數增加。

　　關閉：在此模式下，端口安全違規將造成接口立即變為錯誤禁用(error-disabled)狀態，并關閉端口LED。該模式還會發送SNMP陷阱、將syslog消息記入日志，以及增加違規計數器的計數。當安全端口處于錯誤禁用狀態時，先輸入shutdown再輸入no shutdown接口配置命令可使其脫離此狀態。

　　以上就是Cisco交換機配置端口安全性的三種方法，分別為靜態、動態、粘滯端口安全 的優缺點，謝謝閱讀，希望能幫到大家，請繼續關注武林網，我們會努力分享更多優秀的文章。