作者： wangruiwen2019

端口安全功能用于约束报文进入端口的行为，通过报文的源MAC地址来判断报文准入或不准入设备端口。设备可通过静态配置的特定MAC地址，或者动态学习的限定个数MAC地址，来控制报文准入或不准入端口。
下面通过一个典型配置举例说明如何配置端口安全。

组网需求
开启端口安全功能，配置端口安全的违例处理方式。

配置限制与指导
1、只能在二层以太网接口和二层聚合接口下配置端口安全功能。
2、 SPAN的目的端口不能作为安全端口。
3、无法在DHCP Snooping信任端口上配置端口安全功能。
4、 无法在全局IP和MAC的例外口配置端口安全功能。
5、 protect表示若发现违例则丢弃违例的报文。restrict表示若发现违例则丢弃违例的报文并且发送端口违例Trap通告。shutdown表示若发现违例则丢弃违例的报文并且关闭接口。

配置步骤
(1) 进入特权模式。
enable
(2) 进入全局配置模式。
configure terminal
(3) 进入接口配置模式。
○ 进入二层以太网接口配置模式。
interface ethernet-type interface-number
○ 进入二层聚合接口配置模式。
interface aggregateport interface-number
(4) 开启端口安全功能。
switchport port-security
缺省情况下，端口安全功能处于关闭状态。
(5) 配置端口安全的违例处理方式。
switchport port-security violation { protect | restrict | shutdown }
缺省情况下，端口安全违例处理方式为若发现违例则丢弃违例的报文。

验证配置结果
# 使用show port-security查看所有端口安全配置信息。

说明
1、交换机端口安全分为IP+MAC绑定，仅IP绑定，仅MAC绑定，配置命令如下：
switchport port-security binding [ mac-address vlan vlan-id ] { ipv4-address | ipv6-address }
参数说明如下：
○ mac-address：指定源MAC地址，绑定端口、源MAC、VLAN ID和IP地址。
○ vlan vlan-id：指定VLAN ID，绑定端口、源MAC、VLAN ID和IP地址。取值范围为1~4094。
○ ipv4-address：指定IPv4地址，绑定端口和IPv4地址。
○ ipv6-address：绑定的IPv6地址，绑定端口和IPv4地址。
2、 如果配置了IP或IP+MAC绑定，需同时满足端口安全MAC绑定的条件才能入网，即端口安全MAC地址绑定是决定设备放通用户的关键因素

 

通过在接口上配置命令rate-limit { input | output } rate-value burst-value实现接口限速。

 参数说明
input：配置接口输入方向流量限制。
output：配置接口输出方向流量限制。
rate-value：配置流量限制值。取值范围在不同产品与版本上可能存在差异，单位为千比特每秒。
burst-value：配置猝发流量限制值。取值范围在不同产品与版本上可能存在差异，单位为千字节。

配置举例
Hostname> enable
Hostname# configure terminal
Hostname(config)#interface gigabitEthernet 0/1
Hostname(config-if-GigabitEthernet 0/1)#rate-limit input 100000 1024
Hostname(config-if-GigabitEthernet 0/1)#rate-limit output 100000 1024

通过配置ACL，可以实现对IP网段访问权限的控制。参考例子如下描述。
组网需求：作为公司核心业务，除了财务部外的其他部门禁止访问公司的财务数据服务器。

配置步骤：
# Device A配置IP标准ACL并添加访问规则。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# ip access-list standard 1
DeviceA(config-std-nacl)# permit 10.1.1.0 0.0.0.255
DeviceA(config-std-nacl)# deny 11.1.1.1 0.0.0.255
DeviceA(config-std-nacl)# exit

# 将ACL应用在Device A连接财务数据服务器接口的出方向上。
DeviceA(config)# interface gigabitethernet 0/3
DeviceA(config-if-GigabitEthernet 0/3)# ip access-group 1 out

 

配置交换机的IP地址，需要通过no switchport命令将交换机二层业务口转换为三层接口，然后在该三层接口上通过ip address命令配置IP地址；或是通过interface vlan命令创建VLAN，然后通过ip address命令配置其SVI接口的IP地址。设备一般可以支持对一个接口配置多个IP地址，其中一个为主IP地址，其余全部为次IP地址
（Secondary IP）。当一个局域网的主机超过254台时，一个C类网络将不够分配，有必要分配另一个C类网络地址，这样设备就需要连接两个网络，所以接口就需要配置多个IP地址。在通过ip address命令配置IP地址时加入secondary关键字可以配置相应接口的次IP地址。

1、三层口配置IP地址举例、Secondary IP地址举例
# 进入全局配置模式。
Hostname# configure terminal

# 进入GigabitEthernet 0/1接口模式。
Hostname(config)# interface GigabitEthernet 0/1

# 将接口转换为三层口。
Hostname(config-if)# no switchport

# 配置接口IP地址为192.168.1.1，子网掩码为255.255.255.0。
Hostname(config-if)# ip address 192.168.1.1 255.255.255.0

# 配置接口Secondary IP地址为192.168.2.1，子网掩码为255.255.255.0。
Hostname(config-if)# ip address 192.168.2.1 255.255.255.0 secondary

# 启动接口。
Hostname(config-if)# no shutdown

2、创建VLAN配置SVI口IP地址、Secondary IP地址举例

# 进入全局配置模式。
Hostname# configure terminal

# 创建VLAN 10。
Hostname(config)# vlan 10

# 进入VLAN 10 接口配置模式。
Hostname(config-vlan)# interface vlan 10

# 配置SVI接口IP地址为192.168.1.1，子网掩码为255.255.255.0。
Hostname(config-if-VLAN 10)# ip address 192.168.1.1 255.255.255.0

# 配置SVI接口Secondary IP地址为192.168.2.1，子网掩码为255.255.255.0。
Hostname(config-if-VLAN 10)# ip address 192.168.2.1 255.255.255.0 secondary
Hostname(config)# end

通过 MAC 地址查询对应 IP 地址
在特权模式下通过show arp mac地址 命令可以查询特定MAC地址对应的IP地址。
格式如下：show arp 0074.9cee.53cb

查看交换机IP地址
特权模式下通过show ip interface brief命令可以查看交换机所有接口的IP地址。
格式如下：show ip interface brief

查看一个 IP 地址是从哪个接口学习到的
在特权模式下通过show arp ip地址命令可以查询特定IP地址对应的端口。
格式如下：show arp 192.168.195.68

在管理口配置模式下通过ip address ipv4-address { mask | mask-length }命令可以配置管理口的IP地址。

# 进入全局配置模式。
Hostname# configure terminal

# 进入管理口配置模式。
Hostname(config)# interface mgmt 0

# 配置管理口IP地址为192.168.1.100，子网掩码为255.255.255.0。
Hostname(config-if-Mgmt 0)# ip address 1.1.1.2 255.255.255.0
Hostname(config-if-Mgmt 0)# end

 

一、配置 DHCP 服务器静态绑定地址
在全局配置模式下通过 ip dhcp pool 创建静态DHCP地址池，然后通过
host ipv4-address [ mask ]命令和hardware-address hardware-address
命令配置静态绑定客户端相关参数即可。例如，为MAC地址为
0050.56b0.2f50的DHCP客户端配置固定的IP地址192.1.1.99/24，需要在DHCP服务器上进行如下配置：

# 进入全局配置模式。
Hostname# configure terminal

# 开启DHCP Server服务。
Hostname(config)# service dhcp

# 创建地址池pool1
Hostname(config)# ip dhcp pool pool1

# 配置采用静态绑定方式为客户端Host分配IP地址。
Hostname(dhcp-config)# host 192.1.1.99 255.255.255.0
Hostname(dhcp-config)# hardware-address 0050.56b0.2f5

二、配置 DHCP 排除地址功能
在全局配置模式下通过
ip dhcp excluded-address low-ipv4-address [ high-ipv4-address ]
命令可以配置DHCP排除地址。只输入low-ipv4-address参数表示只排除该地址，同时输入low-ipv4-address参数和high-ipv4-address参数表示排除这个两个地址范围之间的所有地址。

# 进入全局配置模式。
Hostname# configure terminal

# 配置DHCP排除地址范围为192.168.1.1~192.168.1.50。
Hostname(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.50

# 配置DHCP排除地址为192.168.2.1。
Hostname(config)# ip dhcp excluded-address 192.168.2.1

三、查看 DHCP 地址池分配情况
在特权模式下通过show ip dhcp pool命令查看DHCP服务器地址池分配情况。

四、配置静态 ARP 表项
在全局配置模式下，通过arp ipv4-address mac-address arp-type命令可以配置静态ARP映射记录，手工指定IP地址和MAC地址的映射。

# 为以太网上的主机配置静态ARP映射记录，
IP地址为1.1.1.1，MAC地址为4e54.3800.0002。
Hostname# configure terminal
Hostname(config)# arp 1.1.1.1 4e54.3800.0002 arp

 

 

配置DHCP中继功能首先需要在全局配置模式下通过service dhcp命令开启DHCP中继功能，然后通过ip helperaddress ipv4-address命令添加DHCP服务器地址。
下面通过一个典型配置案例来说明配置，如下图：

组网需求
DHCP客户端Host所在网段为192.1.1.0/24，Device A为网关设备，Device B为DHCP服务器。DHCP客户端要想向DHCP服务器申请到IP地址等相关配置信息，需要将网关作为DHCP中继，使得DHCP报文能够被中继转发给DHCP服务器。

配置步骤
(1) 配置Device A
1、配置接口的IP地址。

2、开启DHCP中继功能。

3、 添加DHCP服务器的地址。

(2) 配置Device B
1、配置接口的IP地址。

2、配置到192.1.1.0/24网段的静态路由，确保与DHCP客户端Host三层路由可达。

3、启用DHCP Server功能。

4、配置地址池pool1的网络参数。