在启用端口安全功能后,交换机会自动学习接入的MAC地址。一旦学习的MAC地址数量达到设定的最大值,交换机将停止学习新的MAC地址。这样一来,未在列表中的MAC地址将无法通过该端口接入网络,从而有效提升了网络的安全性。
端口安全功能通常与地址表结合使用。在地址表中,管理员可以静态添加MAC地址和端口的绑定信息,同时也可以查看当前已学习的静态地址条目和动态地址条目,使得网络管理更加实时和便捷。
以某公司为例,他们希望通过TL-SL3428交换机实现每个端口仅能接入指定的电脑,既不允许其他电脑接入该端口,也不允许已接入电脑访问交换机的其他端口。以下是实现这一目标的两种方法:
**方法一:自动学习法**
1. 在交换机的“二层交换”菜单下,选择“端口管理”和“端口安全”,将所有端口开启端口安全功能,设置最大学习地址数为1,学习模式为永久。 2. 将电脑分别接入对应的端口(例如,PC1接入端口1,PC2接入端口2)。如果接入错误,需要登录管理界面删除错误绑定信息,然后重新学习。 3. 端口学习到的所有信息会在“地址表管理”中显示。
**方法二:手动绑定法**
1. 在交换机的“二层交换”菜单下,选择“地址表管理”和“静态地址表”,绑定对应端口接入的电脑MAC地址和VLAN ID。 2. 在“端口管理”和“端口安全”下,所有端口开启端口安全功能,设置最大学习地址数为0。 3. 此时,由于最大学习地址数为0,交换机不会学习新的MAC地址,其他电脑无法接入。
通过以上两种方法,公司可以有效地实现端口与对应MAC地址的绑定,确保每个端口仅允许其绑定的MAC地址接入,并且一台设备只能接入其绑定的端口。这样的网络管理方式不仅能防止端口混乱,还能通过端口安全和地址表管理,确保网络接入的有效性和管理的便捷性。
端口安全通过限制端口的最大学习MAC数目,来防范MAC地址攻击和控制端口的网络流量。如果端口启用端口安全功能,将学习接入的MAC地址,当学习地址数达到最大值时停止学习。此后,MAC地址未被学习的网络设备将不能再通过该端口接入网络,保证安全性。
端口安全常常会和地址表结合使用,在地址表中静态添加MAC地址和端口的绑定信息,并且可以显示当前学习到的静态地址条目,动态地址表可以显示端口学习到的动态地址条目信息,从而可以实时更好的管理网络。
端口安全应用举例:某公司使用TL-SL3428作为公司接入交换机,想实现每个端口仅能够接入指定的电脑,不允许该端口接入其他电脑,也不允许该电脑接入交换机其他端口。
设置步骤以接入PC1和PC2接入1、2号端口为例,实际则以公司需要接入的主机数目为准,如下图:
可以通过下列两种方法实现该目的:
方法一、自动学习法
设置步骤:
【1】二层交换>>端口管理>>端口安全 所有端口开启端口安全,最大学习地址数为1,学习模式为永久,如图:
这样设置之后,将电脑分别接入对应的端口(本例为PC1接入端口1,PC2接入端口2)。需要注意的是,电脑一定接入对应端口,如果接入出现差错,则学习到的绑定信息需要通过登录管理界面方能删除,之后重新学习。
【2】端口学习到的所有信息会在“地址表管理”显示,如图,地址信息:
至此,用自动学习方法设置完毕。
方法二、手动绑定法
设置步骤:
【1】二层交换>>地址表管理>>静态地址表 在表中绑定对应端口接入的电脑MAC地址和VLAN ID,如图:
分别绑定各电脑的MAC地址、VLAN ID以及接入端口(本例仅绑定PC1和PC2)。
【2】二层交换>>端口管理>>端口安全 所有端口开启端口安全,最大学习地址数为0,如下图:
开启端口安全后,由于最大学习地址数为0,则交换机将不会学习新的MAC,这样其他电脑将无法接入。
【3】绑定的静态地址信息可以在地址表显示中查询到,如图:
至此,通过两种方式有效实现端口与对应MAC地址绑定,对应的端口仅允许该端口绑定的MAC地址接入,并且某台设备只能接入其绑定的端口,而不可以接入其他端口。这样实现了有效地网络管理和端口分配,杜绝出现频繁拔插或倒换端口造成的网络混乱,端口安全和地址表管理丰富的管理方式保证有效地接入和方便的管理。
