华为交换MAC安全端口安全MAC地址漂移cisco端口安全M

　　consist包括
　　lowercase小写字母
　　special特殊的
　　sticky英〔stki〕adj。粘性的；
　　snooping英〔snup〕v。窥探；打探；探听
　　capacity英〔kpsti〕n。容量；MAC地址安全
　　案例1：
　　可以在某个接口下添加静态MAC地址，然后再关闭这个接口的MAC地址学习功能。
　　macaddressstaticMAC地址端口号vlan号添加静态MAC地址
　　macaddresslearningdisableactiondiscard关闭端口MAC地址学习功能有则转发无则丢弃（只转发添加的静态MAC地址）mac刷新arp功能
　　arp是用来获取MAC
　　交换机arp缓存？
　　没配置vlanIP前（没有启三层接口）没有arp表项
　　超时时间EXPIRE（M）分钟
　　当开启三层接口后（vlan1配置ip地址）创建ARP表项
　　如下图超时时间20分钟
　　DDynamic动态获取3个0static静态获取0个
　　MAC地址表与ARP表
　　MAC地址表的更新和ARP表更新方式不同，MAC地址表每次有新的请求变化都会更新，而ARP表超时后才会更新。
　　MAC地址表示指导别人如何去转发。MAC地址表的更新来自首次arp请求。
　　ARP表示告诉交换机如何转发。
　　怎么解决这个问题？
　　macAddressupdatearp开启MAC地址刷新ARP功能
　　MAC地址漂移？
　　交换机下挂两台主机IP地址不同MAC地址改为相同都是6055
　　交换机ARP表
　　交换机MAC地址表
　　pc1ping1。0。0。5时本机的arp表建立1。0。0。5对应的MAC6055，交换机对应的MAC表6055G004（1。0。0。5），arp表始终记录不到老换时间不会变化；pc1ping1。0。0。6时pc1建立对应arp表也是6055，此时交换机的MAC表变为6055G005（接1。0。0。6），arp表也会记录一次。此时pc1再次ping1。0。0。5时不通了，因为此时pc1的arp表已建立，ping1。0。0。5找6055MAC，而此mac在交换机上对应的是G005（接1。0。0。6）所以不通了。
　　交换机的MAC地址表中MAC地址唯一，而arp表中一个MAC可以对应多个IP、端口。
　　端口安全（学习重点）
　　MAC地址老化时间300S
　　安全MAC默认不老化。
　　开启端口安全后，默认允许1个MAC通过默认模式restrict（抛弃并告警），当数量超过允许梳理时讲发出警告。
　　开启粘性MAC功能
　　MAC地址防漂移
　　MAC地址表特性参数
　　交换机MAC地址表更新最后到达（谁后道更新谁的MAC）
　　MAC地址优先级默认是0，允许漂移。
　　关闭MAC地址漂移
　　全局模式下修改MAC地址老化时间
　　macaddressagingtime3000设置所有MAC地址老化时间为3000S
　　查看mac地址漂移记录
　　配置端口信任来防止MAC地址漂移（MACSpoofingDefend）
　　errordown端口配置自动恢复时间
　　punish英〔pn〕vt。处罚；惩罚；
　　specify英〔spesfa〕vt。具体说明；明确规定；详述；详列
　　dying英〔da〕adj。临终的；临死的；垂死的；垂死者；临终者
　　v。死；死亡；凋谢；消失；消亡；灭亡；停止运转
　　gasp英〔sp〕v。喘息；（尤指由于惊讶或疼痛而）喘气；倒抽气；透不过气；气喘吁吁地说；渴望（尤指饮料或香烟）
　　n。（常指由强烈情感引起的）深吸气；倒抽气
　　threshold英〔rehld〕n。门槛；门口；阈；界；起始点；开端；起点；入门
　　critical英〔krtkl〕adj。批评的；关键的；
　　cisco设备配置MAC安全特性
　　例：PCxMAC地址：AAAA。BBBB。CCCC的数据帧只能从VLAN11的F010口转发出
　　静态mac地址表项建议慎用！
　　不常移动的设备可以使用此功能：服务器
　　丢弃某个MAC地址的数据帧
　　sticky英〔stki〕adj。粘性的；黏（性）的；一面带黏胶的；时间访问的n。告事贴
　　restrict英〔rstrkt〕vt。（以法规）限制；思科交换机端口安全
　　1。首先进入需要绑定的端口，比如一个端口上接一个HUB，HUB下挂了几台主机，但是只允许其中一个主机通过该交换机的这个端口。端口安全配置命令如下：1。interfacef012。switchportmodeaccess3。switchportportsecurity开启端口安全绑定策略4。switchportportsecuritymaximun1设置端口上允许通过的MAC地址的数量。5。switchportportsecuritymacaddress〔0001。0001。0001sticky〕选择绑定的模式，是静态绑定（指定MAC地址，在MAC地址表中也会自动添加绑定）还是动态绑定（即先访问此端口的MAC地址）。6。switchportportsecurityviolation〔protectrestrictshutdown〕设置端口上的安全策略，对没有被绑定的MAC地址流量想要通过此端口的处理方法，分为不报警也不放行、报警且不放行、报警并关闭端口。7。showportsecurityinterfacef01查看端口安全设置及，安全MAC表的设置是否正确8。showportsecurityaddress
　　使用策略关闭的端口自动恢复
　　cause英〔kz〕n。原因；
　　secure英〔skj（r）〕vt。保护；
　　violation英〔vale（）n〕n。违反；违法；
　　命令：
　　L5（config）errdisablerecoverycausesecurityviolation
　　为securityviolation启用自动恢复
　　L5（config）errdisablerecoveryinterval1800恢复时间为1800s后
　　L5showerrdisablerecovery查看哪些策略开启了自动恢复及恢复时间
　　L3showerrdisabledetect查看SW端口安全关闭支持哪些安全策略
　　cisco设备spanningtreeportfast
　　PortFast可以让连接主机、服务器的端口直接进入流量转发状态，避免2个forwarddelay超时等待。
　　为了避免端口不小心接入交换机而可能引起的网络环路，在端口上配置PortFast命令时，会自动配置BPDUGuard，潜台词是：时刻保持对BPDUFrame的监控，一旦收到BPDUFrame，将立刻触发端口BPDUErrdisablestate，此状态和手动shutdown端口没有太大差别，端口无法转发流量，更不会引起环路。需要网络管理员去check连接是hostorswitch？如果不小心连接的是可以发送BPDU的switch，需要移走，因为PortFast只能连接host。移走之后可以在端口下使用【shutdown】，【noshutdown】将接口状态恢复成正常状态。如果没有移走，用以上命令无法恢复正常状态，因为警报没有解除！
　　PortFast只能配置在连接hostserver的accessport上，切勿在trunkport上配置！！！
　　好处有：
　　1端口不需要经过listeninglearning30秒漫长的过程，可以直接进入endusertrafficforwarding状态。
　　2由于PortFast端口关闭了spanningtree功能，即把端口从树上剔除，它的端口UPDOWN不会触发TC（TopologyChange），不会triggeraccessswitch向RootBridge发送不必要的BPDUNotification来宣告这些TC。可以大大减轻aggregateswitch，coreswitchCPU负担。RSTP（RapidSpaningTreeProtocol）也采纳cisco这个私有PortFastfeature，凡是配置了PortFast的端口，称之为EdgePort。cisco广播风暴控制
　　1启用风暴控制
　　进入配置模式。
　　Switchconfigterminal
　　指定欲配置的接口。
　　Switch（config）interfaceinterfaceid
　　配置广播、多播或单播风暴控制。默认状态下，风暴控制被禁用。
　　level。指定阻塞端口的带宽上限值。当广播、多播或单播传输占到宽带的多大比例（百分比）时，端口将阻塞传输。取值范围为0。00100。00。如果将值设置为100，将不限制任何传输；如果将值设置为0，那么，该端口的所有广播、多播和单播都将被阻塞。
　　levellow。指定启用端口的带宽下限值。该值应当小于或等于下限值，当广播、多播或单播传输占用带宽的比例低于该值时，端口恢复转发传输。取值范围为0。00100。00。
　　bps。指定端口阻塞的传输速率上限值。当广播、多播或单播传输达到每秒若干比特（bps）时，端口将阻塞传输。取值范围为0。010000000000。0。
　　bpslow。指定端口启用的传输速率下限值。该值应当小于或等于下限值，当广播、多播或单播传输低于每秒若干比特（bps）时，端口将恢复传输。取值范围为0。010000000000。0。如果数值较大，也可以使用k、m或g等单位表示。
　　pps。指定端口阻塞的转发速率上限值。当广播、多播或单播传输速率达到每秒若干包（pps）时，端口将阻塞传输。取值范围为0。010000000000。0。
　　ppslow。定端口启用的传输速率下限值。该值应当小于或等于下限值，当广播、多播或单播转发速率低于每秒若干包（pps）时，端口将恢复传输。取值范围为0。010000000000。0。如果数值较大，也可以使用k、m或g等单位表示。
　　Switch（configif）stormcontrol｛broadcastmulticastunicast｝level｛level〔levellow〕bpsbps〔bpslow〕ppspps〔ppslow〕｝
　　指定风暴发生时如何处理。默认状态下，将过滤外出的传输，并不发送SNMP陷阱。选择shutdown关键字，在风暴期间将禁用端口；选择trap关键字，当风暴发生时，产生一个SNMP陷阱，向网络管理软件发出警报。
　　Switch（configif）stormcontrolaction｛shutdowntrap｝
　　显示并校验该接口当前的配置。
　　Switchshowstormcontrol〔interface〕〔｛broadcasthistorymulticastunicast｝〕