隔离端口

隔离机制

1、同一个隔离组的隔离端口之间不能互相访问，不同的隔离组的端口可以互相访问
2、隔离端口可以和非隔离端口互相访问
3、隔离端口仅在交换机本地实现隔离，跨交换机无法实现。

端口安全

解释：

端口安全通过将接口学习到的动态Mac地址转换为安全的Mac地址，（包括安全动态MAC、安全静态MAC和Sticky MAC ）阻止非法用户通过本接口和交换机通信，从而增强设备的安全性。

使用：

在接口模式下

int g/0/0/1
port-security enable
port-security max-mac-num 2#最多可以学习的MAC端口的数量

端口安全的作用：

1、限制接口学习的MAC地址数量，防止 MAC地址泛洪攻击。
2、只允许特定的SMAC的数据帧进行通信，防止源MAC地址欺骗攻击。

• 安全动态MAC地址-设备重启后表项消失，重新抢夺mac数量

int g/0/0/1
port-security enable
port-security max-mac-num 2#最多可以学习的MAC端口的数量

• 安全静态MAC地址-设备重启表项依旧保存。

int g/0/0/1
port-security enable
port-security mac-address sticky
port-security mac-address sticky (mac地址) vlan （vlan号）
port-security max-mac-num 2#最多可以学习的MAC端口的数量
dis mac-address

• Sticky MAC地址 -设备重启表项依旧保存。（粘贴的方式，uxuyao像安全静态那样手动配置）

int g/0/0/1
port-security enable
port-security mac-address sticky
port-security mac-address sticky 

配置静态MAC地址漂移检测功能

配置此功能后，可以让交换机捕捉到其他端口上存在具有相同MAC地址的安全静态MAC表项中，怀疑可能存在伪装的MAC地址，从而进行保护动作
保护动作有三种：restrict、protect、shutdown

端口安全限制动作

• 超过安全MAC地址数量限制后：
  restrict：丢弃源MAC地址不存在的报文并上报告警，推荐
  protect：只丢弃源MAC地址不存在的报文，不上报告警
  shutdown接口配置状态配置为error-down，并上报告警。默认情况下，接口关闭后不会自动恢复，只能由网管在接口视图下使用restart命令进行接口恢复。

error-down auto-recovery cause port-security interval 30 

表示如果是由于端口安全导致的error-down故障，30s之后进行恢复

port-security aging-time

该命令用来配置端口安全动态MAC 地址的 老化时间。其中absolute配置老化类型为绝对老化时间， inactivity配置老化类型为相对老化时间。