功能简介
       端口安全功能通过报文的源MAC地址或者源 MAC+源IP 或者仅源 IP 来限定报文是否可以进入交换机的端口,您可以静态设置特定的 MAC地址,静态 IP+MAC 绑定或者仅IP 绑定,或者动态学习限定个数的MAC地址来控制报文是否可以进入端口,使能端口安全功能的端口称为安全端口。只有源 MAC地址为端口安全地址表中配置或者配置绑定的IP+MAC 地址,或者配置的仅 IP 绑定地址,或者学习到的MAC地址的报文才可以进入交换机通信,其他报文将被丢弃。

一、组网要求:             
要求PC1只能接在交换机的F0/1端口,其他的电脑不限制。 
要求F0/2端口只能接入192.168.1.2且mac地址是0011.1111.1112的电脑。
要求F0/3端口要求只能接入ip地址是192.168.1.3的电脑,mac地址无要求。即F0/3下的电脑ip地址只能成192.168.1.3 。
   4)要求F0/4接口只能接入PC4和PC5,其他电脑即mac地址接入了也不能通信。

二、拓扑图  

三、配置要点:
在配置了端口安全的绑定条目,必须敲switchport port-security后才能生效,类似功能开关。
一个MAC或IP只能被绑定在一个接口上。
交换机端口启用端口安全后的处理机制:
                  1.从上往下(后配置的在上面)依次匹配,拒绝则继续往下,放行则跳出
                        同一个ip地址优先级:IP绑定>IP+MAC绑定
      同一个mac地址优先级:如果有ip+mac 的绑定,mac绑定不生效。
                  2.查询mac地址表,在能学到的情况下放行   
不启用ARP check的情况下,端口安全不对ARP报文生效      
四、配置步骤:
注意:配置之前建议使用 Ruijie#show interface status查看接口名称,常用接口名称有FastEthernet(百兆)、GigabitEthernet(千兆)和TenGigabitEthernet(万兆),以下配置以百兆接口为例。
1)要求PC1只能接在交换机的F0/1端口,其他的电脑不限制
端口安全不能实现该功能,建议使用 mac-address-table static  命令实现。 
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#mac-address-table static 0011.1111.1111 vlan 1 int fastEthernet 0/1

2)要求F0/2端口只能接入192.168.1.2且mac地址是0011.1111.1112的电脑
Ruijie>enable 
Ruijie#configure terminal
Ruijie(config)#interface fastEthernet 0/2                                   
Ruijie(config-if-FastEthernet 0/2)#switchport port-security binding 0011.1111.1112 vlan 1 192.168.1.2   ------>把属于vlan1 ,且mac地址是0011.1111.1112,ip地址192.168.1.2,绑定在交换机的第二个百兆接口上
Ruijie(config-if-FastEthernet 0/2)#switchport port-security   ------>开启端口安全功能
Ruijie(config-if-FastEthernet 0/2)#end         ------> 退出到特权模式
Ruijie#write                   ------>确认配置正确,保存配置

3)要求F0/3端口要求只能接入ip地址是192.168.1.3的电脑,mac地址无要求。即F0/3下的电脑ip地址只能成192.168.1.3
Ruijie>enable 
Ruijie#configure terminal
Ruijie(config)#interfac fastEthernet 0/3
Ruijie(config-if-FastEthernet 0/3)# switchport port-security binding 192.168.1.3  ------>把ip地址是192.168.1.3的终端定在交换机的第三个百兆接口
Ruijie(config-if-FastEthernet 0/3)#switchport port-security   ------>开启端口安全功能
Ruijie(config-if-FastEthernet 0/3)#end 
Ruijie#write                   ------>确认配置正确,保存配置

4)要求F0/4接口只能接入PC4和PC5,其他电脑即mac地址接入了也不能通信
Ruijie>enable 
Ruijie#configure terminal
Ruijie(config)#interface fastEthernet 0/4
Ruijie(config-if-FastEthernet 0/4)# switchport port-security mac-address 0011.1111.1114 vlan 1 ------>把属于lan1且mac地址是0011.1111.1114的终端绑定在交换机的第四个百兆接口
Ruijie(config-if-FastEthernet 0/4)# switchport port-security mac-address 0011.1111.1115 vlan 1 ------>把属于lan1且mac地址是0011.1111.1115的终端绑定在交换机的第四个百兆接口
Ruijie(config-if-FastEthernet 0/4)#switchport port-security maximum 2   ------->默认128
Ruijie(config-if-FastEthernet 0/4)#switchport port-security  ------>开启端口安全功能
Ruijie(config-if-FastEthernet 0/3)#end         
Ruijie#write                   ------>确认配置正确,保存配置

五、验证命令:
Ruijie#sho port-security all
Vlan Port     Arp-Check  Mac Address           IP Address                  Type           Remaining Age   (mins)
---- -------- ---------- -------------- -------------------------------------------------- --------------
1    Fa0/1    Disabled   0011.1111.1111                                            Configured                -        
1    Fa0/2    Disabled   0011.1111.1112          192.168.1.2                Configured                 -        
      Fa0/3    Disabled                                      192.168.1.3                 Configured                 -        
1    Fa0/4    Disabled   0011.1111.1114                                            Configured                  -        
1    Fa0/4    Disabled   0011.1111.1115                                            Configured                   -        
说明:检查接口和地址的绑定关系是否对应,在接口上是否敲了“switchport port-security”命令。