consist 包括

lowercase 小写字母

special 特殊的

sticky 英 [ˈstɪki] adj. 粘性的;

snooping 英 [ˈsnuːpɪŋ] v.窥探;打探;探听

capacity 英 [kəˈpæsəti] n.容量;

MAC地址安全

案例1：

可以在某个接口下添加静态MAC地址，然后再关闭这个接口的MAC地址学习功能。

mac-address static MAC地址 端口号 vlan号 //添加静态MAC地址

mac-address learning disable action discard //关闭端口MAC地址学习功能 有则转发无则丢弃（只转发添加的静态MAC地址）

mac刷新arp功能

arp是用来获取MAC

交换机arp缓存？

没配置vlan IP前（没有启三层接口）没有arp表项

超时时间EXPIRE(M) 分钟

当开启三层接口后（vlan 1配置ip地址）创建ARP表项

如下图超时时间20分钟

D-Dynamic动态获取3个 0-static 静态获取0个

MAC地址表 与 ARP表

MAC地址表的更新和ARP表更新方式不同，MAC地址表每次有新的请求变化都会更新，而ARP表超时后才会更新。

MAC地址表示指导别人如何去转发。MAC地址表的更新来自首次arp请求。

ARP表示告诉交换机如何转发。

怎么解决这个问题？

mac-Address update arp //开启MAC地址刷新ARP功能

MAC地址漂移？

交换机下挂两台主机IP地址不同 MAC地址改为相同 都是6055

交换机ARP表

交换机MAC地址表

pc1 ping 1.0.0.5时本机的arp 表建立1.0.0.5 对应的MAC 6055，交换机对应的MAC表6055 - G0/0/4 （1.0.0.5），arp表始终记录不到老换时间不会变化；pc1 ping 1.0.0.6时pc1建立对应arp表也是 6055，此时交换机的MAC表变为 6055 - G0/0/5（接1.0.0.6），arp表也会记录一次。此时pc1再次ping 1.0.0.5时不通了，因为此时pc1的arp表已建立，ping 1.0.0.5找6055MAC，而此mac在交换机上对应的是G0/0/5（接1.0.0.6）所以不通了。

交换机的MAC地址表中MAC地址唯一，而arp表中一个MAC可以对应多个IP 、端口。

端口安全(学习重点)

MAC地址老化时间300S

安全MAC默认不老化。

开启端口安全后，默认允许1个MAC通过默认模式 restrict（抛弃并告警），当数量超过允许梳理时讲发出警告。

开启粘性MAC功能

MAC地址防漂移

MAC地址表特性参数

交换机MAC地址表更新最后到达（谁后道更新谁的MAC）

MAC地址优先级默认是0，允许漂移。

关闭MAC地址漂移

全局模式下修改MAC地址老化时间

mac-address aging-time 3000 //设置所有MAC地址老化时间为3000S

查看mac地址漂移记录

配置端口信任来防止MAC地址漂移（MAC-Spoofing-Defend）

error-down端口配置自动恢复时间

punish 英 [ˈpʌnɪʃ] vt. 处罚;惩罚;

specify 英 [ˈspesɪfaɪ] vt.具体说明;明确规定;详述;详列

dying 英 [ˈdaɪɪŋ] adj.临终的;临死的;垂死的;垂死者;临终者

v.死;死亡;凋谢;消失;消亡;灭亡;停止运转

gasp 英 [ɡɑːsp] v.喘息;(尤指由于惊讶或疼痛而)喘气;倒抽气;透不过气;气喘吁吁地说;渴望(尤指饮料或香烟)

n.(常指由强烈情感引起的)深吸气;倒抽气

threshold 英 [ˈθreʃhəʊld] n.门槛;门口;阈;界;起始点;开端;起点;入门

critical 英 [ˈkrɪtɪkl] adj. 批评的;关键的;

cisco设备配置 MAC安全特性

例：PCx MAC地址：AAAA.BBBB.CCCC 的 数据帧只能从VLAN11的F0/10口转发出

静态mac地址表项建议慎用！

不常移动的设备可以使用此功能：服务器

丢弃某个MAC地址的数据帧

sticky 英 [ˈstɪki] adj. 粘性的;黏(性)的;一面带黏胶的;时间访问的 n.告事贴

restrict 英 [rɪˈstrɪkt] vt. (以法规)限制;

思科交换机端口安全

1.首先进入需要绑定的端口，比如一个端口上接一个HUB，HUB下挂了几台主机，
但是只允许其中一个主机通过该交换机的这个端口。
端口安全配置命令如下：
1.interface f0/1
2.switchport mode access
3.switchport port-security   //开启端口安全绑定策略 
4.switchport port-security maximun 1 //设置端口上允许通过的MAC地址的数量。
5.switchport port-security mac-address [0001.0001.0001\sticky]
//选择绑定的模式，是静态绑定（指定MAC地址，在MAC地址表中也会自动添加绑定）
//还是动态绑定（即先访问此端口的MAC地址）。 
6.switchport port-security violation [protect\restrict\shutdown]
//设置端口上的安全策略，对没有被绑定的MAC地址流量想要通过此端口的处理方法，
//分为不报警也不放行、报警且不放行、报警并关闭端口。
7.show port-security interface f0/1  //查看端口安全设置及，安全MAC表的设置是否正确
8.show port-security address

使用策略关闭的端口 自动恢复

cause 英 [kɔːz] n.原因;

secure 英 [sɪˈkjʊə(r)] vt.保护;

violation 英 [ˌvaɪə'leɪʃ(ə)n] n.违反;违法;

命令：

L5(config)#errdisable recovery cause security-violation

//为security-violation启用自动恢复
L5(config)#errdisable recovery interval 1800 //恢复时间为1800s后

L5#show errdisable recovery //查看哪些策略开启了自动恢复及恢复时间

L3#show errdisable detect //查看SW端口安全关闭支持哪些安全策略

cisco设备 spanning-tree portfast

PortFast可以让连接主机、服务器的端口直接进入流量转发状态，避免2个forward-delay 超时等待。

为了避免端口不小心接入交换机而可能引起的网络环路，在端口上配置PortFast 命令时，会自动配置 BPDU Guard，潜台词是：时刻保持对BPDU Frame 的监控，一旦收到 BPDU Frame，将立刻触发端口BPDU Err-disable state，此状态和手动 shutdown 端口没有太大差别，端口无法转发流量，更不会引起环路。需要网络管理员去check连接是host or switch ？如果不小心连接的是可以发送BPDU的switch，需要移走，因为PortFast 只能连接host。移走之后可以在端口下使用 【shutdown】，【no shutdown】将接口状态恢复成正常状态。如果没有移走，用以上命令无法恢复正常状态，因为警报没有解除！

PortFast 只能配置在连接 host/server 的access port 上，切勿在trunk port 上配置！！！

好处有：

1 端口不需要经过 listening +learning = 30 秒漫长的过程，可以直接进入 end user traffic forwarding 状态。

2 由于PortFast 端口关闭了 spanning tree 功能，即把端口从树上剔除，它的端口 UP/DOWN 不会触发TC（Topology Change），不会 trigger access switch向 Root Bridge发送不必要的 BPDU Notification 来宣告这些TC。可以大大减轻aggregate switch，core switch CPU 负担。RSTP （Rapid Spaning Tree Protocol）也采纳cisco 这个私有 PortFast feature，凡是配置了PortFast 的端口，称之为 Edge Port。

cisco广播风暴控制

1．启用风暴控制

进入配置模式。

Switch# config terminal

指定欲配置的接口。

Switch(config)# interface interface-id

配置广播、多播或单播风暴控制。默认状态下，风暴控制被禁用。

level。指定阻塞端口的带宽上限值。当广播、多播或单播传输占到宽带的多大比例（百分比）时，端口将阻塞传输。取值范围为0.00 ~ 100.00。如果将值设置为100%，将不限制任何传输；如果将值设置为0%，那么，该端口的所有广播、多播和单播都将被阻塞。

level-low。指定启用端口的带宽下限值。该值应当小于或等于下限值，当广播、多播或单播传输占用带宽的比例低于该值时，端口恢复转发传输。取值范围为0.00 ~ 100.00。

bps。指定端口阻塞的传输速率上限值。当广播、多播或单播传输达到每秒若干比特（bps）时，端口将阻塞传输。取值范围为0.0～10 000 000 000.0。

bps-low。指定端口启用的传输速率下限值。该值应当小于或等于下限值，当广播、多播或单播传输低于每秒若干比特（bps）时，端口将恢复传输。取值范围为0.0～10 000 000 000.0。如果数值较大，也可以使用k、m或g等单位表示。

pps。指定端口阻塞的转发速率上限值。当广播、多播或单播传输速率达到每秒若干包（pps）时，端口将阻塞传输。取值范围为0.0～10 000 000 000.0。

pps-low。定端口启用的传输速率下限值。该值应当小于或等于下限值，当广播、多播或单播转发速率低于每秒若干包（pps）时，端口将恢复传输。取值范围为0.0～10 000 000 000.0。如果数值较大，也可以使用k、m或g等单位表示。

Switch(config-if)# storm-control {broadcast | multicast | unicast} level {level [level-low] | bps bps [bps-low] | pps pps [pps-low]}

指定风暴发生时如何处理。默认状态下，将过滤外出的传输，并不发送SNMP陷阱。选择shutdown关键字，在风暴期间将禁用端口；选择trap关键字，当风暴发生时，产生一个SNMP陷阱，向网络管理软件发出警报。

Switch(config-if)# storm-control action {shutdown | trap}

显示并校验该接口当前的配置。

Switch# show storm-control [interface] [{broadcast | history | multicast | unicast}]