關於交換機端口安全問題
- 0關注
- 0收藏,426瀏覽
問題描述:
接口下配置
port-security max-mac-count 1
port-security port-mode autolearn
之後學習到安全mac的話生成
port-security mac-address security sticky XXXX-XXXX-XXXX vlan 100
mac地址表還能學習到mac,但是不自動生成安全mac綁定了,是為什麼呢。
- 2025-05-16提問
- 舉報
-
(0)
最佳答案
你遇到的問題是:
在 H3C 接口下配置了
port-security max-mac-count 1 port-security port-mode autolearn然後接口確實學到了 MAC,但並沒有生成 sticky 的安全 MAC 綁定(
port-security mac-address security sticky ...)。
🎯 結論:這是因為缺少了 sticky 模式的開啟命令
你的配置中隻設置了:
port-security port-mode autolearn
而 自動學習(autolearn)≠ sticky 模式。
要讓係統自動將學到的 MAC 寫入配置(或安全MAC表),你必須開啟 sticky 模式:
port-security port-mode sticky
✅ 正確配置組合如下(支持動態寫入 sticky MAC):
interface GigabitEthernet 1/0/1
port link-type access
port default vlan 100
port-security enable
port-security max-mac-count 1
port-security port-mode sticky
⚠️ 注意:
sticky模式是“自動學習並轉為靜態綁定 MAC”的機製;
autolearn模式僅是運行時動態學習,不會寫入配置或長期綁定;兩者是互斥的,不能同時配置,默認後配置的會覆蓋前者。
📘 模式區別說明
| 模式 | 描述 | 是否生成 sticky 安全 MAC |
|---|---|---|
autolearn |
動態學習 MAC,僅存在於運行時 MAC 表 | ❌ 不生成 sticky |
sticky |
學習 MAC 並寫入為 sticky 安全綁定 | ✅ 會生成 sticky 安全 MAC |
user-defined |
手動指定安全 MAC 地址 | ✅ |
✅ 檢查命令參考
查看安全 MAC 表:
display port-security mac-address
查看接口綁定模式:
display this | include port-security
✅ 建議你這樣配置
interface GigabitEthernet 1/0/1
port link-type access
port default vlan 100
port-security enable
port-security max-mac-count 1
port-security port-mode sticky
重新插拔終端或 shutdown/no shutdown 接口後,即可看到自動綁定的 sticky 安全 MAC:
port-security mac-address security sticky xxxx-xxxx-xxxx vlan 100
- 2025-05-16回答
- 評論(0)
- 舉報
-
(0)
這種情況可能是因為粘滯MAC地址(Sticky MAC)的特性導致的。粘滯MAC地址是一種安全特性,當一個MAC地址首次通過某個端口進入設備時,設備會自動將其轉換為安全MAC地址,並將其與該端口綁定。但是,一旦一個MAC地址被轉換為安全MAC地址,它將不再被設備的MAC地址表自動學習和更新。 如果設備上的MAC地址學習功能正常,但是沒有自動生成安全MAC綁定,可能是因為粘滯MAC地址的特性已經將該MAC地址轉換為安全MAC,因此設備的MAC地址表不會再對其進行學習和更新。如果需要更新安全MAC綁定,可能需要手動執行相關命令或者重新啟用粘滯MAC地址特性。 建議檢查設備的粘滯MAC地址配置,確認是否啟用了該特性,以及是否需要手動更新安全MAC綁定。如果需要進一步的幫助,請提供更多的設備配置信息和具體問題描述。
- 2025-05-16回答
- 評論(2)
- 舉報
-
(0)
目前就是他不自動生成安全mac了,但是正常的mac地址表能看到,安全mac地址表沒有,接口下也不生成port-security mac-address security sticky XXXX-XXXX-XXXX vlan 100這條命令了。
根據配置信息和端口安全機製,可能原因為:
端口模式切換:當學習到的安全MAC地址達到max-mac-count=1後,端口模式會自動從autoLearn切換為secure模式。此時:
- 已學習的安全MAC會被保留為Sticky MAC
- 新到達的MAC地址不會生成新的安全MAC綁定
- 但交換機仍會通過正常MAC學習機製生成動態MAC表項(在display mac-address中可見)
安全MAC類型差異:通過display port-security mac-address security查看時:
- 隻有通過端口安全機製學習/綁定的Sticky MAC才會顯示
- 普通動態學習到的MAC地址不會出現在安全MAC表中
老化機製影響:當配置了port-security timer autolearn aging參數時:
- Sticky MAC會按照定時老化機製自動刪除
- 刪除後若端口仍處於secure模式,新MAC隻會生成普通動態表項
驗證方法:
[Device] display port-security interface gigabitethernet 1/0/1
查看以下關鍵字段:
Port mode : autoLearn/secure(當前模式)
Current secure MAC addresses : 已學習數量
Security MAC address attribute中的Learning mode : Sticky/Dynamic
建議檢查:
- 當前端口是否已處於secure模式
- 安全MAC地址數量是否已滿
- 是否配置了port-security mac-address dynamic命令將Sticky MAC轉換為動態類型
- 是否啟用了其他安全功能(如IP Source Guard)覆蓋了端口安全行為
- 2025-05-16回答
- 評論(0)
- 舉報
-
(0)
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明