端口安全配置注意事项
介绍端口安全的配置注意事项。
涉及网元
无需其他网元配合。
License支持
端口安全特性属于交换机基础功能,其受基本软件功能License控制。基本软件功能License在设备出厂时已经内置并激活,不需要用户再手动激活。
版本支持
产品 |
最低支持版本 |
---|---|
CE12804/CE12808/CE12812 |
V100R001C00 |
CE12816 |
V100R003C00 |
CE12804S/CE12808S |
V100R005C00 |
CE12800E |
V200R002C50 |
如果需要了解软件版本与交换机具体型号的配套信息,请查看硬件查询工具。
软件版本演进关系:V100R001C00 -> V100R002C00 -> V100R003C00 -> V100R003C10 -> V100R005C00 -> V100R005C10 -> V100R006C00 -> V200R001C00 -> V200R002C50 -> V200R003C00 -> V200R005C00 -> V200R005C10 -> V200R019C00 -> V200R019C10
特性依赖和限制
- 端口安全功能与MUX VLAN功能互斥,不能同时配置。
- 不能在同一接口下配置端口安全功能与MAC地址学习限制功能。
- 对于CE12800,端口安全功能在接入VPLS或VXLAN网络的接口上不生效。
- 对于CE12800,三层转发时,配置端口安全MAC地址学习限制数目的功能不生效。
- 配置端口安全时,需要合法用户先上线。
在V100R005C00及之前版本中,FCF功能、端口安全功能、MAC-VLAN、黑洞MAC、MAC-limit功能、MAC不学习功能、URPF功能、DHCP Snooping功能以及802.1x功能中的任意一个功能和TRILL功能不能同时配置。在V100R005C10版本及之后版本中,缺省情况下,上述功能和TRILL功能不能同时配置,如果需要同时使用,需要配置trill adjacency-check disable命令。TRILL功能的优先级比上述功能高,当设备上配置了上述功能后,再配置TRILL功能时,TRILL功能生效,上述功能不生效。
- 对于CE12800,端口A上配置了安全MAC地址后,正常情况下如果端口A接收到的报文的MAC地址不在MAC表里,且非安全MAC地址时,端口A会丢弃该报文,但是如果从端口B已经学习到该MAC地址并记录到MAC表时,端口A不会丢弃该MAC地址的报文。
- 当端口收到目的MAC地址为系统MAC地址的报文时,不会检查端口是否使能了端口安全以及端口学习到的安全MAC地址是否达到上限。
- 配置端口安全后,接口学习到的动态MAC地址会转换为安全动态MAC地址或Sticky MAC地址。安全动态MAC地址和Sticky MAC地址为静态MAC地址类型,无法在M-LAG两边设备上通过peer-link接口同步。
- 双归M-LAG口上配置了端口安全时,可能存在M-LAG两边设备上安全动态MAC地址或Sticky MAC地址不一致的情况。