端口安全配置注意事项

涉及网元

无需其他网元配合。

License支持

端口安全特性属于交换机基础功能，其受基本软件功能License控制。基本软件功能License在设备出厂时已经内置并激活，不需要用户再手动激活。

版本支持

如果需要了解软件版本与交换机具体型号的配套信息，请查看硬件查询工具。

软件版本演进关系：V100R001C00 -> V100R002C00 -> V100R003C00 -> V100R003C10 -> V100R005C00 -> V100R005C10 -> V100R006C00 -> V200R001C00 -> V200R002C50 -> V200R003C00 -> V200R005C00 -> V200R005C10 -> V200R019C00 -> V200R019C10

特性依赖和限制

• 端口安全功能与MUX VLAN功能互斥，不能同时配置。
• 不能在同一接口下配置端口安全功能与MAC地址学习限制功能。
• 对于CE12800，端口安全功能在接入VPLS或VXLAN网络的接口上不生效。
• 对于CE12800，三层转发时，配置端口安全MAC地址学习限制数目的功能不生效。
• 配置端口安全时，需要合法用户先上线。

• 在V100R005C00及之前版本中，FCF功能、端口安全功能、MAC-VLAN、黑洞MAC、MAC-limit功能、MAC不学习功能、URPF功能、DHCP Snooping功能以及802.1x功能中的任意一个功能和TRILL功能不能同时配置。在V100R005C10版本及之后版本中，缺省情况下，上述功能和TRILL功能不能同时配置，如果需要同时使用，需要配置trill adjacency-check disable命令。TRILL功能的优先级比上述功能高，当设备上配置了上述功能后，再配置TRILL功能时，TRILL功能生效，上述功能不生效。

• 对于CE12800，端口A上配置了安全MAC地址后，正常情况下如果端口A接收到的报文的MAC地址不在MAC表里，且非安全MAC地址时，端口A会丢弃该报文，但是如果从端口B已经学习到该MAC地址并记录到MAC表时，端口A不会丢弃该MAC地址的报文。
• 当端口收到目的MAC地址为系统MAC地址的报文时，不会检查端口是否使能了端口安全以及端口学习到的安全MAC地址是否达到上限。
• 配置端口安全后，接口学习到的动态MAC地址会转换为安全动态MAC地址或Sticky MAC地址。安全动态MAC地址和Sticky MAC地址为静态MAC地址类型，无法在M-LAG两边设备上通过peer-link接口同步。
• 双归M-LAG口上配置了端口安全时，可能存在M-LAG两边设备上安全动态MAC地址或Sticky MAC地址不一致的情况。