锐捷端口安全技术白皮书 锐捷网络 网络解决方案第一品牌公司.doc

锐捷端口安全技术白皮书摘要端口安全是一种基于二层地址或三层地址对网络接入进行控制的安全机制，因此安全地址可以是仅MAC的，仅IP的，也可以是IP+MAC的。在端口打开端口安全功能后,该端口除了源地址为安全地址之外的报文都不允许通过。安全地址可以动态学习，也可以静态配置，同时，还可以限制端口的最大安全地址个数，以及配置安全地址的老化功能。当安全端口的安全地址达到最大限制数之后，如果该端口还收到一个非安全地址报文时，则安全端口会产生违例事件，违例的处理模式有三种，分别为：(1) Protect:：当安全地址个数满后，安全端口将丢弃非安全地址的所有报文；(2) Restrict：当违例产生时，将发送一个Trap通知；(3) Shutdown：当违例产生时，将关闭端口并发送一个Trap通知。本技术白皮书针对我司所有交换机设备的端口安全进行说明，包括S20系列，S21系列，S23系列，S26系列，S29系列，S32系列，S3750系列，S3760系列，S5750系列，S5760系列，S76系列，S86系列以及S96系列。关键词端口安全 安全地址 安全端口 违例技术白皮书修订记录日期修订版本修改章节修改描述作者2008/8/31.00目 录摘要1关键词11缩略语22概述32.1端口安全的提出32.2我们的现状32.3端口安全的术语概述42.3.1安全端口42.3.2安全地址42.4产品支持43技术介绍43.1原理43.1.1二层安全地址53.1.2三层安全地址74锐捷端口安全技术特点84.1各款交换机的安全地址参数比较84.2实时响应，生效迅速，性能稳定94.3端口安全功能限制94.4方便易用的端口安全104.5其他注意事项124.5.1端口安全的默认配置124.5.2Trap信息的提示124.5.3容量计算124.5.4端口安全与其他安全功能的关系144.6典型应用165结束语171 缩略语（1） 防网关arp欺骗：端口上检查arp报文的源ip是否是配置的网关ip，如果是，则将该报文丢弃，防止非法用户冒充网关进行ARP欺骗。（2） 过滤地址：用户配置需过滤的MAC地址，如果收到的报文二层MAC地址与该MAC地址匹配，则该报文被过滤掉。（3） 静态地址：静态绑定到端口的MAC。如果收到该MAC的报文，则直接转发到绑定端口。（4） ACLs：即接入控制列表(Access Control Lists)，俗称为防火墙，在有的文档中还称之为包过滤。ACLs通过定义一些规则对网络设备接口上的数据报文进行控制：允许通过或丢弃。按照其使用的范围，可以分为安全ACLs 和QoS ACLs。（5） 安全通道：安全通道也是一个访问控制链表，安全通道可以基于全局安装和接口安装，它与一般ACL的不同体现在优先级上，安全通道的优先级比端口安全，802.1X和安全ACL高，即进入交换机的报文如果匹配上了安全通道的ACL表项就允许通过了，而不再匹配802.1X，安全ACL和端口安全的条件；如果报文流不匹配安全通道的ACL表项，那么再去匹配端口安全、802.1X和安全ACL的条件。（6） PBR：即策略路由，是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。应用了策略路由，设备将通过路由图决定如何对需要路由的数据包进行处理，路由图决定了一个数据包的下一跳转发设备。（7） DOT1X：即符合IEEE802 1x标准，是一种基于端口的网络存取控制标准，为LAN提供点对点式的安全接入。（8） DHCP snooping：DHCP Snooping就是DHCP 窥探，通过对Client和服务器之间的DHCP交互报文进行窥探，实现对用户的监控，同时DHCP Snooping起到一个DHCP 报文过滤的功能，通过合理的配置实现对非法服务器的过滤。（9） GSN：即锐捷全局安全方案，由四个元素组成，包括锐捷安全策略管理平台（RG Security policy Management Platform）；锐捷安全客户端（RG Security Agent）；锐捷安全修复系统（RG Restore System）；锐捷安全设备（RG Security Switch）。2 概述2.1 端口安全的提出端口安全是在交换机内建立MAC，IP，或MAC+IP与端口的对应关系表，用以对该端口收到的报文进行控制。当该端口收到符合对应关系的报文时，进行正常转发，当收到的不符合该对应关系的报文则丢弃，通过在端口绑定地址的方法来限制端口的接入访问。端口安全可实现基于二层和三层的接入控制。二层的端口安全即把MAC地址与端口进行绑定，三层的端口安全既可把IP与端口绑定，也可把IP和MAC与端口进行绑定。这样，对于交换机端口下接的计算机，只有地址被绑定到端口的计算机才能访问网络，其他的都会被视为非法。二层端口安全能对非法用户做出相应的对策，可以向管理员发送通告，也可以断开端口。2.2 我们的现状根据目前市场需求，并结合我司设备的主要应用领域及硬件特性，我司设备支持的端口安全情况为：S20系列仅支持二层端口安全，其他交换机系列既支持二层端口安全，也支持三层端口安全。通过端口安全来控制接入用户的访问，保证合法用户数据的有效转发，限制和隔离非法用户，最大程度保障网络安全。端口安全绑定地址的方式有静态绑定和动态绑定两种，两种方式下都可以配置最大的安全地址限制个数。静态绑定方式在接口配置模式下通过手工命令添加安全地址，配置的方式可以是二层安全地址和三层安全地址。动态绑定方式只在二层端口安全支持。当一个端口配置的最大安全地址个数为1时，则合法用户可以独立占用该端口的全部带宽。对于所有的安全地址，可以配置安全地址的老化功能，当安全地址达到老化时间后，安全地址将会老化掉，并可以重新进行学习或配置。当端口的安全地址达到最大安全地址个数时，如果该端口这时再收到一个非安全地址的报文，则端口产生一个违例，我司设备对违例的处理有以下三种模式：(1) protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址的任何一个）的报文。该处理模式为默认的对违例的处理模式。(2) restrict：当违例产生时，将发送一个Trap通知。(3) shutdown：当违例产生时，将关闭端口并发送一个Trap通知。2.3 端口安全的术语概述2.3.1 安全端口配置了端口安全功能的端口称之为安全端口，目前我司设备只有access端口支持端口安全，并且不能是镜像的目的端口。2.3.2 安全地址在安全端口上绑定的地址为安全地址，安全地址可以是二层地址，即MAC地址，也可以是三层地址，即IP或IP+MAC。2.4 产品支持我司交换机系列中，S20系列只支持二层端口安全，其他产品，包括S21系列，S23系列，S26系列，S29系列，S32系列，S3750系列，S5750系列，S3760系列，S5760系列，S76系列，S86系列，S96系列，既支持二层端口安全，也支持三层端口安全。3 技术介绍3.1 原理从上面的介始可以看出，端口安全是一种基于二层或三层地址进行接入控制的安全机制，具备限制端口用户数，转发合法用户报文，隔离非法用户报文的作用。图1如上图，端口收到数据流时，会对数据的报文地址进行解析，当发现地址已经是该端口绑定的安全地址时，则认为是合法用户，报文正常转发。当发现地址不在绑定列表中时，这时会根据不同配置进行操作。如果绑定地址中存在三层安全地址，则报文为非法报文，丢弃；如果端口只存在二层安全地址，还需要检查是否已经达到配置的最大限制数，如果未达到，则交换机自动进行动态地址绑定，即把该报文地址与端口进行绑定，变为二层安全地址；如果已经达到配置的最大限制数，那么该报文为非法报文，丢弃，并会根据违例处理模式进行相应的违例警告。3.1.1 二层安全地址二层安全地址也即基于MAC的安全地址，是在端口只绑定MAC的方式。绑定方式分为静态绑定与动态绑定。静态绑定也即通过命令配置绑定，动态绑定即端口自动解析报文进行绑定。对于只绑定二层安全地址的端口，交换机可以动态进行绑定。对于端口收到的报文，则先解析报文的二层地址，如果源地址在安全地址列表中，则认为是合法报文，如果不在安全地址列表，检查已经绑定的二层安全地址个数是否达到限制，如果未达到限制，则把该地址在端口进行动态绑定，变为该端口的二层安全地址；如果已经达到限制，认为发现非法报文，进行违例处理。同时对于只绑定二层安全地址的端口，可以配置安全地址老化。因此对于已经绑定的二层安全地址，不论是静态绑定还是动态绑定，都需要检查是否到达老化时间。如果安全地址到达老化时间，则需要进行老化处理，即解除该地址绑定，如果已经发生了违例处理，则还需对违例进行恢复。3.1.1.1 静态绑定静态绑定也即手工命令进行绑定。如先在端口打开端口安全，配置允许最大安全地址个数为1，并且把地址0000.0000.0001配置为安全地址，这时候交换机会把地址0000.0000.0001添加到该端口的安全地址列表中，与该端口进行绑定，端口的安全地址计数加1。当端口收到源地址为0000.0000.0001的报文时，在端口的安全地址列表中可以查询到该地址，因而判断为安全地址，报文正常转发，端口安全逻辑结束。当收到其他地址的报文时，交换机先在安全地址列表中查询，没有查到后再继续判断绑定的安全地址是否已经达到最大允许个数，此处已经达到最大个数1，因此端口安全逻辑认为该地址为非法地址，丢弃，并通告产生违例事件。对于配置了静态安全地址老化功能的安全端口，配置了安全地址后便开始对该地址计时，当计时到达时，该安全地址被老化，从端口的安全地址列表中删除，解除与该端口的绑定，端口的安全地址计数减1。如果之前安全端口已经产生违例，并且安全地址个数已经小于了配置的最大安全地址允许个数，则对之前产生的违例进行恢复。3.1.1.2 动态绑定动态绑定是让交换机自动学习地址，并把学习到的地址转化为安全地址的方式。对于上述静态绑定的例子，修改最大安全地址个数为2，且已绑定0000.0000.0001静态安全地址。当该端口收到地址为0000.0000.0002的报文时，交换机在安全地址列表中查找失败，检查最大允许个数后发现没有达到，交换机便自动把该地址添加到安全地址列表，端口的安全地址个数加1。这时候端口安全逻辑便完成了动态安全地址的绑定。绑定之后的逻辑与静态绑定相同，这里不再赘述。3.1.2 三层安全地址三层安全地址有只绑定IP和绑定IP+MAC两种方式，并且只支持静态绑定，不能动态学习绑定。对于静态绑定的三层安全地址，也支持老化时间的设置。当三层安全端口收到报文时，需要解析二层地址和三层地址。只有已经绑定地址的报文才是合法报文，否则认为是非法报文，丢弃，但不能产生违例通告。对于三层安全地址，也进行老化检测。对于已经绑定的地址，当到达老化时间时，也会被老化掉，解除绑定。IP报文和ARP报文都有携带三层地址信息，当端口的arp check功能（即对ARP报文进行过滤检测）打开时，则对于ARP报文也会进行安全地址解析，并且只有匹配绑定地址的报文才认为是合法报文，否则认为是非法报文，丢弃。同样安全地址也支持对IPV6报文进行检测，因此，端口安全对于IPV6报文同样生效。IPV6的配置模式主要有三种，宽松模式(loose)，兼容模式(compatible)以及严格模式(strict)。（1） 宽松模式：宽松模式下不限制IPV6报文，这种模式下不会对IPV6报文进行安全地址检测，即安全地址对于IPV6报文不生效。（2） 兼容模式：兼容模式下表示端口安全与IPV6保持兼容，即端口对于收到的IPV6报文也会进行安全地址检测，如果是合法报文则转发，否则丢弃。（3） 严格模式：严格模式下限制任何IPV6报文，即安全端口不管有没有绑定地址都认为IPV6报文是非法报文，丢弃。例如在安全端口配置IP为192.168.193.83，MAC为0000.0000.0001的安全地址，并且在该端口打开arp check，配置当前的IPV6模式为兼容模式，这时候交换机会把该地址添加到该端口的安全地址列表，绑定到该端口，绑定的安全地址对于IP报文，ARP报文，IPV6报文都生效，端口的安全地址个数加1。当端口收到IP或ARP报文时，提取报文的IP地址和MAC地址，如果在安全地址列表中找到匹配表项，则为合法报文，正常转发，否则被丢弃；对于IPV6报文，只需提取报文的MAC地址，当MAC地址与安全地址列表中的MAC匹配时，即认为是合法报文，否则被丢弃。由于三层端口安全不存在动态学习的方式，因此对于收到报文后只需判断是否合法，无法去判断是否已经达到最大安全地址个数，因此不能产生违例通告。4 锐捷端口安全技术特点在锐捷交换机中，由于各种设备的硬件不同，因此端口安全容量也不尽相同，但都具有实时响应，功能齐全的特性，能最大程度保证网络安全。4.1 各款交换机的安全地址参数比较指标参数比较表涵盖的产品S2126G、S2150GS2026G、S2052G、S2338G、S2352GS2628G、S2652GS3250-24、S3250P-24、S3250-48S3750-48、S3750-24、S3750E-24S5750-24SFP/12GT、S5750-24GT/12SFP、S5750-48GT/4SFP、S5750S-24GT/12SFP、S5750S-48GT/4SFP、S5750P-24GT/12SFP二层端口安全支持支持支持支持支持支持三层端口安全支持S20不支持，S23支持支持支持支持支持动态学习只支持二层安全地址只支持二层安全地址只支持二层安全地址只支持二层安全地址只支持二层安全地址只支持二层安全地址老化功能支持支持支持支持支持支持支持的端口Access端口Access端口Access端口Access端口Access端口Access端口违例处理支持：protctc,strict,shutdown支持：protctc,strict,shutdown支持：protctc,strict,shutdown支持：protctc,strict,shutdown支持：protctc,strict,shutdown支持：protctc,strict,shutdown指标参数比较表（cont.）涵盖的产品S2924GS2927GS2951GS3760-12S3760-24S3760-51S5760-24S5760-48S7604S7606S7610S8606S8610S9610S9620二层端口安全支持支持支持支持支持支持三层端口安全支持支持支持 支持支持支持动态学习只支持二层安全地址只支持二层安全地址只支持二层安全地址只支持二层安全地址只支持二层安全地址只支持二层安全地址老化功能支持支持支持支持支持支持支持的端口Access端口Access端口Access端口Access端口Access端口Access端口违例处理支持：protctc,strict,shutdown支持：protctc,strict,shutdown支持：protctc,strict,shutdown支持：protctc,strict,shutdown支持：protctc,strict,shutdown支持：protctc,strict,shutdown4.2 实时响应，生效迅速，性能稳定因为端口安全由硬件实现，因此生效时间快，能及时响应，达到迅速限制与隔离非法用户，同时任何时候能保证合法用户报文的快速稳定转发，而且支持ARP,IPV6报文的检测，保证网络接入的全面安全。4.3 端口安全功能限制配置端口安全时有如下一些限制：安全端口不能是一个Aggregate Port，镜像的目的端口，trunk port，或三层端口，而只能是一个Access Port。802.1x认证功能和端口安全功能互斥使能。802.1x认证功能和端口安全功能都可以保证网络使用者的合法性，使能其一就可以达到控制端口接入的目的。三层安全地址与ACLs共享系统的硬件资源，因此当安全端口上应用了ACLs时，则该端口上所能设置的三层安全地址个数将会减少。要求一个安全端口上的安全地址的格式保持一致，即一个端口上的安全地址要么全是绑定了IP地址的安全地址，要么都是不绑定IP地址的安全地址，也就是一个安全端口只能配置成二层安全端口或三层安全端口。如果一个安全端口同时包含这两种格式的安全地址，则不绑定IP地址的安全地址将失效(绑定IP地址的安全地址优先级更高)。例如端口下首先配置二层安全地址MAC = 0000.0000.0001,然后再配置三层安全地址IP = 192.168.193.83,MAC = 0000.0000.0002,这时二层安全地址不生效，即目前的安全地址列表中只存在三层安全地址。那么这时如果收到MAC = 0000.0000.0001报文，交换机也会认为是非法报文，丢弃。4.4 方便易用的端口安全配置端口安全比较方便，可以通过命令配置静态地址，动态地址的老化时间，最大安全地址个数等，如下：（1）打开端口安全Ruijie(config-if)#switchport port-security通地该命令，就可以在端口上打开端口安全。（2）配置最大安全地址个数Ruijie(config-if)#switchport port-security maximum value该命令中，可配置的安全地址个数范围为1-1000，其中默认值为128。（3）配置违例处理模式Ruijie(config-if)#switchportport-security violationprotect | restrict | shutdown可配置三种违例处理模式。（4）配置安全地址Ruijie(config-if)#switchportport-security mac-addressmac-addressip-addressip-address可配置的方式有仅MAC，仅IP，或者IP+MAC。（5）配置安全地址的老化时间Ruijie(config-if)#switchport port-security agingstatic | time time 该命令中，可设置的时间范围为：0-1440分钟，如果加上static，则对于手工配置的静态安全地址，该老化功能也生效。（6）查看端口安全信息Ruijie# show port-security interface gigabitethernet 0/3Interface : Gi0/3Port Security: Enabled Port status : downViolation mode:ShutdownMaximum MAC Addresses:8Total MAC Addresses:0Configured MAC Addresses:0Aging time : 8 minsSecureStatic address aging : Enabled以上命令显示端口安全的配置。Ruijie# show port-security addressVlan Mac Address IP Address Type Port Remaining Age(mins)1 00d0.f800.073c 192.168.12.202 Configured Gi0/3 8100d0.f800.3cc9 192.168.12.5Configured Gi0/1 7以上命令显示系统中所有的安全地址。Ruijie# show port-securitySecure PortMaxSecureAddr(count) CurrentAddr(count) Security ActionGi0/1 128 1 RestrictGi0/2 128 0 RestrictGi0/3 8 1 Protect以上命令显示端口安全的统计信息。4.5 其他注意事项4.5.1 端口安全的默认配置以下是端口安全的默认配置：内容缺省设置端口安全开关所有端口均关闭端口安全功能最大安全地址个数128安全地址无违例处理方式保护(protect)4.5.2 Trap信息的提示对于二层端口安全，只有在首次端口违例产生时才会发出trap及log信息。而对于三层端口安全，由于对于非法报文直接丢弃，因此无法产生违例及trap信息。4.5.3 容量计算锐捷交换机每款产品采用的芯片不同，因此硬件支持的地址绑定个数也不同。对于二层端口安全，支持的二层安全地址最大容量都是1000。而三层端口安全各款产品都不相同。同时对于arp check功能的打开与关闭，及IPV6模式的不同，对于容量也是有影响的，下面进行对比说明。以下参数只是在无其他任何配置下的整机最大容量，由于其他ACLs共用硬件表项，因此其他应用配置时会影响有效的端口安全地址绑定个数，S20系列只支持二层端口安全，因此在表中不例出。说明：（1）下表中，arp check = on，表示该端口打开arp check功能，arp check = off，则表示arp check功能关闭。同样，ipv6 = loose，则表示IPV6模式配置为loose模式，ipv6 = compatible，表示IPV6模式配置为compatible模式，ipv6 = strict，表示IPV6配置模式为strict模式。中间的“&&”符号则表示并且的关系。如Arp check =on && ipv6 =loose，则表示arp check功能打开，并且IPV6配置模式为loose模式。（2）对于S21系列，S32系列和S37系列，容量按百兆口和千兆口区分。对于千兆口容量是基于端口计算的，而百兆口按8个端口划分，如端口1-8为一组，端口9-16为一组，依此类推，因此对于百兆端口容量是基于8个端口计算的。因此该系列交换机的整机容量计算方法为：千兆端口容量值乘以千兆端口个数然后再加上百兆端口容量值乘以百兆端口的组数。例如对于S3250-24，千兆端口个数为2，百兆端口组数为3，则在arp check功能关闭且IPV6模式为loose时，整机容量值计算为：121*2 + 249*3 = 989。（3）对于S29系列，S3760系列和S5760系列，容量值还与安全端口个数，arp check功能以及IPV6模式有关。表中的数据是仅有一个安全端口时的最大容量，因此实际中如果存在多个安全端口，容量的计算方法如下：（A -（a +b +1）*（安全端口数 1）/（a + c +1）；（说明：值A对于S29系列及S5760系列为500，对于S3760系列为1000；当arp check = on时，a = 1，否则a = 0；当ipv6 = compatible或ipv6 = strict时，b = 1，否则b = 0；当ipv6 = compatible时，c = 1,否则c = 0）。例如对于S5760-24，当存在24个安全端口，且在arp check功能关闭，IPV6模式为loose时，整机的容量值计算方法为：（500(0 + 0 + 1)*（24 - 1）/ (0 + 0 + 1) = 476；当arp check功能打开，IPV6模式为compatible时，整机的容量值计算方法为：（500 (1 + 1 + 1)*（24 - 1）/ (1 + 1 + 1) = 143。（4）对于S29系列中的S2951G，S3760系列中的S3760-51，S5750系列中的S5750-48GT/4SFP和S5750S-48GT/4SFP，S5760系列中的S5760-48设备，由于硬件的扩展，因此容量也有所扩展。对于这几款设备，实际容量值是表中数据的两倍。容量参数比较表涵盖的产品S2126GS2150GS2338GS2352GS2628GS2652GS3250-24S3250P-24S3250-48S3750-48S3750-24S3750E-24S5750-24SFP/12GTS5750-24GT/12SFPS5750-48GT/4SFPS5750S-24GT/12SFPS5750S-48GT/4SFPS5750P-24GT/12SFPArp check = off && ipv6= loose百兆口：249千兆口：121127766百兆口：249千兆口：121百兆口：249千兆口：121前三款：1532后三款：766Arp check =off && ipv6 = compatible百兆口：124千兆口：6063382百兆口：124千兆口：60百兆口：124千兆口：60前三款：764后三款：382Arp check =off && ipv6 =strict百兆口：248千兆口：120126765百兆口：248千兆口：120百兆口：248千兆口：120前三款：1530后三款：765Arp check =on && ipv6 =loose百兆口：124千兆口：60126382百兆口：124千兆口：60百兆口：124千兆口：60前三款：764后三款：382Arp check =on && ipv6 = compatible百兆口：82千兆口：3963255百兆口：82千兆口：39百兆口：82千兆口：39前三款：510后三款：255Arp check =on && ipv6 =strict百兆口：123千兆口：59126382百兆口：123千兆口：59百兆口：123千兆口：59前三款：764后三款：382容量参数比较表（cont.）涵盖的产品S2924GS2927GS2951GS3760-12S3760-24S3760-51S5760-24S5760-48S7604S7606S7610S8606S8610S9610S9620Arp check = off && ipv6= loose500100050076617911791Arp check =off && ipv6 = compatible250500250382895895Arp check =off && ipv6 =strict500100050076517911791Arp check =on && ipv6 =loose250500250382895895Arp check =on && ipv6 = compatible166333166255596596Arp check =on && ipv6 =strict2503332503828958954.5.4 端口安全与其他安全功能的关系端口安全与其他安全功能共用时，存在优先级，兼容以及互斥关系，下面优先级说明是针对两者同时匹配时产生的优先级关系，列表如下：防网关arp欺骗绝对优先防网关arp欺骗的优先级比端口安全高，两者同时匹配时，防网关arp欺骗生效，端口安全不生效。过滤地址（MAC）绝对优先过滤地址的优先级比端口安全高，两者同时匹配时，过滤地址生效，端口安全不生效。静态地址（MAC）绝对优先静态地址的优先级比端口安全高，两者同时匹配时，静态地址生效，端口安全不生效。如果非安全地址为静态地址，则端口安全不生效，直接转发。安全通道绝对优先安全通道优先级比端口安全高，两者同时匹配时，安全通道生效，端口安全不生效。安全通道与二层端口安全功能互斥，当打开全局安全通道或在安全端口打开安全通道时，该端口的二层端口安全功能将失效安全acl绝对次后安全ACL优先级比三层端口安全低，两者同时匹配时，安全ACL不生效，端口安全生效。安全ACL与二层端口安全同时生效，两者都匹配时，同时生效，但如果两者执行动作冲突时，安全ACL生效。QoS acl同时生效两者匹配域存在交集时，同时生效，即端口安全允许的报文如果也匹配QOS ACL，那么报文会被QOS限速。PBR同时生效两者匹配域存在交集时，同时生效，即端口安全允许的报文如果也匹配PBR，那么报文会被策略路由。dot1x互斥两者在同一端口上不能同时打开，功能互斥。DHCP snooping开启ip+mac绑定同时生效DHCP snooping的IP+MAC绑定优先级比端口安全低，两者同时匹配时，端口安全生效。如果两者匹配域不存在交集时，两者功能同时生效，互不影响。GSN安全方案绝对优先GSN安全方案优先级比三层端口安全高，两者同时匹配时，GSN安全方案生效，端口安全不生效。GSN安全方案与二层端口安全是同时生效。全局IP+MAC绑定同时生效IP+MAC绑定优先级比端口安全高，两者同时匹配时，全局IP+MAC绑定生效，当两者匹配域交集为空时，两者功能同时生效，互不影响。4.6 典型应用端口安全在目前接入网络中普遍存在，用于在端口绑定合法用户，过滤非法用户，以保护网络安全。典型应用拓朴如下：（1） 应用一：二层端口安全对于二层安全地址,有静态绑定和动态学习两种方式,下面分别介绍:A 静态方式：在接入交换机上的端口打开端口安全，如果配置最大允许安全地址个数是1，且配置PC-1的MAC地址为安全地址。这时PC-1可以正常访问网络，但当PC-2访问网络时，交换机就会发现该地址为一非法地址，阻止该PC访问网络，并且产生一违例，默认情况下打印trap通知，如下：Security violation occurred, caused by MAC address 00d0.f866.8567 on port FastEthernet 0/9.如果此时配置静态安全地址老化，则等到达老化时间时，配置的安全地址会被删除，产生的违例会恢复。B 动态方式：在接入交换机上的端口打开端口安全，如果配置最大允许的安全地址个数为1，此时如果PC-1访问接入交换机，则交换机学习到PC-1的地址，并把该地址转为安全地址。此后PC-1可以正常访问网络，而此时如果PC-2访问网络，由于交换机已经达到最大安全地址个数，因此交换机发现该地址为非法地址，阻止该用户访问网络，同时产生一违例，默认情况下打印trap通知，如下：Security violation occurred, caused by MAC address 00d0.f866.8567 on port FastEthernet 0/9。如果配置了安全地址老化，则到达老化时间时，自动学习到的安全地址会被老化删除，产生的违例会恢复。（2） 应用二：三层端口安全对于三层安全地址，只有静态绑定的方式，不支持动态学习的方式。A 仅IP绑定方式：在接入交换机上的端口打开端口安全，配置最大允许安全地址个数为1，且配置PC-1的IP地址为安全地址。此后PC-1可以正常访问网络，而当PC-2访问网络时，交换机就会发现该地址为非法地址，从而阻止该用户访问网络，但不会产生违例。如果配置了静态安全地址老化功能，则到达老化时间时，配置的安全地址会老化删除掉，从而可以重新配置。B IP+MAC绑定：IP+MAC绑定方式应用与IP绑定方式一样，只是需要同时检查IP地址与MAC地址，在此不再赘述。5 结束语锐捷交换机都支持端口安全功能，通过简单易用的配置，就可以达到快速检测非法用户，阻拦及隔离非法用户，并且保证合法用户的稳定与正常，最大程度保证接入网络的安全。