Switch

pfsense 埠安全限制 mac 為 1(允許任何 mac)

  • August 26, 2015

我正在嘗試設置具有埠安全性的 HP procurve 路由器(25xx 和 26xx)。目標是允許客戶端設備和路由器。但要禁止交換機、AP 或路由器處於橋接模式。這應該通過以下方式完成:

  • 在任何給定時間將每個交換機埠的 MAC 限制為 1
  • 允許任何 MAC(只要當時只有一個)
  • 可以隨時更換設備/MAC

我還沒試過。但是這是在 web interface security -> port-security (或類似的 cli 命令)中完成的嗎

learn-mode: static
address-limit: 1
Violation Action: none

我很確定它會將埠限制為僅 1 個 MAC。但是當使用者切換到另一台設備時,這會被記住“靜態”嗎?

更新了解決方案,版本 2

它需要學習模式:有限連續。行動:無

它工作得很好。可以從 CLI 一次為多個埠完成。埠 1-23 的這一行:

port-security 1-23 address-limit 1 learn-mode limited-continuous action none

關於有限連續: http ://h30499.www3.hp.com/t5/Switches-Hubs-Modems-Legacy-ITRC/port-security-learn-mode-limited-continuous/td-p/5179211#.Vd3CL5ej_1Q

如果指定了“limited-continuous”,則在此埠上聽到的第一個“address-limit”源 MAC 地址成為授權地址。當獲知新的授權地址時,它們被儲存在一個表中。當表達到其“地址限制”時,埠上接收到的任何新源 MAC 地址都構成入侵。此模式下的授權地址將在系統中老化,因此授權地址列表可以隨時間動態變化。

在手冊的第 9-10 頁上,它指出:這意味著將達到 mac 地址限制,並且將被記住,直到手動刷新。

處於靜態學習模式 (learn-mode static) 的埠會保留已學習的 MAC 地址,即使您稍後重新啟動交換機或禁用該埠的埠安全性:

從文件:

您可以為埠授權特定設備,同時仍然允許埠接受其他未指定的設備,直到埠達到配置的地址限制。

這使我相信您可以將埠限制設置為 1 並讓它按照您的預期方式執行。

然而,這句話:

埠用它自動學習的 MAC 地址填充剩餘的地址餘量

讓我相信對面。這可能是產生混亂的地方。我的建議是將它設置在一個埠上並嘗試一下,看看會發生什麼,你會得到一個明確的答案,這種模糊性相當煩人。

引用自:https://serverfault.com/questions/713930