l 关闭(Shutdown):发生安全违例事件时,端口立即呈现错误(error-disabled)状态,关闭端口(端口指示灯熄灭)。同时也会发送一个SNMP捕获消息并记录系统日志,违例计数器增加1。在想禁止非MAC地址,需要安全安全环境下,你可以使用这种模式。
l 关闭VLAN(Shutdown VLAN):适用于VLAN的安全违例模式。在这种模式下,在发生安全违者罚款例事件时,该端口对应的VLAN都将呈错误禁止状态,关闭对应VLAN,而不关闭对应的端口。
表15-1列出了各种违例模式和对应采取的行为。
表15-1端口安全下的各种违例模式和对应采取的行为
违例模式 违例通信转发 发送SNMP trap消息 发送系统日志消息 显示错误消息 违例计数器递增 关闭端口 保护(protect) No No No No No No 限制(restrict) No Yes Yes No Yes No 关闭(shutdown) No No No No Yes Yes 关闭VLAN(shutdown vlan) No No Yes No Yes No当一个安全端口处于错误禁止(error-disabled)状态,你可以通过errdisable recovery causepsecure-violation全局配置模式命令进行恢复,或者你可以通过shutdown和no shut down接口配置模式命令重启。如果端口是处于每VLAN错误禁止(per-VLAN errdisable)状态,则你可以使用clear errdisable interface name vlan range命令在端口上重启这个VLAN。你也可以使用errdisable recovery interval interval命令自定义从指定的错误禁止状态恢复的时间,默认为300秒。
【经验之谈】如果你可以预见有非法安全MAC地址包将在某端口上发送,你可能想要在安全端口上对非法安全MAC地址包进行传输速率限制。端口安全认为MAC地址为0的包为组播或广播源MAC地址,认为是非法包。你可以选择限制这些包的传输速率,在超过速率时将在端口上捕获一个违例事件。也就为像组播或广播包传输留有一定的空间。