1、RG-S2710G-P交换机端口安全功能注意事项

1）用户通过web配置端口安全，配置时需选择端口开启端口安全功能，端口安全默认规则为”拒绝“，端口收集接入设备信息，如IP、MAC后，可以快速进行端口绑定设定（减去手动输入IP/MAC/端口）；端口安全配置完成之后，实现符合绑定规则的数据包可通过交换机，不符合规则的数据包丢弃，达到限制其他非法设备接入的目的。

2）用户配置端口安全访客模式，开启端口安全功能，端口收集接入设备信息，如IP、MAC后，可以快速对端口信息增加访问时间限制。在限制时间内符合绑定规则的数据包可通过交换机，限制时间结束任何报文不能通过交换机。

3）规则绑定方式：IP+MAC+PORT。

4）RG-S2710G-P交换机端口安全功能为基于端口的实现方式，开启端口安全默认规则设定为拒绝，所以开启PC连接所在端口的端口安全功能时，请一定要将PC所在端口和IP、MAC进行绑定，否则将可能导致设备无法访问网络与交换机。

 

2、RG-S2710G-P交换机配置端口安全示例

1）示例需求：

交换机只允许IP: 192.168.1.1，MAC: 0021.CCCF.6F71的PC接入交换机1端口，其他IP地址和MAC地址的PC都不能接入1端口；

 

2）配置：

交换机端口1  IP：192.168.1.1且 mac：0021.CCCF.6F70的PC接入

Ruijie>enable 

Ruijie#configure terminal

Ruijie(config)#interface gigabitEthernet 0/1 ------>进入端口1

Ruijie(config-if-gigabitEthernet-0/1)#port-security enable default deny ------>开启端口安全功能，默认规则设置为拒绝，通过shell配置时也可以将默认规则设置为允许，如果使用web配置，某端口一旦开启端口安全，该端口默认规则为拒绝

Ruijie(config-if-gigabitEthernet-0/1)#port-security add ip-address 192.168.1.1   mac-address 0021.CCCF.6F70  Description xxx------> 将mac：0021.CCCF.6F70 与IP：192.168.1.1绑定在端口1上

Ruijie#write ------>确认配置正确，保存配置

 

 

3、RG-S2710G-P交换机绑定网关问题

      用户拓扑图：

RG-S2710G-P交换机在与上联口路由器绑定时，不建议开启端口安全功能，如果开启，则需要对下联PC的合法条目在该端口进行绑定，将占用交换机资源且不利于网管人员维护，故不建议在上联端口开启端口安全。

1）原因如下：

PC访问Internet时从Internet返回的数据包源IP不是固定的，而源MAC地址则为上联设备即路由器的MAC地址。

2） 解决办法：

网关的端口不开启交换机端口安全。