S系列和E系列交换机端口安全的配置方法（华为数通）

● S系列、E系列交换机（S1700除外）配置端口安全的步骤如下：

[HUAWEI] interface Gigabitethernet 1/0/1

[
HUAWEI-GigabitEthernet1/0/1] port-security enable//使能端口安全功能

[
HUAWEI-GigabitEthernet1/0/1] port-security mac-address sticky//使能sticky MAC功能。使能端口安全后，才可以再使能sticky MAC功能

[
HUAWEI-GigabitEthernet1/0/1] port-security max-mac-num 3 //使能端口安全后，接口默认限制数为3，如果确认限制一个用户，可以不用配置

端口安全的配置注意事项：

1. 端口安全的默认安全MAC地址的限制数为1个，即只能学习一个MAC地址表项，请根据组网需求正确配置安全MAC地址的限制数。

2. 端口安全和RRPP、Smart Link、SEP、ERPS不能配置在同一端口上，否则会导致RRPP、Smart Link、SEP、ERPS无法破环。

3. 端口安全功能与基于接口的MAC地址学习限制功能相冲突，不能在同一接口下配置port-security enable和mac-limit maximum命令。

4. 端口安全功能与MUX VLAN功能相冲突，不能在同一接口下配置port-security enable和port mux-vlan enable命令。

5. 端口安全功能与NAC功能相冲突，不能在同一接口下配置port-security enable和mac-authen、dot1x enable或authentication-profile命令。

6. 端口安全功能与根据绑定表生成Snooping类型MAC表项功能相冲突，不能在同一接口下配置port-security enable和user-bind ip sticky-mac命令。

7. 配置mac-address learning disable后再配置端口安全，动态的端口安全功能不生效。如果先配置端口安全再配置mac-address learning disable，设备将不再学习MAC地址，但之前学习到的安全MAC地址（包括手工配置的安全静态MAC地址）会保留。