三、启用这个功能的注意事项

　　如果需要在基于思科设备的交换网络中，启用“基于主机MAC地址允许流量”安全措施时，需要注意如下内容。

　　首先需要注意，思科交换机的型号不同，接口所允许的最大MAC地址数量也有所不同。如对于常见的6500系列的交换机，其就支持多达1025个MAC地址(其中1个默认的MAC地址和1024个常规的MAC地址)。由于交换机型号不同，其所支持的MAC地址数量由比较大的差异。为此在选购交换机的时候，如果需要这个功能，那么就需要考虑这个参数。

　　其实需要注意的是，交换机端口所支持的MAC数量不同，其MAC地址分配的方式也有很大的不同。如对于6500系列交换机来说，一般情况下有两种常见的分配方式。一种方式是为其中一个端口分配1025个MAC地址，然后给其他的端口分配一个MAC地址。另一种方式是为某个端口分配201个MAC地址，而为第二个端口分配701个MAC地址，为第三个端口分配125个MAC地址，剩余端口都分配一个MAC地址。至于采取那种分配方式更加合理，这里没有统一的标准答案。通常情况下，都需要网络管理员根据企业网络应用于企业对于安全的需求来确定。

　　四、启用“基于主机MAC地址允许流量功能”的最佳步骤

　　如何才能够更加有效的使用这个功能呢?根据笔者的管理经验，认为需要如下五个步骤。

　　一是评估需要启用端口安全的端口。在实际工作中，并不是需要为所有的端口都启用基于主机MAC地址允许流量功能。如对于一些经常用来做维护工作的端口，则往往不需要启用这个功能。为此在确定需要启用类似端口安全机制之前，需要网络管理员先进行评估。以确定需要以用端口安全技术的端口。

　　二是为需要启用端口安全的端口配置动态学习主机MAC地址。在必要的时候还可以配置动态学习MAC地址所持续的时间。通常情况下，可以通过set port security age名来来实现。

　　三是制定违背安全的行为。即根据企业的实际情况，如交换机的位置、对于安全的需求等因素，来考虑到底是采取“禁止”措施，还是采取“保护”或者“限制”措施。默认的设置是“永久性关闭”。这是一个比较极端的选项。通常情况下，笔者都建议对其进行更改。

　　四是一个可选项，不过是笔者推荐的一个可选项。即如果网络管理员选择“关闭”措施时，那么最好能够同时启用计时器功能。也就是说，设置这个端口关闭多长时间。因为有时候可能用户是无意冒犯这个规则的。所以这个端口不能够永远关闭下去。只要能够保证不会影响到网络的正常使用的前提下，那么仍然可以开放。

　　五是追踪，当出现任何一个违背行为时，交换机都会在系统日志中留下踪迹。网络管理员还必须经常的查看日志。如果发现有异常情况时，如有台主机经常违背某个原则时，那么就需要追查这台主机的原因。到底是用户恶意为止还是成为了别人的肉鸡。