华为交换机实用安全特性配置，别忽略这个关键步骤

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部

下午好，我的网工朋友。

我们的日常生活越来越依赖于互联网和网络技术，因此网络安全与我们的生活息息相关。

通过配置交换机的安全特性，可以提高网络的安全性，防止未经授权的访问、数据泄露和网络攻击等安全威胁，在信息时代避免”裸奔“。

今天就来说说华为交换机的安全特性配置，快速上手避免安全侵害。

今日文章阅读福利：《 华为交换机开局配置一本通 》

私信发送暗号“一本通”，即可获取这份优质PDF资源。

01 黑洞MAC地址

为了防止黑客通过MAC地址攻击用户设备或网络，可将非信任用户的MAC地址配置为黑洞MAC地址。当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文，直接丢弃。

交换机提供两种配置黑洞MAC地址的方式：全局黑洞MAC地址和基于VLAN的黑洞MAC地址。

在系统视图下，配置MAC地址0000-0012-0034为全局黑洞MAC。

 <HUAWEI> system-view
 [HUAWEI] mac-address blackhole 0000-0012-0034

在系统视图下，配置MAC地址0000-0012-0035在VLAN10的广播域内为黑洞MAC地址。

<HUAWEI> system-view
[HUAWEI] mac-address blackhole 0000-0012-0035 vlan 10

配置完成后，可以通过display mac-address blackhole命令查看配置的黑洞MAC。

02 端口安全 mac地址的限制

S系列和E系列交换机（S1700除外）配置端口安全的步骤如下：

[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port-security enable //使能端口安全功能
[HUAWEI-GigabitEthernet1/0/1] port-security mac-address sticky //使能sticky MAC功能。使能端口安全后，才可以再使能sticky MAC功能
[HUAWEI-GigabitEthernet1/0/1] port-security max-mac-num 3 //使能端口安全后，接口默认限制数为3，如果确认限制一个用户，可以不用配置

端口安全的配置注意事项：

• 端口安全的默认安全MAC地址的限制数是1个，即只能学习一个MAC地址表项，请根据组网需求正确配置安全MAC地址的限制数。
• 端口安全和RRPP、Smart Link、SEP、ERPS不能配置在同一端口上，否则会导致RRPP、Smart Link、SEP、ERPS无法破环。
• 端口安全功能与基于接口的MAC地址学习限制功能相冲突，不能在同一接口下配置port-security enable和mac-limit maximum命令。
• 端口安全功能与MUX VLAN功能相冲突，不能在同一接口下配置port-security enable和port mux-vlan enable命令。
• 端口安全功能与NAC功能相冲突，不能在同一接口下配置port-security enable和mac-authen、dot1x enable或authentication-profile命令。
• 端口安全功能与根据绑定表生成Snooping类型MAC表项功能相冲突，不能在同一接口下配置port-security enable和user-bind ip sticky-mac命令。
• 配置mac-address learning disable后再配置端口安全，动态的端口安全功能不生效。如果先配置端口安全再配置mac-address learning disable，设备将不再学习MAC地址，但之前学习到的安全MAC地址（包括手工配置的安全静态MAC地址）会保留。

03 配置静态ARP

S系列和E系列交换机（S1700除外）上可以在系统视图下通过执行命令arp static来配置静态ARP。配置静态ARP表项时：

• 当出接口是以太网接口，可以执行命令arp static ip-address mac-address interface interface-type interface-number，配置静态ARP表项。
• 当需要指定ARP表项所属的VPN实例时，可以执行命令arp static ip-address mac-address vpn-instance vpn-instance-name，配置静态ARP表项。
• 当需要配置短静态ARP表项（仅建立IP和MAC的对应关系，不指定所属VLAN和出接口），可以执行命令arp static ip-address mac-address，配置短静态ARP表项。

配置一条静态ARP表项，IP地址为10.1.1.1，对应的MAC地址为0efc-0505-86e3，此条静态ARP表项属于VLAN10，出接口为GE1/0/1。

[HUAWEI] arp static 10.1.1.1 0efc-0505-86e3 vid 10 interface gigabitethernet 1/0/1

配置一条静态ARP表项，IP地址为10.1.1.1，对应的MAC地址为0efc-0505-86e3，此静态ARP表项属于VPN实例vpn1。

[HUAWEI] ip vpn-instance vpn1
[HUAWEI-vpn-instance-vpn1] ipv4-family
[HUAWEI-vpn-instance-vpn1-af-ipv4] quit
[HUAWEI-vpn-instance-vpn1] quit
[HUAWEI] arp static 10.1.1.1 0efc-0505-86e3 vpn-instance vpn1

04 IPSG（指基于静态绑定表的IPSG）

和端口安全都可以实现MAC地址和接口的绑定，它们的主要区别如下表所示。

特性	功能介绍	应用场景
IPSG	通过在绑定表中固定MAC和接口的绑定关系，实现固定主机只能从固定接口上线，并且绑定表以外的非法MAC主机无法通过设备通信。绑定表项需要手工配置，如果主机较多，配置工作量比较大。	绑定MAC和接口只是IPSG的一部分功能，IPSG能实现IP地址、MAC地址、VLAN和接口之间的任意绑定。它主要用来防止IP地址欺骗攻击，如防止非法主机盗用合法主机的IP地址，非法获取上网权限或者攻击网络。
端口安全	通过将接口学习到的指定数量的动态MAC地址转换为安全MAC地址，以固定MAC表项，实现固定主机只能从固定接口上线，并且MAC表以外的非法MAC主机无法通过设备通信。安全MAC地址是动态生成的，无需手工配置。	防止非法主机接入，还可以控制接入主机的数量，比较适合于主机较多的场景。

因此，如果只是希望阻止非法MAC通过设备通信，并且在主机较多的环境下，配置端口安全更合适。

例如在接口GE0/0/1上使能端口安全，限制只允许前100个MAC地址通过设备通信。配置示例如下：

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-security enable
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 100

而如果是通过配置IPSG实现，则需要手工创建100条静态绑定表项。示例如下（仅以创建一条绑定表项为例说明）：

而如果是通过配置IPSG实现，则需要手工创建100条静态绑定表项。示例如下（仅以创建一条绑定表项为例说明）：

<HUAWEI> system-view
[HUAWEI] user-bind static mac-address 0002-0002-0002 interface gigabitethernet 0/0/1
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enabl

 整理：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部