一、端口安全原理
端口安全是一种网络安全技术,旨在通过控制网络设备端口的访问来防止未经授权的设备接入和数据包的传输。以下是对端口安全的具体介绍:
-
基本原理:端口安全通过记录连接到交换机端口的以太网MAC地址(网卡号),并只允许特定的MAC地址通过本端口通信来实现安全控制。当其他MAC地址尝试通过该端口时,会被阻止,从而防止非法设备的接入和数据包的传输。
-
主要功能:端口安全能够限制特定端口上可以学习和接受的MAC地址数量,超过这个数量后,新的MAC地址将无法通过该端口进行通信。当检测到非法MAC地址或未授权的设备试图通过端口时,端口安全机制会采取一系列保护措施,如丢弃非法报文、发送警告消息等。
-
配置方式:管理员可以通过静态绑定的方式,手动指定允许通过特定端口的MAC地址,这种方式适用于固定不变的网络环境。对于动态变化的网络环境,可以采用动态学习的方式,让交换机自动学习并记录通过端口的MAC地址。
-
违规动作:当端口接收到未经允许的MAC地址流量时,交换机会根据预先设置的策略执行相应的违规动作,如关闭端口、发送警告消息等。
-
安全优势:端口安全能够有效防止未经授权的设备接入网络,减少潜在的安全风险。通过对端口上的MAC地址进行严格控制,可以有效防止MAC地址泛洪攻击,保护网络的稳定性和可用性
二、实验配置
实验拓扑
实验配置
<Huawei>sys #进入系统视窗
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname s1 #改名
[s1]int g0/0/1 #进入接口
[s1-GigabitEthernet0/0/1]port-security enable #启用端口安全功能
[s1-GigabitEthernet0/0/1]port-security max-mac-num 2 #设置mac最大学习数量为2
[s1-GigabitEthernet0/0/1]port-security protect-action shutdown #保护动作为关闭接口
[s1-GigabitEthernet0/0/1]q
[s1]dis mac-add #查看mac地址表
[s1]int g0/0/2 #进入接口
[s1-GigabitEthernet0/0/2]port-security enable
[s1-GigabitEthernet0/0/2]port-security max-mac-num 1
!!!!注意位置
[s1-GigabitEthernet0/0/2]port-security mac-address sticky 5489-9809-5783 vlan 1
#尝试设置静态MAC地址,但提示Sticky MAC未启用
Error: Sticky MAC is not enabled.
[s1-GigabitEthernet0/0/2]port-security mac-address sticky #启用Sticky MAC功能
[s1-GigabitEthernet0/0/2]port-security mac-address sticky 5489-9809-5783 vlan 1
#再次尝试设置静态MAC地址
[s1-GigabitEthernet0/0/2]q
[s1]dis mac-add
[s1]int g0/0/3
[s1-GigabitEthernet0/0/3]port-security enable
[s1-GigabitEthernet0/0/3]port-security mac-address sticky #启用Sticky MAC功能
[s1-GigabitEthernet0/0/3]port-security max-mac-num 1
[s1-GigabitEthernet0/0/3]q
[s1]dis mac-add