端口安全(port security)功能将设备接口学习到的MAC地址变为相对安全的MAC地址(包括安全动态MAC和Sticky MAC),可以阻止除安全MAC和静态MAC之外的主机通过本接口和交换机通信,可以增强设备的安全性。
通常应用在接入设备层设备,通过配置端口安全可以防止仿冒用户从其他端口攻击。
如果应用在汇聚层设备,通过配置端口安全可以控制接入用户数量。
端口安全解决方案
端口安全类型
端口安全(port security)通过将接口学习到的动态MAC地址转换为相对安全的MAC地址(包括安全动态MAC、安全静态MAC和Stricky MAC)阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
违规行为
port-security行为1)端口安全默认没有开启2)默认每个接口最多容纳一个MAC3)默认的违反行为是shutdown
三种违规方式:
- shutdown-err-disable,丢弃报文,发送日志,统计违规行为数,接口down
- restrict -丢弃该包,发送日志,接口up,统计违规行为数
- protect-默默的丢弃该包,不发送日志,接口up状态,违规统计不增加
华为思科实施端口安全