华为数通笔记-端口安全

端口安全简介

端口安全（Port Security）通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC和Sticky MAC），阻止除安全MAC和静态MAC之外的主机通过本接口和设备通信，从而增强设备的安全性。

端口安全原理描述

通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作，说明端口安全的实现原理。

安全MAC地址的分类

安全MAC地址分为：安全动态MAC与Sticky MAC。

类型	定义	特点
安全动态MAC地址	使能端口安全而未使能Sticky MAC功能时转换的MAC地址。	设备重启后表项会丢失，需要重新学习。 缺省情况下不会被老化，只有在配置安全MAC的老化时间后才可以被老化。
Sticky MAC地址	使能端口安全后又同时使能Sticky MAC功能后转换到的MAC地址。	不会被老化，手动保存配置后重启设备不会丢失。

表1 安全MAC地址的说明

未使能端口安全功能时，设备的MAC地址表项可通过动态学习或静态配置。当某个接口使能端口安全功能后，该接口上之前学习到的动态MAC地址表项会被删除，之后学习到的MAC地址将变为安全动态MAC地址，此时该接口仅允许匹配安全MAC地址或静态MAC地址的报文通过。若接着使能Sticky MAC功能，安全动态MAC地址表项将转化为Sticky MAC表项，之后学习到的MAC地址也变为Sticky MAC地址。直到安全MAC地址数量达到限制，将不再学习MAC地址，并对接口或报文采取配置的保护动作。

 

超过安全MAC地址限制数后的动作

接口上安全MAC地址数达到限制后，如果收到源MAC地址不存在的报文，端口安全则认为有非法用户攻击，就会根据配置的动作对接口做保护处理。缺省情况下，保护动作是丢弃该报文并上报告警。

动作	实现说明
restrict	丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。 说明： 设备收到非法MAC地址的报文时，每30s至少告警1次，至多告警2次。
protect	只丢弃源MAC地址不存在的报文，不上报告警。
shutdown	接口状态被置为error-down，并上报告警。 默认情况下，接口关闭后不会自动恢复，只能由网络管理人员执行undo shutdown命令手动恢复，也可以在接口视图下执行restart命令重启接口。

 

端口安全缺省配置

介绍端口安全的缺省配置。

参数	缺省值
端口安全功能	未使能
端口学习的安全MAC地址数	1个
达到安全MAC地址数后的保护动作	restrict：丢弃源MAC地址不存在的报文并上报告警
安全MAC老化时间	不老化

实验拓扑：

PC1：

PC2：

具体步骤：

1.测试安全动态MAC地址的学习

首先没有进行任何配置，让双方进行通信，然后在交换机上查看对应的MAC地址表：

然后在接口上开启安全动态MAC地址的功能，配置：

interface GigabitEthernet0/0/1

port-security enable

重新进行PC1和PC2的通信：

发现原来的动态MAC地址被覆盖变为了动态安全MAC地址，如果在接口上原来配置的是普通静态MAC地址，如果开启了安全功能，静态地址不会进行类型的转换，但是却具有了相应安全接口的特性。

然后检查安全端口的特性，我们将PC1的MAC地址进行修改：

然后用PC1pingPC2，发现ping不通，说明安全端口起作用了。

并且弹出了 警告（安全接口的模拟保护模式是限制）：

然后修改其学习的最大的安全MAC地址数量：

interface GigabitEthernet0/0/1

port-security max-mac-num 2 //进入接口，设置最大学习的MAC地址为2

用修改了MAC地址的PC1去pingPC2，观察结果：

已经可以通信了，在交换机上查看对应的MAC地址表，发现安全地址已经从原来的1个变为现在的两个了，说明修改最大的安全MAC地址学习数量成功。

2.测试Sticky MAC地址的学习，首先配置动态学习的Sticky MAC，配置：

interface GigabitEthernet0/0/2 //进入接口

port-security enable //开启粘性MAC地址之前需要开启安全接口的功能

port-security mac-address sticky //然后将接口转换为粘性MAC地址的接口

然后用PC2pingPC1：（发现在g0/0/2上有了粘性的MAC地址）

注意：安全地址开启后学习到了动态安全MAC地址，如果再在此接口上开启粘性功能，其动态安全MAC地址直接转换为粘性MAC地址，并且undo掉此功能后，粘性MAC地址自动消失（动态MAC地址也会自动消失）。