端口安全简介

 

  1. 什么是端口安全

 

交换机中的端口安全(Port security)功能可以使你限制在端口上使用的MAC地址(称之为安全MAC地址”),允许你阻止未授权MAC地址的访问,其实也就是通常所说的端口与MAC地址绑定。

 

交换机在转发数据包时,需要根据数据包的目标MAC地址来决定出口,因此,交换机会将MAC地址与相对应的接口记录在一张表中,以供转发数据包使用,这张表就是MAC地址表。在正常情况下,MAC地址表允许一个接口可以与多个MAC地址相对应,只要接口上有相应的MAC地址,那么数据包就可以从这个接口发出去。一个接口上对应着什么样的MAC地址,一个接口允许多少个MAC地址与之相对应,这都影响到交换机对数据的转发。为了让用户对交换机的MAC地址表有更高的控制权限,交换机接口上的Port Security功能提供更多的安全保护。

 

Port Security可以控制交换机上特定的接口与特定的MAC地址的对应关系,也可以限制接口上最大的MAC地址数量。

 

具有Port Security功能的接口,被称为secure portsecure port接口上通过控制数据包的源MAC地址来控制流量,绝不会转发预先定义好的MAC地址之外的流量。准确地说,是secure port只转发合法的流量,对于违规的流量,是不放行的。

 

  1. MAC与端口对应关系的实现方法

 

端口安全一共有三种方法实现MAC与端口的对应关系规则

 

  • 静态绑定

 

手工添加MAC地址与接口的对应关系(将接口与MAC地址绑定),并且会保存到MAC地址表和running-config

 

  • 动态绑定

 

将接口上动态学习到的MAC地址作为安全的MAC地址,保存在MAC地址表中,重启后丢失。

 

  • sticky(动态学习静态绑定)

 

结合了静态手工配置与动态学习MAC地址的优势,Sticky将动态学习到的MAC地址作为安全MAC地址,并且将结果保存到running configuration中(将MAC与接口进行绑定)。

 

实用举例:就拿现在的大多数高校来说,学生寝室的宽带连接大多数都是通过这种方式连接的。湖北省银河信息技术学院的寝室网络就是这样的。当我们从服务提供商那里得到账号后,在电脑上拨号连接,这个账户就会和寝室号绑定,当换宿舍时,需要给服务提供商打电话进行端口刷新,即解绑。

 

3.端口安全的违规动作

 

端口安全一共有三种的违规动作(就是违规后采取的策略)

 

  • Shutdown

 

(默认模式)