端口安全简介
什么是端口安全
交换机中的端口安全(Port security)功能可以使你限制在端口上使用的MAC地址(称之为“安全MAC地址”)数,允许你阻止未授权MAC地址的访问,其实也就是通常所说的端口与MAC地址绑定。
交换机在转发数据包时,需要根据数据包的目标MAC地址来决定出口,因此,交换机会将MAC地址与相对应的接口记录在一张表中,以供转发数据包使用,这张表就是MAC地址表。在正常情况下,MAC地址表允许一个接口可以与多个MAC地址相对应,只要接口上有相应的MAC地址,那么数据包就可以从这个接口发出去。一个接口上对应着什么样的MAC地址,一个接口允许多少个MAC地址与之相对应,这都影响到交换机对数据的转发。为了让用户对交换机的MAC地址表有更高的控制权限,交换机接口上的Port Security功能提供更多的安全保护。
Port Security可以控制交换机上特定的接口与特定的MAC地址的对应关系,也可以限制接口上最大的MAC地址数量。
具有Port Security功能的接口,被称为secure port,secure port接口上通过控制数据包的源MAC地址来控制流量,绝不会转发预先定义好的MAC地址之外的流量。准确地说,是secure port只转发合法的流量,对于违规的流量,是不放行的。
MAC与端口对应关系的实现方法
端口安全一共有三种方法实现MAC与端口的对应关系规则
静态绑定
手工添加MAC地址与接口的对应关系(将接口与MAC地址绑定),并且会保存到MAC地址表和running-config。
动态绑定
将接口上动态学习到的MAC地址作为安全的MAC地址,保存在MAC地址表中,重启后丢失。
sticky(动态学习静态绑定)
结合了静态手工配置与动态学习MAC地址的优势,Sticky将动态学习到的MAC地址作为安全MAC地址,并且将结果保存到running configuration中(将MAC与接口进行绑定)。
实用举例:就拿现在的大多数高校来说,学生寝室的宽带连接大多数都是通过这种方式连接的。湖北省银河信息技术学院的寝室网络就是这样的。当我们从服务提供商那里得到账号后,在电脑上拨号连接,这个账户就会和寝室号绑定,当换宿舍时,需要给服务提供商打电话进行端口刷新,即解绑。
3.端口安全的违规动作
端口安全一共有三种的违规动作(就是违规后采取的策略)
Shutdown
(默认模式)