端口安全经常使用在接入层,通过配置端口安全可以防止仿冒用户从其他端口攻击,或者汇聚层,通过配置端口安全可以控制接入用户的数量。
针对接入用户安全性要求较高的网络中,可以通过使用端口安全机制,将接口学习到的MAC地址转换为安全动态MAC或StickyMAC。如果接口学习的最大MAC数量超过规定数量,则设备不再学习新的MAC地址,而只允许这些MAC地址和设备通信。这样可以有效阻止非信任的MAC主机通过本接口和其他主机通信,提高网络的安全性。
Sticky MAC不会被老化,保存配置后,设备上会生成一个包含Stick MAC地址信息的文件( *.ztbl/*.ctbl/*.dtbl),保存着安全MAC地址信息。重启设备后, Sticky MAC也不会丢失,无需重新学习。
在配置端口安全机制之前,需要保证:
- 接口的MAC地址学习限制功能处于关闭状态
- MUX VLAN 功能未被打开
- DHCP snooping 的MAC 安全功能被关闭
配置方法如下:
做好笔记,收藏反复学习