一分钟轻松了解华为端口安全机制

1.端口安全简介

端口安全(PortSecurity)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和StickyMAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。

2端口安全原理描述

1.安全MAC地址的分类

安全MAC地址分为:安全动态MAC、安全静态MAC与StickyMAC。

2.安全动态MAC地址:

设备重启后表项会丢失,需要重新学习。

缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化。

3.安全静态MAC地址:

不会被老化,手动保存配置后重启设备不会丢失。

4.Sticky MAC地址:

不会被老化,手动保存配置后重启设备不会丢失。

5.超过安全MAC地址限制数后的动作

接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,无论目的MAC地址是否存在,交换机即认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是丢弃该报文并上报告警。

restrict:

丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。

protect:

只丢弃源MAC地址不存在的报文,不上报告警。

shutdown:

接口状态被置为error-down,并上报告警。

默认情况下,接口关闭后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。

3端口安全应用场景

端口安全经常使用在以下几种场景:

•应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口攻击。

•应用在汇聚层设备,通过配置端口安全可以控制接入用户的数量。

接入层使用场景:

用户PC1和PC3通过IPPhone接入SwitchA设备,用户PC2直接接入设备SwitchA,为了保证接入设备安全性,防止非法用户攻击,可以在接入设备SwitchA的接口上配置端口安全功能。

•如果接入用户变动比较频繁,可以通过端口安全把动态MAC地址转换为安全动态MAC地址。这样可以在用户变动时,及时清除绑定的MAC地址表项。

•如果接入用户变动较少,可以通过端口安全把动态MAC地址转换为StickyMAC地址。这样在保存配置重启后,绑定的MAC地址表项不会丢失。

•如果接入用户变动较少,且数量较少的情况下,可以通过配置为安全静态MAC地址,实现MAC地址表项的绑定。

汇聚层使用场景

树状组网中,多个用户通过SwitchA和汇聚层设备Switch进行通信。为了保证汇聚设备的安全性,控制接入用户的数量,可以在汇聚设备配置端口安全功能,同时指定安全MAC地址的限制数。

5.交换机的端口安全

交换机依赖MAC地址表转发数据帧,如果MAC地址不存在,则交换机将帧转发到交换机上的每一个端口(泛洪),然而MAC地址表的大小是有限的,MAC泛洪攻击利用这一限制用虚假源MAC地址轰炸交换机,直到交换机MAC地址表变满。交换机随后进入称为 “失效开放” (Fail-open)的模式,开始像集线器一样工作,将数据包广播到网络上的所有机器。

因此,攻击者可看到发送到无MAC地址表条目的另一台主机的所有帧。要防止MAC泛洪攻击,可以配置端口安全特性,限制端口上所允许的有效MAC地址的数量,并定义攻击发生时端口的动作:关闭、保护、限制。

END

为了更好地帮助大家学习并了解网络工程师,等相关内容,我特意将所有资料进行了系统整理,这里也免费分享大家。为大家整理的网工必备资料,包括:

华为认证思维导图(超细);

华为认证必备知识文档(pdf);

网工必备知识文档合集;

网工必备工具包;

网工必备实验包;

网工必备视频面试包。

……

资料有点多 我就不全列出来了,先写到这,需要资料或者是有任何问题,都可以欢留言、私信交流讨论~

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值