端口安全讲解
端口安全是网络安全管理的关键技术,通过控制端口接入权限和流量特征来防范非法接入及攻击威胁。以下是其核心要点和实践方法:
一、基本定义与原理
- MAC地址绑定机制
端口安全通过记录连接到交换机端口的设备MAC地址,仅允许已授权的MAC地址通信。未绑定的设备接入时,系统会根据预设策略阻断或告警。 - 安全MAC类型
- 静态绑定:管理员手动配置允许的MAC地址列表;
- 动态绑定:交换机自动学习首个接入设备的MAC地址并锁定;
- Sticky MAC:动态绑定基础上支持断电后保留绑定关系。
| 类型 | 定义 | 特点 |
| 安全动态MAC地址 | 仅开启端口安全 转换的MAC地址。 | 设备重启后表项会丢失,需要重新学习。 缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化。 |
| Sticky MAC地址 | 开启端口安全 开启Sticky 转换的MAC地址。 | 不会被老化,手动保存配置后重启设备不会丢失。 |
| 安全静态MAC地址 | 开启端口安全 开启Sticky 手动配置的MAC地址。 | 同上,区别仅是安全mac不是学来的,是手动配置的。 |
超过安全MAC地址限制数后的动作:
| 动作 | 实现说明 |
| restrict | 丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。 |
| protect | 只丢弃源MAC地址不存在的报文,不上报告警。 |
| shutdown | 接口状态被置为error-down,并上报告警。默认情况下,接口关闭后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。 |
接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是restrict。
二、核心功能与配置策略
- 违规处理动作
- Shutdown:直接关闭端口(默认动作);
- Restrict:丢弃非法流量并生成告警日志;
- Protect:静默丢弃非法流量。
- 接入数量控制
设置单个端口允许的最大MAC地址数(如设置为1实现单设备独占接入),防止未经授权的多设备接入。
配置命令
执行命令interface interface-type interface-number,进入接口视图。
执行命令port-security enable,使能端口安全功能。
缺省情况下,未使能端口安全功能。
执行命令port-security mac-address sticky,使能接口Sticky MAC功能。
缺省情况下,接口未使能Sticky MAC功能。
执行命令port-security max-mac-num max-number,配置接口Sticky MAC学习限制数量。
使能接口Sticky MAC功能后,缺省情况下,接口学习的MAC地址限制数量为1。
(可选)执行命令port-security protect-action { protect | restrict | shutdown },配置端口安全保护动作。
缺省情况下,端口安全保护动作为restrict。
(可选)执行命令port-security mac-address sticky mac-address vlan vlan-id,手动配置一条sticky-mac表项实验top
交换机swa
<SWA> system-view
[SWA] vlan batch 10 20
[SWA] interface GigabitEthernet0/0/1
[SWA-GigabitEthernet0/0/1] port link-type trunk
[SWA-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[SWA] interface GigabitEthernet0/0/2
[SWA-GigabitEthernet0/0/2] port link-type trunk
[SWA-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
交换机swb
<SWB> system-view
[SWB] vlan 10
[SWB-vlan10] quit
[SWB] interface GigabitEthernet0/0/1
[SWB-GigabitEthernet0/0/1] port link-type access
[SWB-GigabitEthernet0/0/1] port default vlan 10
[SWB] interface GigabitEthernet0/0/2
[SWB-GigabitEthernet0/0/2] port link-type access
[SWB-GigabitEthernet0/0/2] port default vlan 10
[SWB-GigabitEthernet0/0/1] port-security enable
[SWB-GigabitEthernet0/0/1] port-security max-mac-num 1
[SWB-GigabitEthernet0/0/1] port-security mac-address static 5489-983F-24E5 vlan 10
[SWB-GigabitEthernet0/0/1] port-security protect-action shutdown
[SWB-GigabitEthernet0/0/2] port-security enable
[SWB-GigabitEthernet0/0/2] port-security max-mac-num 1
[SWB-GigabitEthernet0/0/2] port-security mac-address static 5489-98a4-2424 vlan 10
[SWB-GigabitEthernet0/0/2] port-security protect-action shutdown
[SWB] interface GigabitEthernet0/0/3
[SWB-GigabitEthernet0/0/24] port link-type trunk
[SWB-GigabitEthernet0/0/24] port trunk allow-pass vlan 10
交换机swc
<SWC> system-view
[SWC] vlan 20
[SWC-vlan20] quit
[SWC] interface GigabitEthernet0/0/1
[SWC-GigabitEthernet0/0/1] port link-type access
[SWC-GigabitEthernet0/0/1] port default vlan 20
[SWC] interface GigabitEthernet0/0/2
[SWC-GigabitEthernet0/0/2] port link-type access
[SWC-GigabitEthernet0/0/2] port default vlan 20
[SWC-GigabitEthernet0/0/1] port-security enable
[SWC-GigabitEthernet0/0/1] port-security max-mac-num 1
[SWC-GigabitEthernet0/0/1] port-security mac-address dynamic
[SWC-GigabitEthernet0/0/1] port-security aging-time 5
[SWC-GigabitEthernet0/0/1] port-security protect-action restrict
[SWC-GigabitEthernet0/0/2] port-security enable
[SWC-GigabitEthernet0/0/2] port-security max-mac-num 1
[SWC-GigabitEthernet0/0/2] port-security mac-address dynamic
[SWC-GigabitEthernet0/0/2] port-security aging-time 5
[SWC-GigabitEthernet0/0/2] port-security protect-action restrict
[SWC] interface GigabitEthernet0/0/3
[SWC-GigabitEthernet0/0/24] port link-type trunk
[SWC-GigabitEthernet0/0/24] port trunk allow-pass vlan 20
绑定完MAC地址后拉一台新的pc链接交换机看能否通讯