端口安全
端口安全(port Security)通过将接口学习到的动态MAC地址转换为
安全MAC地址(包括安全动态MAC,安全静态MAC和Sticky MAC),阻止非法用户
通过本接口和交换机通信,从而增强设备的安全性。
》安全MAC地址的分类
1)安全动态MAC地址
定义:使能端口安全而未使能Sticky MAC功能时转换的MAC地址
特点:设备重启后表象会丢失,需要重新学习,缺省情况下不会被老化
只有在配置安全MAC的老化时间后才会被老化,安全动态MAC地址的老化类型分为:
绝对时间老化/相对时间老化
决定老化时间:
如设置绝对老化时间为5分钟:系统每个1分钟计算一次每个MAC的存在时间
若大于等于5分钟,则立即将该安全动态MAC地址老化。否则,等待下一分钟在检测计算
相对老化时间:
如设置相对老化时间为5分钟:系统每割1分钟检测一次是否有该MAC的流量
若没有流量,则经过5分钟后将该安全动态MAC地址老化
2)安全静态MAC地址
定义:使能端口安全时手动配置的静态MAC地址
特点:不会被老化,手动保存配置后重启设备不会丢失
3)Sticky MAC 地址
定义:使能端口安全后又同时使能Sticky MAC功能够转换到的MAC地址
特点:不会被老化,手动保存配置后重启设备不会丢失
》MAC地址变化情况
-
端口安全功能/使能:
接口上之前学习到的动态MAC地址表项将被删除,之后学习到的MAC地址
将变为安全动态MAC地址
/去使能:
接口上的安全动态MAC地址将被删除,重新学习动态MAC地址
-
Sticky MAC 功能/使能:接口上的安全动态MAC地址表项将转换为Sticky MAC地址,之后学习到的
MAC地址也变为Sticky MAC地址/去使能:接口上的Sticky MAC地址,会转换为安全动态MAC地址
》超出安全MAC地址限制数后的动作
restrict //丢弃源MAC地址不存在的报文并上报警告,推荐使用restrict动作
protect//只丢弃源MAC地址不存在的报文,不上报警告
shutdown//接口状态被置为error-down,并上报警告。
默认情况下,接口关闭不会自动恢复,只能由管理员在接口视图下使用restart命令重启接口进行恢复
如果用户希望被关闭的接口可以自动恢复,则可在接口error-down前通过在系统视图执行:
error-down auto-recovery cause port-security interval (interval-value)命令使能接口
状态自动恢复为UP的功能,并设置接口的自动恢复为UP的延时时间,使被关闭的接口经过延时时间后
自动恢复。
display trapbuffer //查看警告信息
配置命令:
(可选)port-security static-flapping protect //使能静态MAC地址漂移的检测功能
port-security enable //接口视图下使能端口安全功能
port-security mac-address (sticky)//接口视图下使能Sticky MAC功能
port-security max-mac-num (max-number)//接口视图下配置安全MAC学习数量
(可选)port-security protect-action (protect,restrict,shutdown)//配置端口安全保护动作
