HUAWEI-portsecurity

Port security  端口安全

主要用于接入层设备，面向终端接口（access）

逻辑和思科的一样，都属于同样的东西，

但也有些许的不同

处理方式，

cisco默认是err-disable

而huawei则默认不down端口，

惩罚措施

 protect-action ?

  protect   Discard packets    //丢弃

  restrict  Discard packets and warning //丢弃并上报错误  //默认是这种

  shutdown  Shutdown   //关闭接口，

其实话说回来，不管你是哪种处理方式，其目的只有一个，就是保护接入接口的安全

如果才长是安全呢？

可以限制MAC地址的数量，以及具体的MAC地址，如果你随意的乱接设备，会导致MAC地址变更，那么就会触发port-security机制导致惩罚

端口安全默认没有开启

且交换机默认以动态方式学习MAC，并维护自己的MAC地址表

一旦开启会有几种形式

1 动态安全学习MAC,(MAC地址没有老化时间)

2 静态安全学习MAC,手动去绑定MAC地址

开启了端口安全以后，

可以配置的参数

1 惩罚行为

2 最大的MAC地址数量

3 MAC地址粘滞

4 MAC地址的老化时间（仅动态安全）

针对于触发了安全机制的shutdown，可以配置自动恢复，

这个不用多说，cisco也有，err-recovery，

上实例

 默认两台设备可以通信

现将e0/0/2接口配置port-security

[Huawei-Ethernet0/0/2]port-security enable

查看MAC地址安全，可以看到MAC为3385

 现在将PC2的MAC改掉

 

 然后再去测试ping

 

 通是肯定不通的了

 

 可以看到系统报错消息，由于触发了端口安全，将它发的数据全部以第一种方式进行处理（restrict，丢弃并上报）

这时就是动态的学习MAC，如何操作呢？可以把接口shutdown再undo shutdown 就可以解决这个问题

（因为默认没有老化时间）

 然后就可以啦~

当然，还有第二种方法，就是设置它的一个老化时间

 

 时间单位为分钟，最小值为1

那么 我们来测试一下吧，其实经过实际的测试，并没有到1分钟，接口就可以接受新的MAC了

 

 大概是35秒时间吧

当然可以视情况而定，一般情况下是这样的，

像cisco的err-disable是默认的5分钟，

可以酌情考虑。

以上是动态的方式，

如果说要配置多个MAC地址的安全呢？

[Huawei-Ethernet0/0/2]port-security max-mac-num ?
  INTEGER<1-4096>  Maximum mac address can learn
[Huawei-Ethernet0/0/2]port-security max-mac-num 2

最多可以支持4096个，当你，你想也能想到，这么多，肯定是应用在汇聚层，

但是不推荐将这玩意放在汇聚层，

除非一种特殊情况，

就是可管理交换下面接入了一台傻瓜交换机，在上游控制这一根线下面的接入数量 ，也是可以的。

那允许两个，是不是就意味着我可以看到两个MAC地址了呢~

 可以看到，这个接口已经接入两个MAC了，当第三个MAC接入时，系统就会报错，告警

以上情况可以部署在人员和设备变动较为频繁时使用，（接口插拔、交换机重启都可以学习新的MAC地址）

如果说我的工位就在那，一直不动，设备也一直不变，

有没有更加保守的操作呢？

使用sticky粘滞功能，就算交换机重启，以及接口重启都不受影响，（这个端口只爱一人，很专一）

interface Ethernet0/0/1
 port-security enable   //开启端口安全
 port-security mac-address sticky  //开启端口粘滞

查看

就不再是dis mac-address security了

而是dis mac-addr sticky

 

 把PC1的MAC修改一下后，可以再和PC2测试一下，看到系统告警消息

 

 如果此时将接口重启会怎么样呢？

 

 不管你重启与否，没关系，

说过了，

我只爱一人，

当然，开启了sticky的情况下，也可以支持多个MAC.

 

关于err-down的情况

可以执行自动恢复来实现接口的自恢复

但是模拟器里不知为啥没有这个命令，真实环境中是一定有的、

 

 Cause port-security interval 时间，后面的恢复时间和cisco一样，都是30 - 86400S

还有一种特殊的情况

之前我们配置了sticky功能的端口安全，

假设现在有一台PC接到了E0/0/1口，并配置了这个接口的sticky，忽然有一天，这哥们心血来潮，想换个工位，于是换到了对面的桌子上，然后网线他也换了，

想一想会发生什么？

交换机上会不会出现相同的MAC地址出现在两个接口？如果是这样，那请问数据如何转发呢？

所以

这个时候一个功能出来了，叫做漂移检测，而刚才我们所叙述的这个过程叫做MAC地址漂移（头文字D）

我也想切个图，做个测试，

但是环境不允许啊~

命令看一下吧，解解馋得了

<sw>
<sw>sys
[sw]port-security static-flapping protect   //全局下开启
[sw]inter e0/0/1
[sw-Ethernet0/0/1]port-security enable
[sw-Ethernet0/0/1]port-security mac-address sticky //这个功能一定要开户sticky

具体的效果，如果想起来，用真机补一下命令及效果

 

完

------------------------------------

CCIE成长之路 --- 梅利