HCIE | 端口安全小结

定义及作用：

将交换机接口学习到的MAC地址转变为安全MAC地址，以阻止安全MAC和静态MAC之外的主机通过本接口和交换机通信，从而增强设备的安全性。

应用场景：

1、应用在接入层设备，通过配置端口安全可以防止仿冒用户从其他端口攻击。

分为三种配置方式：

• 如果接入用户变动比较频繁，可以通过端口安全把动态MAC地址转换为安全动态MAC地址。这样可以在用户变动时，及时清除绑定的MAC地址表项。
• 如果接入用户变动较少，可以通过端口安全把动态MAC地址转换为Sticky MAC地址。这样在保存配置重启后，绑定的MAC地址表项不会丢失。
• 如果接入用户变动较少，且数量较少的情况下，可以通过配置为安全静态MAC地址，实现MAC地址表项的绑定。

2、应用在汇聚层设备，通过配置端口安全可言控制接入用户的数量。

MAC地址学习方式

1、安全动态MAC地址（接入用户变动频繁在用户变动时，可及时清除绑定的MAC表项）

定义：使能端口安全而未使能Stiky MAC功能时转换的MAC地址。

特点：设备重启后表项会丢失，需要重新学习。缺省情况下不会被老化，只有在配置安全MAC的老化时间后才可以被老化。

2、安全静态MAC地址（适用于接入用户变动较少，且数量较少的情况下）

定义：使能端口安全时手工配置后重启设备不会丢失。

特点：不会被老化，手动保存配置后重启设备不会丢失。

3、Sticky MAC地址（适用于接入用户较多，但变动较少，设置Sticky可实现MAC表项重启不丢失）

定义：使能端口安全后又同时使能Sticky MAC功能后转换到的MAC地址。

特点：不会被老化，手动保存配置后重启设备不会丢失。

关于安全的MAC地址

开启了端口安全之后，交换机接口上收到的第一个数据帧中的S.MAC地址会被认为是安全的。此后再收到其他的MAC地址均认为是不安全的（合法）。

保护动作

接口上安全MAC地址数量达到限制之后（默认为1），如果收到源MAC地址不存在的报文，端口安全则认为有非法用户攻击，就会根据配置的动作对接口做保护处理。

Restrict

丢弃源MAC地址不存在的报文并上报告警。默认行为

Protect

只丢弃源MAC地址不存在的报文，不上报告警。

Shutdown

接口状态被置为error-down,并上报告警。

接口关闭后不会自动恢复，需要接口下使用restart命令重启接口进行恢复或配置端口自动恢复功能。

配置：

[Switch]interface GigabitEthernet 0/0/1

[Switch-GigabitEthernet0/0/1]port-auto-sleep

[Switch-GigabitEthernet0/0/1]port-securityenable

[Switch-GigabitEthernet0/0/1]port-securitymac-address sticky

[Switch-GigabitEthernet0/0/1]port-securitymax-mac-num 1

[Switch-GigabitEthernet0/0/1]port-securityprotect-action （保护动作）{ protect| restrict | shutdown }