定义及作用:
将交换机接口学习到的MAC地址转变为安全MAC地址,以阻止安全MAC和静态MAC之外的主机通过本接口和交换机通信,从而增强设备的安全性。
应用场景:
1、应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口攻击。
分为三种配置方式:
2、应用在汇聚层设备,通过配置端口安全可言控制接入用户的数量。
MAC地址学习方式
1、安全动态MAC地址(接入用户变动频繁在用户变动时,可及时清除绑定的MAC表项)
定义:使能端口安全而未使能Stiky MAC功能时转换的MAC地址。
特点:设备重启后表项会丢失,需要重新学习。缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化。
2、安全静态MAC地址(适用于接入用户变动较少,且数量较少的情况下)
定义:使能端口安全时手工配置后重启设备不会丢失。
特点:不会被老化,手动保存配置后重启设备不会丢失。
3、Sticky MAC地址(适用于接入用户较多,但变动较少,设置Sticky可实现MAC表项重启不丢失)
定义:使能端口安全后又同时使能Sticky MAC功能后转换到的MAC地址。
特点:不会被老化,手动保存配置后重启设备不会丢失。
关于安全的MAC地址
开启了端口安全之后,交换机接口上收到的第一个数据帧中的S.MAC地址会被认为是安全的。此后再收到其他的MAC地址均认为是不安全的(合法)。
保护动作
接口上安全MAC地址数量达到限制之后(默认为1),如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。
Restrict
丢弃源MAC地址不存在的报文并上报告警。默认行为
Protect
只丢弃源MAC地址不存在的报文,不上报告警。
Shutdown
接口状态被置为error-down,并上报告警。
接口关闭后不会自动恢复,需要接口下使用restart命令重启接口进行恢复或配置端口自动恢复功能。
配置:
[Switch]interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1]port-auto-sleep
[Switch-GigabitEthernet0/0/1]port-securityenable
[Switch-GigabitEthernet0/0/1]port-securitymac-address sticky
[Switch-GigabitEthernet0/0/1]port-securitymax-mac-num 1
[Switch-GigabitEthernet0/0/1]port-securityprotect-action (保护动作){ protect| restrict | shutdown }