【思唯网络】华为端口安全

端口安全是交换机上面的功能

端口安全功能将交换机接口学习到的MAC地址变为安全MAC地址（包括安全动态MAC和sticky MAC），可以阻止除安全MAC之外的主机通过本接口和交换机通信，从而增强设备安全性

当主机C断开连接，默认交换机会删除接口对应的MAC地址，开启了端口安全后，主机C断开后你不允许其他主机接入，这种地址叫做安全MAC地址

在交换机上还可以设置允许接入的最大MAC地址数量，学习到的MAC地址都与g0/0/1接口对应，如下图switch

普通MAC地址表老化时间为5min

端口安全分类

1.安全动态MAC地址：

定义：使能端口安全而未使能sticky-MAC功能时转换的MAC地址

特点：设备重启后表项会丢失，需要重新学习，缺省情况下不会老化，只有在配置安全MAC的老化时间后才可以被老化。

安全动态MAC地址的老化类型：绝对老化时间和相对老化时间，如设置绝对老化时间为5分钟，系统每隔1分钟进行计算一次每个MAC的存在时间，若大于等于5分钟，则立即将该安全动态MAC地址老化，否则，等待下一分钟在检测计算

若设置相对老化时间为5分钟：系统每隔1分钟检测一次是否有该MAC的流量，若没有，经过5分钟后该安全动态MAC地址老化

2.安全静态MAC地址：

定义：使能端口安全时在交换机上手工配置静态MAC地址

特点：不会被老化，手动保存配置后重启设备不会丢失

3.Sticky-MAC（粘性MAC）：

定义：特殊类型的静态MAC，先进行安全动态MAC地址的学习，再转换成Sticky-MAC，不用手工配置（防止配置错误）

端口安全违规分类

MAC地址超出端口安全保护动作（也就是端口收到的MAC地址不是特定设备的地址）：

（1）动作：Restrict

丢弃源MAC地址不存在的报文并上告报警，推荐使用

（2）动作：Protect

只丢弃源MAC地址不存在的报文，不上告报警

（3）动作：Shutdown

接口状态被置为error-down，并上告报警（接口down掉）

MC地址漂移后端口安全保护动作（原本0/0/0口的设备接到0/0/1口）：

（1）动作：Restrict

丢弃源MAC地址不存在的报文并上告报警，推荐使用

（2）动作：Protect

只丢弃源MAC地址不存在的报文，不上告报警

（3）动作：Shutdown

接口状态被置为error-down，并上告报警（接口down掉），默认情况下，接口down后不会自动恢复，只能由网络管理员在接口下使用restart命令重启接口进行恢复，如果用户希望被关闭的接口可以自动恢复，可以在接口error-down前通过系统视图下执行error-down auto-recovery cause port-security intervalinterval-value命令使能接口状态自动恢复为up的功能，并设置接口自动恢复为up的时间（被关闭的接口多长时间后可以up）

静态MAC配置：

Mac-address static mac地址 接口号 vlan vlan号 将设备的mac地址对应的接口以及vlan id绑定

动态安全MAC配置：

接口下：port-security enable 开启端口安全功能（此时配置的是动态安全MAC）

Sticky-MAC配置：

接口下：port-security enable 开启端口安全功能（此时配置的是动态安全MAC）

Port-security mac-address sticky 将动态安全MAC配置为Sticky-MAC

手工指定静态安全MAC配置：

接口下：port-security enable 开启端口安全功能

Port-security mac-address MAC地址

指定接口下最多可以对应2个mac地址

接口：port-security max-mac-num 2

配置端口保护动作：

port-security protect-action shutdow（接口down）/protect（丢弃不报警）/restrict(丢弃报警)