端口安全技術(shù)背景

企業(yè)要求接入層交換機(jī)上每個(gè)連接終端設(shè)備的接口均只允許一臺(tái)PC接入網(wǎng)絡(luò)（限制mac地址接入數(shù)量）。如果有員工試圖在某個(gè)接口下級(jí)聯(lián)一臺(tái)小交換機(jī)或集線器從而擴(kuò)展上網(wǎng)接口，那么這種行為應(yīng)該被發(fā)現(xiàn)或被禁止，如下圖所示：



另一些企業(yè)還可能會(huì)要求只有MAC地址為可信任的終端發(fā)送的數(shù)據(jù)幀才允許被交換機(jī)轉(zhuǎn)發(fā)到上層網(wǎng)絡(luò)，員工不能私自更換位置（變更交換機(jī)的接入端口），如下圖所示:



通過交換機(jī)的端口安全（port security）特性可以解決這些問題。

端口安全概述

• 通過在交換機(jī)的特定接口上部署端口安全，可以限制接口的MAC地址學(xué)習(xí)數(shù)量，并且配置出現(xiàn)越限時(shí)的懲罰措施。
• 端口安全通過將接口學(xué)習(xí)到的動(dòng)態(tài)MAC地址轉(zhuǎn)換為安全MAC地址（包括安全動(dòng)態(tài)MAC，安全靜態(tài)MAC和Sticky MAC），阻止非法用戶通過本接口和交換機(jī)通信，從而增強(qiáng)設(shè)備的安全性。

端口安全技術(shù)原理

安全MAC地址通常與安全保護(hù)動(dòng)作結(jié)合使用，常見的安全保護(hù)動(dòng)作有：

• Restrict：丟棄源MAC地址不存在的報(bào)文并上報(bào)告警。
• Protect：只丟棄源MAC地址不存在的報(bào)文，不上報(bào)告警。
• Shutdown：接口狀態(tài)被置為error-down，并上報(bào)告警。

端口安全技術(shù)應(yīng)用

?

• 在對接入用戶的安全性要求較高的網(wǎng)絡(luò)中，可以配置端口安全功能及端口安全動(dòng)態(tài)MAC學(xué)習(xí)的限制數(shù)量。此時(shí)接口學(xué)習(xí)到的MAC地址會(huì)被轉(zhuǎn)換為安全MAC地址，接口學(xué)習(xí)的最大MAC數(shù)量達(dá)到上限后不再學(xué)習(xí)新的MAC地址，僅允許這些MAC地址和交換機(jī)通信。而且接口上安全MAC地址數(shù)達(dá)到限制后，如果收到源MAC地址不存在的報(bào)文，無論目的MAC地址是否存在，交換機(jī)即認(rèn)為有非法用戶攻擊，就會(huì)根據(jù)配置的動(dòng)作對接口做保護(hù)處理。這樣可以阻止其他非信任用戶通過本接口和交換機(jī)通信，提高交換機(jī)與網(wǎng)絡(luò)的安全性。
• 配置端口安全功能后，接口學(xué)習(xí)到的MAC地址會(huì)轉(zhuǎn)換為安全MAC地址，接口學(xué)習(xí)的最大MAC數(shù)量達(dá)到上限后不再學(xué)習(xí)新的MAC地址，僅允許這些MAC地址和交換機(jī)通信。如果接入用戶發(fā)生變動(dòng)，可以通過設(shè)備重啟或者配置安全MAC老化時(shí)間刷新MAC地址表項(xiàng)。對于相對比較穩(wěn)定的接入用戶，如果不希望后續(xù)發(fā)生變化，可以進(jìn)一步使能接口Sticky MAC功能，這樣在保存配置之后，MAC地址表項(xiàng)不會(huì)刷新或者丟失。

”

端口安全配置命令

1. 使能端口安全功能

[Huawei-GigabitEthe.NET0/0/1] port-security enable

?

缺省情況下，未使能端口安全功能。

”

2. 配置端口安全動(dòng)態(tài)MAC學(xué)習(xí)限制數(shù)量

[Huawei-GigabitEthernet0/0/1] port-security max-mac-num max-number

?

缺省情況下，接口學(xué)習(xí)的安全MAC地址限制數(shù)量為1。

”

3. （可選）手工配置安全靜態(tài)MAC地址表項(xiàng)

[Huawei-GigabitEthernet0/0/1] port-security mac-address mac-address vlan vlan-id

4. （可選）配置端口安全保護(hù)動(dòng)作

[Huawei-GigabitEthernet0/0/1] port-security protect-action { protect | restrict | shutdown }

?

• 缺省情況下，端口安全保護(hù)動(dòng)作為restrict。
• 當(dāng)出現(xiàn)靜態(tài)MAC地址漂移時(shí)，接口將執(zhí)行error down操作，同時(shí)發(fā)出告警。
  • 當(dāng)學(xué)習(xí)到的MAC地址數(shù)超過接口限制數(shù)時(shí)，接口將執(zhí)行error down操作，同時(shí)發(fā)出告警。
  • 當(dāng)出現(xiàn)靜態(tài)MAC地址漂移時(shí)，接口將執(zhí)行error down操作，同時(shí)發(fā)出告警。
  • 當(dāng)學(xué)習(xí)到的MAC地址數(shù)超過接口限制數(shù)時(shí)，接口將丟棄源地址在MAC表以外的報(bào)文，同時(shí)發(fā)出告警。
  • 當(dāng)出現(xiàn)靜態(tài)MAC地址漂移時(shí)，接口將丟棄帶有該MAC地址的報(bào)文，同時(shí)發(fā)出告警。
  • 當(dāng)學(xué)習(xí)到的MAC地址數(shù)超過接口限制數(shù)時(shí)，接口將丟棄源地址在MAC表以外的報(bào)文。
  • 當(dāng)出現(xiàn)靜態(tài)MAC地址漂移時(shí)，接口將丟棄帶有該MAC地址的報(bào)文。
  • protect
  • restrict
  • shutdown

”

5. (可選）配置接口學(xué)習(xí)到的安全動(dòng)態(tài)MAC地址的老化時(shí)間

[Huawei-GigabitEthernet0/0/1] port-security aging-time time [ type { absolute | inactivity } ]

?

缺省情況下，接口學(xué)習(xí)的安全動(dòng)態(tài)MAC地址不老化。

”

6. 使能接口Sticky MAC功能

[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky

?

缺省情況下，接口未使能Sticky MAC功能。

”

7. 配置接口Sticky MAC學(xué)習(xí)限制數(shù)量。

[Huawei-GigabitEthernet0/0/1] port-security max-mac-num max-number

?

使能接口Sticky MAC功能后，缺省情況下，接口學(xué)習(xí)的MAC地址限制數(shù)量為1。

”

8. (可選）手動(dòng)配置一條sticky-mac表項(xiàng)

[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky mac-address vlan vlan-id

端口安全配置舉例

安全動(dòng)態(tài)MAC

?

配置要求：

• 在Switch1上部署端口安全。
• GE0/0/1及GE0/0/2接口將學(xué)習(xí)MAC地址的數(shù)量限制為1。當(dāng)該接口連接多臺(tái)PC時(shí)，Switch1需發(fā)出告警，且要求此時(shí)接口依然能正常轉(zhuǎn)發(fā)合法PC的數(shù)據(jù)幀。
• GE0/0/3接口將學(xué)習(xí)MAC地址的數(shù)量限制為2，并且當(dāng)學(xué)習(xí)到的MAC地址數(shù)超出接口限制數(shù)時(shí)，交換機(jī)需發(fā)出告警，并且將接口關(guān)閉。

”

Switch1配置如下：

[Switch1] interface GigabitEthernet 0/0/1
[Switch1-GigabitEthernet 0/0/1] port-security enable
[Switch1-GigabitEthernet 0/0/1] port-security max-mac-num 1
[Switch1-GigabitEthernet 0/0/1] port-security protect-action restrict
[Switch1] interface GigabitEthernet 0/0/2
[Switch1-GigabitEthernet 0/0/2] port-security enable
[Switch1-GigabitEthernet 0/0/2] port-security max-mac-num 1
[Switch1-GigabitEthernet 0/0/2] port-security protect-action restrict
[Switch1] interface GigabitEthernet 0/0/3
[Switch1-GigabitEthernet 0/0/3] port-security enable
[Switch1-GigabitEthernet 0/0/3] port-security max-mac-num 2
[Switch1-GigabitEthernet 0/0/3] port-security protect-action shutdown

配置驗(yàn)證:執(zhí)行命令display mac-address security ，查看動(dòng)態(tài)安全MAC表項(xiàng)。

[Switch1]display mac-address security
MAC address table of slot 0:
----------------------------------------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port                Type      	LSP/LSR-ID  
                       VSI/SI                                              	             		MAC-Tunnel  
----------------------------------------------------------------------------------------------------------------
5489-98ac-71a9 1           -      	-                 GE0/0/3         security  	-           
5489-98b1-7b30 1           -      	-                 GE0/0/1         security  	-           
5489-9815-662b 1           -       	-                 GE0/0/2         security  	-           
----------------------------------------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3

Sticky MAC

?

配置要求：

• 在Switch上部署端口安全。將GE0/0/1~G0/0/3都激活端口安全。
• GE0/0/1及GE0/0/2接口都將學(xué)習(xí)MAC地址的數(shù)量限制為1，并將在這兩個(gè)接口上學(xué)習(xí)到的動(dòng)態(tài)安全MAC地址轉(zhuǎn)換為Sticky MAC地址。
• 對于GE0/0/3將學(xué)習(xí)MAC地址的數(shù)量限制為1，但是通過手工的方式為該接口創(chuàng)建一個(gè)sticky MAC地址表項(xiàng)，將該接口與MAC地址5489-98ac-71a9綁定。各接口違例懲罰保持缺省。

”

Switch配置如下：

[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet 0/0/1] port-security enable
[Switch-GigabitEthernet 0/0/1] port-security max-mac-num 1
[Switch-GigabitEthernet 0/0/1] port-security mac-address sticky
[Switch] interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet 0/0/2] port-security enable
[Switch-GigabitEthernet 0/0/2] port-security max-mac-num 1
[Switch-GigabitEthernet 0/0/2] port-security mac-address sticky
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet 0/0/3] port-security enable
[Switch-GigabitEthernet 0/0/3] port-security max-mac-num 1
[Switch-GigabitEthernet 0/0/3] port-security mac-address sticky
[Switch-GigabitEthernet 0/0/3] port-security mac-address sticky 5489-98ac-71a9 vlan 1

配置驗(yàn)證執(zhí)行命令display mac-address sticky，查看Sticky MAC表項(xiàng)。

[Switch1]display mac-address sticky
MAC address table of slot 0:
-------------------------------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN  Port            Type      LSP/LSR-ID  
               	       VSI/SI                                              		MAC-Tunnel  
-------------------------------------------------------------------------------------------------------
5489-98ac-71a9   1           -      	-      	GE0/0/3         sticky    	-           
5489-98b1-7b30   1           -      	-      	GE0/0/1         sticky   		-           
5489-9815-662b   1           -      	-      	GE0/0/2         sticky    	-           
-------------------------------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3