端口安全技術(shù)：你的網(wǎng)絡(luò)防線在哪里？

端口安全技術(shù)背景

企業(yè)要求接入層交換機上每個連接終端設(shè)備的接口均只允許一臺PC接入網(wǎng)絡(luò)（限制MAC地址接入數(shù)量）。如果有員工試圖在某個接口下級聯(lián)一臺小交換機或集線器從而擴展上網(wǎng)接口，那么這種行為應(yīng)該被發(fā)現(xiàn)或被禁止，如下圖所示：

創(chuàng)新互聯(lián)公司成立于2013年，我們提供高端成都網(wǎng)站建設(shè)、重慶網(wǎng)站制作、成都網(wǎng)站設(shè)計、網(wǎng)站定制、成都營銷網(wǎng)站建設(shè)、微信小程序、微信公眾號開發(fā)、成都網(wǎng)站推廣服務(wù)，提供專業(yè)營銷思路、內(nèi)容策劃、視覺設(shè)計、程序開發(fā)來完成項目落地，為發(fā)電機回收企業(yè)提供源源不斷的流量和訂單咨詢。

另一些企業(yè)還可能會要求只有MAC地址為可信任的終端發(fā)送的數(shù)據(jù)幀才允許被交換機轉(zhuǎn)發(fā)到上層網(wǎng)絡(luò)，員工不能私自更換位置（變更交換機的接入端口），如下圖所示:

通過交換機的端口安全（port security）特性可以解決這些問題。

端口安全概述

通過在交換機的特定接口上部署端口安全，可以限制接口的MAC地址學(xué)習(xí)數(shù)量，并且配置出現(xiàn)越限時的懲罰措施。

端口安全通過將接口學(xué)習(xí)到的動態(tài)MAC地址轉(zhuǎn)換為安全MAC地址（包括安全動態(tài)MAC，安全靜態(tài)MAC和Sticky MAC），阻止非法用戶通過本接口和交換機通信，從而增強設(shè)備的安全性。

端口安全技術(shù)原理

安全MAC地址通常與安全保護動作結(jié)合使用，常見的安全保護動作有：

Restrict：丟棄源MAC地址不存在的報文并上報告警。
Protect：只丟棄源MAC地址不存在的報文，不上報告警。
Shutdown：接口狀態(tài)被置為error-down，并上報告警。

端口安全技術(shù)應(yīng)用

在對接入用戶的安全性要求較高的網(wǎng)絡(luò)中，可以配置端口安全功能及端口安全動態(tài)MAC學(xué)習(xí)的限制數(shù)量。此時接口學(xué)習(xí)到的MAC地址會被轉(zhuǎn)換為安全MAC地址，接口學(xué)習(xí)的最大MAC數(shù)量達到上限后不再學(xué)習(xí)新的MAC地址，僅允許這些MAC地址和交換機通信。而且接口上安全MAC地址數(shù)達到限制后，如果收到源MAC地址不存在的報文，無論目的MAC地址是否存在，交換機即認為有非法用戶攻擊，就會根據(jù)配置的動作對接口做保護處理。這樣可以阻止其他非信任用戶通過本接口和交換機通信，提高交換機與網(wǎng)絡(luò)的安全性。

配置端口安全功能后，接口學(xué)習(xí)到的MAC地址會轉(zhuǎn)換為安全MAC地址，接口學(xué)習(xí)的最大MAC數(shù)量達到上限后不再學(xué)習(xí)新的MAC地址，僅允許這些MAC地址和交換機通信。如果接入用戶發(fā)生變動，可以通過設(shè)備重啟或者配置安全MAC老化時間刷新MAC地址表項。對于相對比較穩(wěn)定的接入用戶，如果不希望后續(xù)發(fā)生變化，可以進一步使能接口Sticky MAC功能，這樣在保存配置之后，MAC地址表項不會刷新或者丟失。

端口安全配置命令

(1)使能端口安全功能：

[Huawei-GigabitEthernet0/0/1] port-security enable

缺省情況下，未使能端口安全功能。

(2)配置端口安全動態(tài)MAC學(xué)習(xí)限制數(shù)量：

[Huawei-GigabitEthernet0/0/1] port-security max-mac-num max-number

缺省情況下，接口學(xué)習(xí)的安全MAC地址限制數(shù)量為1。

(3)（可選）手工配置安全靜態(tài)MAC地址表項：

[Huawei-GigabitEthernet0/0/1] port-security mac-address mac-address vlan vlan-id

(4)（可選）配置端口安全保護動作：

[Huawei-GigabitEthernet0/0/1] port-security protect-action { protect | restrict | shutdown }

缺省情況下，端口安全保護動作為restrict。

當(dāng)出現(xiàn)靜態(tài)MAC地址漂移時，接口將執(zhí)行error down操作，同時發(fā)出告警：

當(dāng)學(xué)習(xí)到的MAC地址數(shù)超過接口限制數(shù)時，接口將執(zhí)行error down操作，同時發(fā)出告警。
當(dāng)出現(xiàn)靜態(tài)MAC地址漂移時，接口將執(zhí)行error down操作，同時發(fā)出告警。
當(dāng)學(xué)習(xí)到的MAC地址數(shù)超過接口限制數(shù)時，接口將丟棄源地址在MAC表以外的報文，同時發(fā)出告警。
當(dāng)出現(xiàn)靜態(tài)MAC地址漂移時，接口將丟棄帶有該MAC地址的報文，同時發(fā)出告警。
當(dāng)學(xué)習(xí)到的MAC地址數(shù)超過接口限制數(shù)時，接口將丟棄源地址在MAC表以外的報文。
當(dāng)出現(xiàn)靜態(tài)MAC地址漂移時，接口將丟棄帶有該MAC地址的報文。
protect
restrict
shutdown

(5)(可選）配置接口學(xué)習(xí)到的安全動態(tài)MAC地址的老化時間：

[Huawei-GigabitEthernet0/0/1] port-security aging-time time [ type { absolute | inactivity } ]

缺省情況下，接口學(xué)習(xí)的安全動態(tài)MAC地址不老化。

(6)使能接口Sticky MAC功能

[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky

缺省情況下，接口未使能Sticky MAC功能。

(7)配置接口Sticky MAC學(xué)習(xí)限制數(shù)量。

[Huawei-GigabitEthernet0/0/1] port-security max-mac-num max-number

[Huawei-GigabitEthernet0/0/1] port-security max-mac-num max-number

使能接口Sticky MAC功能后，缺省情況下，接口學(xué)習(xí)的MAC地址限制數(shù)量為1。

(8)(可選）手動配置一條sticky-mac表項：

[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky mac-address vlan vlan-id

端口安全配置舉例

安全動態(tài)MAC

配置要求：

在Switch1上部署端口安全。
GE0/0/1及GE0/0/2接口將學(xué)習(xí)MAC地址的數(shù)量限制為1。當(dāng)該接口連接多臺PC時，Switch1需發(fā)出告警，且要求此時接口依然能正常轉(zhuǎn)發(fā)合法PC的數(shù)據(jù)幀。
GE0/0/3接口將學(xué)習(xí)MAC地址的數(shù)量限制為2，并且當(dāng)學(xué)習(xí)到的MAC地址數(shù)超出接口限制數(shù)時，交換機需發(fā)出告警，并且將接口關(guān)閉。

Switch1配置如下：

[Switch1] interface GigabitEthernet 0/0/1
[Switch1-GigabitEthernet 0/0/1] port-security enable
[Switch1-GigabitEthernet 0/0/1] port-security max-mac-num 1
[Switch1-GigabitEthernet 0/0/1] port-security protect-action restrict
[Switch1] interface GigabitEthernet 0/0/2
[Switch1-GigabitEthernet 0/0/2] port-security enable
[Switch1-GigabitEthernet 0/0/2] port-security max-mac-num 1
[Switch1-GigabitEthernet 0/0/2] port-security protect-action restrict
[Switch1] interface GigabitEthernet 0/0/3
[Switch1-GigabitEthernet 0/0/3] port-security enable
[Switch1-GigabitEthernet 0/0/3] port-security max-mac-num 2
[Switch1-GigabitEthernet 0/0/3] port-security protect-action shutdown

配置驗證:執(zhí)行命令display mac-address security ，查看動態(tài)安全MAC表項。

[Switch1]display mac-address security
MAC address table of slot 0:
----------------------------------------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port                Type      	LSP/LSR-ID  
                       VSI/SI                                              	             		MAC-Tunnel  
----------------------------------------------------------------------------------------------------------------
5489-98ac-71a9 1           -      	-                 GE0/0/3         security  	-           
5489-98b1-7b30 1           -      	-                 GE0/0/1         security  	-           
5489-9815-662b 1           -       	-                 GE0/0/2         security  	-           
----------------------------------------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3

Sticky MAC

配置要求：

在Switch上部署端口安全。將GE0/0/1~G0/0/3都激活端口安全。
GE0/0/1及GE0/0/2接口都將學(xué)習(xí)MAC地址的數(shù)量限制為1，并將在這兩個接口上學(xué)習(xí)到的動態(tài)安全MAC地址轉(zhuǎn)換為Sticky MAC地址。
對于GE0/0/3將學(xué)習(xí)MAC地址的數(shù)量限制為1，但是通過手工的方式為該接口創(chuàng)建一個sticky MAC地址表項，將該接口與MAC地址5489-98ac-71a9綁定。各接口違例懲罰保持缺省。

Switch配置如下：

[Switch] interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet 0/0/1] port-security enable
[Switch-GigabitEthernet 0/0/1] port-security max-mac-num 1
[Switch-GigabitEthernet 0/0/1] port-security mac-address sticky
[Switch] interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet 0/0/2] port-security enable
[Switch-GigabitEthernet 0/0/2] port-security max-mac-num 1
[Switch-GigabitEthernet 0/0/2] port-security mac-address sticky
[Switch] interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet 0/0/3] port-security enable
[Switch-GigabitEthernet 0/0/3] port-security max-mac-num 1
[Switch-GigabitEthernet 0/0/3] port-security mac-address sticky
[Switch-GigabitEthernet 0/0/3] port-security mac-address sticky 5489-98ac-71a9 vlan 1

配置驗證執(zhí)行命令display mac-address sticky，查看Sticky MAC表項：

[Switch1]display mac-address sticky
MAC address table of slot 0:
-------------------------------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN  Port            Type      LSP/LSR-ID  
               	       VSI/SI                                              		MAC-Tunnel  
-------------------------------------------------------------------------------------------------------
5489-98ac-71a9   1           -      	-      	GE0/0/3         sticky    	-           
5489-98b1-7b30   1           -      	-      	GE0/0/1         sticky   		-           
5489-9815-662b   1           -      	-      	GE0/0/2         sticky    	-           
-------------------------------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3

本文名稱：端口安全技術(shù)：你的網(wǎng)絡(luò)防線在哪里？
URL鏈接：http://uogjgqi.cn/article/dhsecch.html

掃二維碼與項目經(jīng)理溝通

我們在微信上24小時期待你的聲音

解答本文疑問/技術(shù)咨詢/運營咨詢/技術(shù)建議/互聯(lián)網(wǎng)交流

av激情亚洲男人的天堂国语,日韩欧美精品一中文字幕,无码av一区二区三区无码,国产又色又爽又刺激的a片,国产又色又爽又刺激的a片

端口安全技術(shù)：你的網(wǎng)絡(luò)防線在哪里？

端口安全技術(shù)背景

端口安全概述

端口安全技術(shù)原理

端口安全技術(shù)應(yīng)用

端口安全配置命令

端口安全配置舉例

安全動態(tài)MAC

Sticky MAC

掃二維碼與項目經(jīng)理溝通

其他資訊

行業(yè)動態(tài)

企業(yè)網(wǎng)站建設(shè)的重要性！

服務(wù)項目

網(wǎng)站建設(shè)

移動端/APP

微信/小程序

技術(shù)支持

其它服務(wù)

更多服務(wù)項目

聯(lián)系吧在百度地圖上找到我們

電話：13518219792

av激情亚洲男人的天堂国语,日韩欧美精品一中文字幕,无码av一区二区三区无码,国产又色又爽又刺激的a片,国产又色又爽又刺激的a片

端口安全技術(shù)：你的網(wǎng)絡(luò)防線在哪里？

端口安全技術(shù)背景

端口安全概述

端口安全技術(shù)原理

端口安全技術(shù)應(yīng)用

端口安全配置命令

端口安全配置舉例

安全動態(tài)MAC

Sticky MAC

掃二維碼與項目經(jīng)理溝通

其他資訊

行業(yè)動態(tài)

企業(yè)網(wǎng)站建設(shè)的重要性！

服務(wù)項目

網(wǎng)站建設(shè)

移動端/APP

微信/小程序

技術(shù)支持

其它服務(wù)

更多服務(wù)項目

聯(lián)系吧 在百度地圖上找到我們

電話：13518219792

企業(yè)網(wǎng)站建設(shè)的重要性！

聯(lián)系吧在百度地圖上找到我們