文章目录
前言
在此声明以太网交换安全都不做实例讲解,等以太网交换安全更新完毕后,会有对所学到知识点搭建综合拓扑进行详细讲解。
一、端口安全产生原因
有些企业有其特殊需求,例如要求每个终端连接接口下只允许一台主机进行连接,不允许员工私自更换位置等,我们可以使用端口安全(port security)功能进行需求实现。
二、安全端口配置类型
我们着重讲解一下概念的意思,具体他们之间关系请看下面思维导图。
- 安全动态MAC地址:可以理解为配置此类型的端口安全设备只学习
第一个来到这里报文的源MAC地址,并把该源MAC加入设备安全名单内。 - 安全静态MAC地址:就是
手工进行配置确定进入设备安全名单的源MAC地址,可以在服务器或者可信任设备连接端口进行配置。 - Sticky MAC地址:这个就是上面二者的
结合体,Stick MAC会进行动态的学习,学到到的MAC会自动进行静态绑定,适合大范围固定机位使用。
三、MAC地址飘移防止与检测产生原因
MAC地址飘移我个人一般叫做MAC地址表震荡,二者表达的为同一种含义,他们含义为同一个交换机上或者一交换机同一vlan内有两个端口学习到了同一个mac地址,后学到的会将原先学习的mac地址表项进行覆盖,这种同一个mac地址在两个端口频繁迁移的现象就是__mac地址表飘移现象__。
mac地址表飘移现象出现有两种可能原因,第一是网络内产生环路,第二就是黑客恶意攻击。我们mac地址防飘移与检测技术主要是对第二种现象进行使用的,因为对第一种现象使用只是治标不治本,想要根治环路还是需要配置stp、mstp、rstp等。
四、防止MAC地址飘移实现方式及具体适用范围
实现方式一共有两种,分别是配置接口mac地址不同学习优先级(越高越优先)和配置不允许相同优先级接口mac地址飘移。
1.防止MAC地址飘移实现方式
__配置接口mac地址不同学习优先级:__就是在发生地址表飘移的端口内将其中某一个端口的mac地址优先级提高,这样再有同一个mac地址被两个甚至多个端口学习到时就不会保留优先级低较低端口所学习的mac地址。
__配置不允许相同优先级接口mac地址飘移:__就是对后来报文源mac进行学习,如若学习到与之前源mac相同就直接丢弃(慎用)。
2.具体适用范围
具体适用范围分为两种,第一是基于vlan的mac地址飘移检测,第二是基于v全局的mac地址飘移检测 。
__基于vlan的mac地址飘移检测:__可以检测指定vlan下所有mac地址是否发生飘移,可以选择告警、阻断端口、阻断mac地址等保护动作。
__基于v全局的mac地址飘移检测:__可以检测所有mac地址是否发生飘移,如发生飘移设备会报警到网关系统,用户也可指定发生飘移后处理动作例如:关闭接口或者退出vlan。
五、端口安全配置命令
1.使能端口安全功能
#缺省情况下,未使能端口安全功能
[Huawei-GigabitEthernet0/0/1] port-security enable
2.配置端口安全动态MAC学习限制数量
#缺省情况下,接口学习的安全MAC地址限制数量为1
Huawei-GigabitEthernet0/0/1] port-security max-mac-num max-number
3.(可选)手工配置安全静态MAC地址表项
Huawei-GigabitEthernet0/0/1] port-security mac-address mac-address vlan vlan-id
4.(可选)配置端口安全保护动作
缺省情况下,端口安全保护动作为restrict。
Huawei-GigabitEthernet0/0/1] port-security protect-action {
protect | restrict | shutdown
5.(可选)配置接口学习到的安全动态MAC地址的老化时间
缺省情况下,接口学习的安全动态MAC地址不老化。
Huawei-GigabitEthernet0/0/1] port-security aging-time time [ type {
absolute | inactivity } ]
6.使能接口Sticky MAC功能
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky
7.配置接口Sticky MAC学习限制数量。
#使能接口Sticky MAC功能后,缺省情况下,接口学习的MAC地址限制数量为1。
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num max-number
8.(可选)手动配置一条sticky-mac表项
Huawei-GigabitEthernet0/0/1] port-security mac-address sticky mac-address vlan vlan-id
9.查看安全MAC地址:
#查看安全动态MAC表项。
display mac-address security [ vlan vlan-id | interface-type interface-number ] * [ verbose ]
#查看配置的安全静态MAC表项。
display mac-address sec-config [ vlan vlan-id | interface-type interface-number ] * [ verbose ]
#查看Sticky MAC表项。
display mac-address sticky [ vlan vlan-id | interface-type interface-number ] * [ verbose ]
六、MAC地址飘移防止与检测配置命令
1.配置接口学习MAC地址的优先级
#缺省情况下,接口学习MAC地址的优先级为0,数值越大优先级越高。
[Huawei-GigabitEthernet0/0/1] mac-learning priority priority-id
2.配置禁止MAC地址漂移时报文的处理动作为丢弃
#缺省情况下,禁止MAC地址漂移时报文的处理动作是转发
[Huawei-GigabitEthernet0/0/1] mac-learning priority flapping-defend action discard
3.配置不允许相同优先级的接口发生MAC地址漂移
#缺省情况下,允许相同优先级的接口发生MAC地址漂移
[Huawei] undo mac-learning priority priority-id allow-flapping
4.配置MAC地址漂移检测功能
#缺省情况下,已经配置了对交换机上所有VLAN进行MAC地址漂移检测的功能。
Huawei-vlan2] mac-address flapping detection
5.(可选)配置MAC地址漂移检测的VLAN白名单
#缺省情况下,没有配置MAC地址漂移检测的VLAN白名单
[Huawei] mac-address flapping detection exclude vlan {
vlan-id1 [ to vlan-id2 ] } &<1-10>
6.(可选)配置发生漂移后接口的处理动作
#缺省情况下,对超过MAC地址学习数限制的报文采取丢弃动作。
Huawei-GigabitEthernet0/0/1] mac-address flapping action {
quit-vlan | error-down }
7.(可选)配置MAC地址漂移表项的老化时间
#缺省情况下,MAC地址漂移表项的老化时间为300秒
[Huawei] mac-address flapping aging-time aging-time
8.配置MAC地址漂移检测功能
[Huawei-vlan2] loop-detect eth-loop {
[ block-mac ] block-time block-time retry-times retry-times | alarm-only }
配置命令来自华为官方!