端口安全
背景
- 防御DHCP拒绝服务攻击;
- 防御MAC泛洪攻击;
定义
- 端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
安全MAC分类
| 类型 | 定义 | 特点 |
|---|---|---|
| 安全静态MAC地址 | 使能端口安全时,手工配置的静态MAC | 手工配置,静态MAC,不会因为重启丢失 |
| 安全动态MAC地址 | 使能端口安全而未使能StickyMAC功能时转换的MAC地址。 | 设备重启后表项会丢失,需要重新学习。缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化。 |
| StickymAC地址 | 使能端口安全后又同时使能StickyMAC功能后转换到的MAC地址。 | 不会被老化,手动保存配置后重启设备不会丢失。 |
应用场景
端口安全经常使用在以下几种场景:
- 应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口
攻击。
- 应用在汇聚层设备,通过配置端口安全可以控制接入用户的数量。
命令
#对接口启用端口安全
int g编号
port-security enable
#设置端口安全模式为Sticky
port-security mac-address sticky
#设置安全MAC最大数量
port-security max-mac-num 数量
#设置违规流量动作
port-security protect-action restrict|protect|shutdown
| 动作 | 说明 |
|---|---|
| restrict | 丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict。 |
| protect | 只丢弃源MAC地址不存在的报文,不上报告警。 |
| shutdown | 接口状态被置为error-down,并上报告警。默认情况下,接口关闭后不会自动恢复,则可在网络管理人员在接口视图下使用restart命令重启接口进行恢复。如果用户希望被关闭的接口可以自动恢复,则可在error-down前通过在系统视图下执行error-down auto-recovery cause port-security Interval interval-value 命令使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间,使能关闭的接口经过延时时间后能够自动恢复。 |
