2.4 端口安全及实践在线视频

2.4 端口安全及实践

端口安全（Port Security）功能将设备接口学习到的MAC地址变为安全MAC地址（包括安全动态MAC、安全静态MAC和Sticky MAC），可以阻止除安全MAC和静态MAC之外的主机通过本接口和设备通信，从而增强设备安全性。

1端口学习安全MAC地址的方式

安全MAC地址分为：安全动态MAC、安全静态MAC与Sticky MAC。定义及区别如下：

² 安全动态MAC地址：使能端口安全而未使能Sticky MAC功能时学习到的MAC地址。缺省情况下，安全动态MAC地址不会被老化，设备重启后安全动态MAC地址会丢失，需要重新学习。

² 安全静态MAC地址：使能端口安全而未使能Sticky MAC功能时，手工配置的静态MAC地址，安全静态MAC地址不会被老化。

² Sticky MAC地址：使能端口安全后又使能Sticky MAC功能后，学习到的MAC地址。Sticky MAC地址不会被老化，保存配置后重启设备，Sticky MAC地址不会丢失，无需重新学习。

未使能端口安全功能时，设备的MAC地址表项可通过动态学习或静态配置。当某个接口使能端口安全功能后，该接口上之前学习到的动态MAC地址表项会被删除，之后学习到的MAC地址将变为安全动态MAC地址，此时该接口仅允许匹配安全MAC地址或静态MAC地址的报文通过。若接着使能Sticky MAC功能，安全动态MAC地址表项将转化为Sticky MAC表项，之后学习到的MAC地址也变为Sticky MAC地址。直到安全MAC地址数量达到限制，将不再学习MAC地址，并对接口或报文采取配置的保护动作。

2配置端口安全

在对接入用户的安全性要求较高的网络中，可以配置端口安全功能，将接口学习到的MAC地址转换为安全动态MAC、安全静态MAC或Sticky MAC，接口学习的最大MAC数量达到上限后不再学习新的MAC地址，只允许这些MAC地址和设备通信。这样可以阻止其他非信任的MAC主机通过本接口和交换机通信，提高设备与网络的安全性。

缺省情况下，安全动态MAC表项不会被老化，但可以通过在接口上配置安全动态MAC老化时间使其变为可以老化，设备重启后安全动态MAC地址会丢失，需要重新学习。安全静态MAC表项不老化且保存配置后重启不会丢失。Sticky MAC不会被老化，保存配置后重启设备，Sticky MAC也不会丢失，无需重新学习。

具体配置方法如下。

（1）执行命令interface interface-type interface-number，进入接口视图。

（2）执行命令port-security enable，使能端口安全功能。缺省情况下，未使能端口安全功能。

（3）执行命令port-security mac-address mac-address vlan vlan-id，手工配置安全静态MAC地址表项。

（4）执行命令port-security mac-address sticky，使能接口Sticky MAC功能。缺省情况下，接口未使能Sticky MAC功能。

（5）执行命令port-security max-mac-num max-number，配置端口安全动态MAC学习限制数量。缺省情况下，接口学习的安全MAC地址限制数量为1。

（6）执行命令port-security protect-action {protect | restrict | shutdown}，配置端口安全保护动作。缺省情况下，端口安全保护动作为restrict。

端口安全保护动作有以下三种：

² protect：当学习到的MAC地址数达到接口限制数时，接口丢弃源地址在MAC表以外的报文。

² restrict：当学习到的MAC地址数超过接口限制数时，接口丢弃源地址在MAC表以外的报文，并同时发出告警。

² shutdown：当学习到的MAC地址数超过接口限制数时，将接口error down，同时发出告警。

默认情况下，接口关闭后不会自动恢复，只能由网络管理人员执行undo shutdown命令手动恢复，也可以在接口视图下执行restart命令重启接口。

如果用户希望被关闭的接口可以自动恢复，则可在接口error-down前通过在系统视图下执行error-down auto-recovery cause port-security interval interval-value命令使能接口状态自动恢复为Up的功能，并设置接口自动恢复为Up的延时时间，使被关闭的接口经过延时时间后能够自动恢复。

3端口安全配置示例

通过MSTP配置、链路聚合配置，形成的拓扑图的基础上，在LSW2交换机上添加交换机LSW5以及PC5、PC6、PC7等电脑，形成本实验拓扑图，如图所示。其中添加设备用于端口安全配置测试。

1. 实验名称

端口安全配置实验

2. 实验目的

（1）学习掌握MAC地址表以及端口安全知识；

（2）掌握端口安全配置方法。

3. 实验拓扑图

 端口安全配置实验拓扑

4. 实验内容

用于端口配置测试的设备连接在LSW2的G0/0/4接口，所以端口安全的配置主要是在交换机LSW2的G0/0/4端口中进行。

（1）开启端口安全

（2）设置Sticky MAC功能

（3）设置动态学习的最大MAC地址数量为2。

（4）配置安全保护功能，当学习到MAC地址数量超过最大限制数量时，关闭接口。

（5）设置接口自动恢复功能，要求接口关闭后，2分钟后自动开启接口。

5 实验步骤

（1）初始配置

为便于测试实验，将LSW2交换即端口G0/0/4划入VLAN40，给PC5、PC6、PC7分别配置IP地址：192.168.40.5/24，192.168.40.6/24；192.168.40.7/24。

（2）端口安全配置

端口安全的配置主要是在交换机LSW2的G0/0/4端口中进行。

[LSW2]int g/0/4

[LSW2-GigabitEthernet0/0/4]port-secirity enable

[LSW2-GigabitEthernet0/0/4]port-security mac-address sticky

[LSW2-GigabitEthernet0/0/4]port-security max-mac-num 2

[LSW2-GigabitEthernet0/0/4]port-security protect-action shutdown

[LSW2-GigabitEthernet0/0/4]quit

[LSW2]error-down auto-recovery cause port-security interval 120

（3）端口安全测试

用PC5、PC6、PC7分别去访问其他VLAN主机，前面任意两台可以访问网络，当第三台主机访问网络时，LSW2的G0/0/4端口shutdown。

由于设置为2分钟自动恢复，因此，等待2分钟后，LSW2的G0/0/4端口up。