华为-端口安全技术白皮书

端口安全技术白皮书文档版本01发布日期2012-8-31华为技术有限公司文档版本()华为专有和保密信息版权所有©华为技术有限公司i版权所有©华为技术有限公司2012。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：客户服务邮箱：support@huawei.com客户服务电话：4008302118技术白皮书-端口安全1端口安全文档版本()华为专有和保密信息版权所有©华为技术有限公司11端口安全关于本章1.1介绍1.2原理描述1.3应用1.1介绍端口安全（PortSecurity）功能将交换机接口学习到的MAC地址变为安全MAC地址（包括安全动态MAC和StickyMAC），可以阻止除安全MAC和静态MAC之外的主机通过本接口和交换机通信，从而增强设备安全性。1.2原理描述端口学习安全MAC地址的方式安全MAC地址分为两种：安全动态MAC与StickyMAC。二者定义及区别如下：安全动态MAC地址：使能端口安全而未使能StickyMAC功能时学习到的MAC地址。缺省情况下，安全动态MAC地址不会被老化，设备重启后安全动态MAC地址会丢失，需要重新学习。StickyMAC地址：使能端口安全后又使能StickyMAC功能后学习到的MAC地址。StickyMAC地址不会被老化，保存配置后重启设备，StickyMAC地址不会丢失，无需重新学习。未使能接口安全功能时，设备的MAC地址表项可通过动态学习或静态配置。当某个端口使能端口安全功能后，该端口上之前学习到的动态MAC地址表项会被删除，之后学习到的MAC地址将变为安全动态MAC地址，此时该端口仅允许匹配安全MAC地址或静态MAC地址的报文通过。若接着使能StickyMAC功能，安全动态MAC地址表项将转化为StickyMAC表项，之后学习到的MAC地址也变为StickyMAC地址。直技术白皮书-端口安全1端口安全文档版本()华为专有和保密信息版权所有©华为技术有限公司2到安全MAC地址数量达到限制，将不再学习MAC地址，并对接口或报文采取配置的保护动作。安全MAC地址学习数限制缺省情况下，每个接口仅可以学习一个安全MAC地址，用户可以配置接口学习安全MAC地址的最大数量限制。端口安全保护动作用户可以配置端口安全的保护动作，当端口学习到的安全MAC地址数量达到限制时，可以选择采取以下某一种动作：protect：当学习到的MAC地址数达到接口限制数时，接口丢弃源地址在MAC表以外的报文。restrict：当学习到的MAC地址数超过接口限制数时，接口丢弃源地址在MAC表以外的报文，并同时发出告警。shutdown：当学习到的MAC地址数超过接口限制数时，接口执行Shutdown操作，同时发出告警。缺省情况下，端口安全保护动作为restrict。手动指定安全MAC地址表项用户可以通过命令port-securitymac-addresssticky手动配置sticky-mac表项。本文中的配置命令及配置文件均以S7700交换机举例。安全动态MAC的配置在使用端口安全之前，请确保已完成以下任务：关闭基于接口的MAC地址学习限制功能。关闭配置MUXVLAN功能。关闭MAC认证功能。关闭802.1x认证功能。关闭DHCPSnooping的MAC安全功能。1.配置接口GE1/0/1的端口安全功能。[Switch]interfacegigabitethernet1/0/1[Switch-GigabitEthernet1/0/1]port-securityenable2.配置安全MAC学习数量限制为5，并配置接口的保护动作为shutdown。[Switch-GigabitEthernet1/0/1]port-securitymax-mac-num5[Switch-GigabitEthernet1/0/1]port-securityprotect-actionshutdown3.使用displaymac-addresssecurity命令查看安全动态MAC地址学习情况。[Switch]displaymac-addresssecurity-------------------------------------------------------------------------------技术白皮书-端口安全1端口安全文档版本()华为专有和保密信息版权所有©华为技术有限公司3MACAddressVLAN/VSILearned-FromType-------------------------------------------------------------------------------0019-21db-25a31/-GE1/0/1security-------------------------------------------------------------------------------Totalitemsdisplayed=1StickyMAC的配置在使用端口安全之前，请确保已完成以下任务：关闭基于接口的MAC地址学习限制功能。关闭配置MUXVLAN功能。关闭MAC认证功能。关闭802.1x认证功能。关闭DHCPSnooping的MAC安全功能。1.配置接口GE1/0/2的端口安全功能，并使能StickyMAC功能。[Switch]interfacegigabitethernet1/0/2[Switch-GigabitEthernet1/0/2]port-securityenable[Switch-GigabitEthernet1/0/2]port-securitymac-addresssticky2.配置安全MAC学习数量限制为5，并配置接口的保护动作为shutdown。[Switch-GigabitEthernet1/0/2]port-securitymax-mac-num5[Switch-GigabitEthernet1/0/2]port-securityprotect-actionshutdown3.在接口GE1/0/2上手动添加MAC地址为0001-0001-0001、VLAN2的StickyMAC表项。[Switch-GigabitEthernet1/0/2]port-securitymac-addresssticky0001-0001-0001vlan24.使用displaymac-addresssticky命令查看StickyMAC地址学习及配置情况。[Switch]displaymac-addresssticky-------------------------------------------------------------------------------MACAddressVLAN/VSILearned-FromType-------------------------------------------------------------------------------0025-9eff-ffff1/-GE1/0/2sticky0001-0001-00012/-GE1/0/2sticky-------------------------------------------------------------------------------Totalitemsdisplayed=2技术白皮书-端口安全1端口安全文档版本()华为专有和保密信息版权所有©华为技术有限公司41.3应用1.3.1端口安全典型组网应用如图1-1所示，公司为了提高信息安全，将Switch连接用户侧的接口使能了端口安全功能，并且设置了接口学习MAC地址数的上限为信任的设备总数，这样其他外来人员使用自己带来的PC无法访问公司的网络。图1-1配置端口安全示例组网图Switch的配置文件。#sysnameSwitch#vlanbatch10#interfaceGigabitEthernet1/0/1portlink-typetrunkporttrunkallow-passvlan10port-securityenableport-securityprotect-actionprotectport-securitymax-mac-num4port-securitymac-addresssticky#return