端口安全简介
介绍端口安全的定义和目的。
端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC和Sticky MAC),阻止除安全MAC和静态MAC之外的主机通过本接口和设备通信,从而增强设备的安全性。
端口安全原理描述
通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作,说明端口安全的实现原理。
安全MAC地址的分类
安全MAC地址分为:安全动态MAC与Sticky MAC。
安全动态MAC地址
使能端口安全而未使能Sticky MAC功能时转换的MAC地址。
设备重启后表项会丢失,需要重新学习。
缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化。
Sticky MAC地址
使能端口安全后又同时使能Sticky MAC功能后转换到的MAC地址。
不会被老化,手动保存配置后重启设备不会丢失。
未使能端口安全功能时,设备的MAC地址表项可通过动态学习或静态配置。当某个接口使能端口安全功能后,该接口上之前学习到的动态MAC地址表项会被删除,之后学习到的MAC地址将变为安全动态MAC地址,此时该接口仅允许匹配安全MAC地址或静态MAC地址的报文通过。若接着使能Sticky MAC功能,安全动态MAC地址表项将转化为Sticky MAC表项,之后学习到的MAC地址也变为Sticky MAC地址。直到安全MAC地址数量达到限制,将不再学习MAC地址,并对接口或报文采取配置的保护动作。
超过安全MAC地址限制数后的动作
接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是丢弃该报文并上报告警。
restrict
丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。
说明:
设备收到非法MAC地址的报文时,每30s至少告警1次,至多告警2次。
protect
只丢弃源MAC地址不存在的报文,不上报告警。
shutdown
接口状态被置为error-down,并上报告警。
默认情况下,接口关闭后不会自动恢复,只能由网络管理人员执行undo shutdown命令手动恢复,也可以在接口视图下执行restart命令重启接口。
介绍端口安全常见的应用场景。 端口安全经常使用在以下几种场景: - 应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口攻击。
- 应用在汇聚层设备,通过配置端口安全可以控制接入用户的数量。
接入层使用场景如图11-1,用户PC1和PC3通过IP Phone接入RouterA设备,用户PC2直接接入设备RouterA,为了保证接入设备安全性,防止非法用户攻击,可以在接入设备RouterA的接口上配置端口安全功能。 图11-1 端口安全使用在接入设备的组网场景
- 如果接入用户变动比较频繁,可以通过端口安全把动态MAC地址转换为安全动态MAC地址。这样可以在用户变动时,及时清除绑定的MAC地址表项。
- 如果接入用户变动较少,可以通过端口安全把动态MAC地址转换为Sticky MAC地址。这样在保存配置重启后,绑定的MAC地址表项不会丢失。
汇聚层使用场景如图11-2,树状组网中,多个用户通过RouterA和汇聚层设备Router进行通信。为了保证汇聚设备的安全性,控制接入用户的数量,可以在汇聚设备Router配置端口安全功能,同时指定安全MAC地址的限制数。 图11-2 端口安全使用在汇聚层设备的组网场景
|