48小时系统班试听入口

端口安全和端口隔离

发布作者:新盟教育 发布日期:2021-12-03 浏览人数:25000人

一天一个小技巧!

端口安全简介

 

端口安全Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC和Sticky MAC),阻止除安全MAC和静态MAC之外的主机通过本接口和设备通信,从而增强设备的安全性。

 

原理描述

 

01.安全MAC地址分类


未使能端口安全功能时,设备的MAC地址表项可通过动态学习或静态配置。当某个接口使能端口安全功能后,该接口上之前学习到的动态MAC地址表项会被删除,之后学习到的MAC地址将变为安全动态MAC地址,此时该接口仅允许匹配安全MAC地址或静态MAC地址的报文通过。

 

若接着使能Sticky MAC功能,安全动态MAC地址表项将转化为Sticky MAC表项,之后学习到的MAC地址也变为Sticky MAC地址。直到安全MAC地址数量达到限制,将不再学习MAC地址,并对接口或报文采取配置的保护动作。

 

02.超过安全MAC地址限制后得的动作

 

接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是丢弃该报文并上报告警。

 

可以通过配置自动恢复来实现端口down后的自动恢复。

 

error-down auto-recovery cause{auto-defend | bpdu-protection | error-statistics | mac-address-flapping | port--sercurity} interval interval-value

 

应用场景

 

01.端口安全经常使用在以下两种场景

 

应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口攻击。

 

应用在汇聚层设备,通过配置端口安全可以控制接入用户的数量。

 

接入层使用时注意:

 

如果接入用户变动比较频繁,可以通过端口安全把动态MAC地址转换为安全动态MAC地址。这样可以在用户变动时,及时清除绑定的MAC地址表项。

 

如果接入用户变动较少,可以通过端口安全把动态MAC地址转换为Sticky MAC地址。这样在保存配置重启后,绑定的MAC地址表项不会丢失。

 

配置命令

 

prot-security enable

//使能端口安全功能

port-security max-mac-num 5

//配置端口安全动态MAC学习的数量  

display mac-address security

//查看安全动态MAC表项  

port-security mac-address sticky

//使能接口Sticky MAC功能

port-security protect-action {protect | restrict | shutdown}

//配置端口安全保护动作

port-security aging-time

//配置端口安全MAC地址老化时间

 

端口隔离

 

端口隔离的方法和应用场景


01.端口隔离配置

 

port-isolate mode { l2 | all}

//配置端口隔离模式,缺省情况下,端口隔离模式为二层隔离三层互通

port-isolate enable//使能端口隔离功能。

 

端口安全和端口隔离配置

 

给三台交换机三个端口都配置了端口安全,同时为了禁止三台PC通信,配置了端口隔离。

 

02.配置命令

 

[SW]dis current-configuration

#sysname

SW

#

port-isolate mode all

//配置端口隔离模式为二层三层都隔离

#

interface GigabitEthernet0/0/1

port-security enable//使能端口安全

port-security protect-action shutdown

//配置端口安全保护动作为 shutdown

port-security max-mac-num 3  

//配置端口最大MAC地址数量为3个

port-security mac-address sticky

//配置MAC地址模式为 sticky

port-isolate enable group 1  

//端口隔离组1

#

interface GigabitEthernet0/0/2

port-security enable 

port-security protect-action shutdown

port-security max-mac-num 3

port-security mac-address sticky

port-isolate enable group 1

interface GigabitEthernet0/0/3

port-security enable 

port-security protect-action shutdown

port-security max-mac-num 3

port-security mac-address sticky

port-isolate enable group 1

#

 

注:配置多个端口时,可以先配置一个端口组,将需要配置的端口添加进端口组,然后就可同时配置多个端口。

 

如果有朋友需要自学,或者没有很好的学习途径,那么可以看一下这个视频:

http://www.thinkmo.cn/Home/Course/nradio/course_id/50 .html

这是一个零基础入门的教程,对于刚开始接触Linux运维的同学还是很友好的,希望对你有帮助。