华为HCIE认证中端口安全sticky方式基本配置端口安全经常使用在接入层,通过配置端口安全可以防止仿冒用户从其他端口攻击,或者汇聚层,通过配置端口安全可以控制接入用户的数量。
针对接入用户安全性要求较高的网络中,可以通过使用端口安全机制,将接口学习到的MAC地址转换为安全动态MAC或Sticky MAC。如果接口学习的最大MAC数量超过规定数量,则设备不再学习新的MAC地址,而只允许这些MAC地址和设备通信。这样可以有效阻止非信任的MAC主机通过本接口和其他主机通信,提高网络的安全性。
Sticky MAC不会被老化,保存配置后,设备上会生成一个包含Stick MAC地址信息的文件( *.ztbl/*.ctbl/*.dtbl),保存着安全MAC地址信息。重启设备后, Sticky MAC也不会丢失,无需重新学习。
在配置端口安全机制之前,需要保证:
[if !supportLists]1. [endif]接口的MAC地址学习限制功能处于关闭状态
[if !supportLists]2. [endif]MUX VLAN 功能未被打开
[if !supportLists]3. [endif]DHCP snooping 的MAC 安全功能被关闭
配置方法如下:
1.interface interface-type interface-numbe //进入需要进行端口安全的接口
2.port-security enable //开启端口安全功能,默认情况下,该功能关闭
3. port-security mac-address sticky
//开启接口Sticky MAC功能,默认情况下,该功能未开启
4.port-security maximum max-number
//配置端口Sticky MAC学习学习限制的数,默认为1.
5.port-security protect-action { protect | restrict | error-down }
//配置端口安全保护动作,缺省保护动作为restrict
6. port-security mac-address sticky mac-address vlan vlan-id
//手动配置一条sticky-mac表项
7. error-down auto-recovery cause portsec-reachedlimit interval intervalvalue
// 配置error-down 自动恢复
检查配置结果:
1.display current-configuration interface interface-type interface-number
// 查看接口配置信息
2.display mac-address security [ vlan vlan-id | interface interface-type interface-number ] *
// 查看安全动态MAC表项
3.display mac-address sticky [ vlan vlan-id | interface interface-type interfacenumber ] *
// 查看Sticky MAC表项
4.display port-security [ interface interface-type interface-number ]
// 查看端口安全信息华为HCIE认证中端口安全sticky方式基本配置
