MAC安全、端口安全

MAC安全

华为数通 MAC安全、端口安全
华为数通 MAC安全、端口安全
华为数通 MAC安全、端口安全
  • mac-address static 5489-9802-3611 G0/0/1 vlan 1 # 静态MAC,绑定MAC和端口的关系
  • mac-address blackhole 5489-9802-3633 vlan 1 # 黑洞MAC,直接丢弃该MAC
  • mac-address aging-time 60 # 配置老化时间
  • mac-address learning disable # 禁止MAC地址学习功能可在端口和VLAN下配置VLAN下只有forward
    • discard:根据目的MAC匹配情况,有则转发,无则丢弃
    • forward:直接转发,默认
  • mac-limit maximum 500 # 限制端口MAC地址学习数量,可在端口和VLAN下配置
  • mac-limt alarm enable/disable # 配置告警
  • drop illegal-mac enable # 丢弃全0非法MAC地址报文功能
  • drop illegal-mac alarm # 配置告警
华为数通 MAC安全、端口安全
能够学习到PC1和PC2的MAC,配置了黑洞的MAC无法学习到也就无法ping通,被直接丢弃

端口安全

相当于MAC安全的一个整合,会根据针对端口的保护动作来决定丢弃和绑定哪些MAC。并将学习到的安全MAC转换成静态安全MAC地址

华为数通 MAC安全、端口安全
华为默认是restrict,思科默认是shutdown动作(shutdown如果检测到非法的Mac数量就会关闭接口)
  • port-security enable # 在接口处开启端口安全
  • port-security protect-action # 配置保护动作,默认是restric
    • protect
    • shutdown
    • restric
  • port-security max-mac-num 10 # 配置MAC地址学习限制数量,默认是1
  • port-security aging-time 10 # 配置老化时间,默认是不老化
  • port-security mac-address sticky # 配置粘性MAC功能,把动态学习到的MAC转化为静态MAC
  • port-security mac-address sticky 0000-2222-3333 vlan 1 # 配置sticky静态地址,直接转换成安全静态地址

查看命令

display mac-address security # 查看安全动态MAC表项,在不将类型转换成sticky时,默认开启port-security enable 端口安全可查看该表项
dis mac-address sticky # 查看sticky表项
dis mac-address summary # 查看MAC总表

华为数通 MAC安全、端口安全
默认只学习1个,其他根据默认保护动作restrict丢弃
华为数通 MAC安全、端口安全

MAC地址漂移

一个接口学习到的MAC在同一个VLAN内的其他接口上也学习到,主要的原因有:环路、伪造(刻意修改MAC)

  • mac-learning priority 2 # 配置接口优先级,高优先级覆盖低优先级,在接口下配置该接口的优先级为2,也就是如果在别的比该接口优先级的接口下学习到和当前接口一样的MAC,那么高优先级的接口优先。如果想要学习到别的
  • undo mac-learning priority 0 allow-flapping # 全局下配置不允许相同优先级发生漂移(默认是允许漂移的),每个端口默认优先级是0
  • mac-address flapping trigger/action # 配置发生漂移后的执行动作
    • quit-vlan:退出当前VLAN
    • err-down:关闭接口
  • display mac-address flapping record # 查看漂移记录

MAC-Spoofing-Defend:通过配置信任端口来防止MAC地址漂移
在什么接口配置了该功能,该端口的MAC不会出现在别的端口

mac-spoofing-defend enable # 开启功能,全局模式开启
mac-spoofing-defend enable # 配置信任端口,接口模式配置

作者:Zleoco,如若转载,请注明出处:https://www.zleoco.com/?p=1637