端口安全技术白皮书.docx

端口安全技术白皮书1端口安全关于本章1.1 介绍1.2 原理描述1.3 应用1.1 介绍端口安全(POrISeCUrity)功能将交换机接口学习到的MAC地址变为安全MAC地址(包括安全动态MAC和StiekyMAC),可以阻止除安全MAC和静态MAC之外的主机通过本接口和交换机通信，从而增强设备安全性。1.2 原理描述端口学习安全MAC地址的方式安全MAC地址分为两种：安全动态MAC与StickyMACo二者定义及区别如下： 安全动态MAC地址：使能端口安全而未使能SIiCkyMAC功能时学习到的MAC地址。缺省情况下，安全动态MAC地址不会被老化，设备重启后安全动态MAC地址会丢失，需要重新学习。 StickyMAC地址：使能端口安全后又使能StickyMAC功能后学习到的MAC地址。SIiCkyMAC地址不会被老化，保存配置后重启设备，SIiCkyMAC地址不会丢失，无需重新学习。未使能接口安全功能时，设备的MAC地址表项可通过动态学习或静态配置。当某个端口使能端口安全功能后，该端口上之前学习到的动态MAC地址表项会被删除，之后学习到的MAC地址将变为安全动态MAC地址，此时该端口仅允许匹配安全MAe地址或静态MAC地址的报文通过。若接着使能StiCkyMAC功能，安全动态MAC地址表项将转化为SIiCkyMAC表项，之后学习到的MAC地址也变为SliCkyMAC地址。直到安全MAC地址数量达到限制，将不再学习MAC地址，并对接口或报文采取配置的保护动作。安全MAC地址学习数限制峡省情况下，每个接口仅可以学习一个安全MAC地址，用户可以配置接口学习安全MAC地址的最大数量限制。端口安全保护动作用户可以配置端口安全的保护动作，当端口学习到的安全MAC地址数量达到限制时，可以选择采取以下某一种动作： protect：当学习到的MAC地址数达到接口限制数时，接口丢弃源地址在MAC表以外的报文。 restrict：当学习到的MAC地址数超过接口限制数时，接口丢弃源地址在MAC表以外的报文，并同时发出告警。 shutdown：当学习到的MAC地址数超过接口限制数时，接口执行ShUtdoWn操作,同时发出告警。缺省情况下，端口安全保护动作为restricto手动指定安全MAC地址表项用户可以通过命令POrt-SeCUritymaC-addresssticky手动配置StiCky-mac表项。CQ说明本文中的配置命令及配置文件均以S7700交换机举例。安全动态MAC的配置在使用端口安全之前，请确保已完成以下任务： 关闭基于接口的MAC地址学习限制功能。 关闭配置MUXVLAN功能。 关闭MAC认证功能。 关闭802.Ix认证功能。 关闭DHCPSnooping的MAC安全功能。1 .配置接口GE1/0/1的端口安全功能。Switchinterfacegigabitethernet1/0/1Switch-GigabitEthernetl/0/1port-securityenable2 .配置安全MAC学习数量限制为5,并配置接口的保护动作为shutdown。Switch-GigabitEthemet1/0/1port-securitymax-mac-num5Switch-GigabitEthernetl/0/1port-securityprotect-actionshutdown3 .使用displaymac-addresssecurity命令查看安全动态MAC地址学习情况。Switchdisplaymac-addresssecurityMAC Address VLAN/VSILearned-From Type0019-21db-25a3 1/-GE1O1Total items displayed = 1Sticky MAC的配置在使用端口安全之前，请确保已完成以下任务： 关闭基于接口的MAC地址学习限制功能。 关闭配置MUX VLAN功能。 关闭MAC认证功能。 关闭802. Ix认证功能。 关闭DHCP Snooping的MAC安全功能。1 .配置接口 GE1/0/2的端口安全功能，并使能StiCkyMAC功能。Switch interface gigabitethernet 1/0/2Switch-GigabitEthemet1/0/2 port-security enableSwitch-GigabitEthemet1/0/2 port-security mac-address sticky2 .配置安全MAC学习数量限制为5,并配置接口的保护动作为ShutdownoSwitch-GigabitEthemet1/0/2 port-security max-mac-num 5Switch-GigabitEthemet1/0/2 port-security protect-action shutdown3 . 在接口 GE 1/0/2 上手动添加 MAC 地址为 0001-0001-0001 > VLAN2 的 Sticky MAC 表项。 Switch-GigabitEthemet1/0/2 port-security mac-address sticky 0001-0001- 0001 vlan 24 .使用display mac-address sticky命令查看StiCkyMAC地址学习及配置情况。Switch display mac-address stickyMAC Address VLAN/VSILearned-FromType0025-9eff-ffff 1/-0001-0001-0001 2/-GE1O2GE1O2stickystickyTotalitemsdisplayed=2L3应用1.3.1端口安全典型组网应用如图1”所示，公司为了提高信息安全，将SWiICh连接用户侧的接口使能了端口安全功能，并且设置了接口学习MAC地址数的上限为信任的设备总数，这样其他外来人员使用自己带来的PC无法访问公司的网络。Switch的配置文件。sysnameSwitchvlanbatch10interfaceGigabitEthernet1/0/1portlink-typetrunkporttrunkallow-PaSSvlan10port-security port-security port-security port-securityenableprotect-actionprotectmax-mac-num4mac-addresssticky