《端口安全技术白皮书.docx》由会员分享,可在线阅读,更多相关《端口安全技术白皮书.docx(5页珍藏版)》请在三一办公上搜索。
1、端口安全技术白皮书1端口安全关于本章1.1 介绍1.2 原理描述1.3 应用1.1 介绍端口安全(POrISeCUrity)功能将交换机接口学习到的MAC地址变为安全MAC地址(包括安全动态MAC和StiekyMAC),可以阻止除安全MAC和静态MAC之外的主机通过本接口和交换机通信,从而增强设备安全性。1.2 原理描述端口学习安全MAC地址的方式安全MAC地址分为两种:安全动态MAC与StickyMACo二者定义及区别如下: 安全动态MAC地址:使能端口安全而未使能SIiCkyMAC功能时学习到的MAC地址。缺省情况下,安全动态MAC地址不会被老化,设备重启后安全动态MAC地址会丢失,需要重
2、新学习。 StickyMAC地址:使能端口安全后又使能StickyMAC功能后学习到的MAC地址。SIiCkyMAC地址不会被老化,保存配置后重启设备,SIiCkyMAC地址不会丢失,无需重新学习。未使能接口安全功能时,设备的MAC地址表项可通过动态学习或静态配置。当某个端口使能端口安全功能后,该端口上之前学习到的动态MAC地址表项会被删除,之后学习到的MAC地址将变为安全动态MAC地址,此时该端口仅允许匹配安全MAe地址或静态MAC地址的报文通过。若接着使能StiCkyMAC功能,安全动态MAC地址表项将转化为SIiCkyMAC表项,之后学习到的MAC地址也变为SliCkyMAC地址。直到安
3、全MAC地址数量达到限制,将不再学习MAC地址,并对接口或报文采取配置的保护动作。安全MAC地址学习数限制峡省情况下,每个接口仅可以学习一个安全MAC地址,用户可以配置接口学习安全MAC地址的最大数量限制。端口安全保护动作用户可以配置端口安全的保护动作,当端口学习到的安全MAC地址数量达到限制时,可以选择采取以下某一种动作: protect:当学习到的MAC地址数达到接口限制数时,接口丢弃源地址在MAC表以外的报文。 restrict:当学习到的MAC地址数超过接口限制数时,接口丢弃源地址在MAC表以外的报文,并同时发出告警。 shutdown:当学习到的MAC地址数超过接口限制数时,接口执行
4、ShUtdoWn操作,同时发出告警。缺省情况下,端口安全保护动作为restricto手动指定安全MAC地址表项用户可以通过命令POrt-SeCUritymaC-addresssticky手动配置StiCky-mac表项。CQ说明本文中的配置命令及配置文件均以S7700交换机举例。安全动态MAC的配置在使用端口安全之前,请确保已完成以下任务: 关闭基于接口的MAC地址学习限制功能。 关闭配置MUXVLAN功能。 关闭MAC认证功能。 关闭802.Ix认证功能。 关闭DHCPSnooping的MAC安全功能。1 .配置接口GE1/0/1的端口安全功能。Switchinterfacegigabite
5、thernet1/0/1Switch-GigabitEthernetl/0/1port-securityenable2 .配置安全MAC学习数量限制为5,并配置接口的保护动作为shutdown。Switch-GigabitEthemet1/0/1port-securitymax-mac-num5Switch-GigabitEthernetl/0/1port-securityprotect-actionshutdown3 .使用displaymac-addresssecurity命令查看安全动态MAC地址学习情况。Switchdisplaymac-addresssecurityMAC Addre
6、ss VLAN/VSILearned-From Type0019-21db-25a3 1/-GE1O1Total items displayed = 1Sticky MAC的配置在使用端口安全之前,请确保已完成以下任务: 关闭基于接口的MAC地址学习限制功能。 关闭配置MUX VLAN功能。 关闭MAC认证功能。 关闭802. Ix认证功能。 关闭DHCP Snooping的MAC安全功能。1 .配置接口 GE1/0/2的端口安全功能,并使能StiCkyMAC功能。Switch interface gigabitethernet 1/0/2Switch-GigabitEthemet1/0/2
7、port-security enableSwitch-GigabitEthemet1/0/2 port-security mac-address sticky2 .配置安全MAC学习数量限制为5,并配置接口的保护动作为ShutdownoSwitch-GigabitEthemet1/0/2 port-security max-mac-num 5Switch-GigabitEthemet1/0/2 port-security protect-action shutdown3 . 在接口 GE 1/0/2 上手动添加 MAC 地址为 0001-0001-0001 VLAN2 的 Sticky MAC
8、 表项。 Switch-GigabitEthemet1/0/2 port-security mac-address sticky 0001-0001- 0001 vlan 24 .使用display mac-address sticky命令查看StiCkyMAC地址学习及配置情况。Switch display mac-address stickyMAC Address VLAN/VSILearned-FromType0025-9eff-ffff 1/-0001-0001-0001 2/-GE1O2GE1O2stickystickyTotalitemsdisplayed=2L3应用1.3.1端口
9、安全典型组网应用如图1”所示,公司为了提高信息安全,将SWiICh连接用户侧的接口使能了端口安全功能,并且设置了接口学习MAC地址数的上限为信任的设备总数,这样其他外来人员使用自己带来的PC无法访问公司的网络。Switch的配置文件。sysnameSwitchvlanbatch10interfaceGigabitEthernet1/0/1portlink-typetrunkporttrunkallow-PaSSvlan10port-security port-security port-security port-securityenableprotect-actionprotectmax-mac-num4mac-addresssticky