华为数据中心5800交换机01-09 端口安全配置

9端口安全配置关于本章

9.1 简介

介绍端口安全的定义和目的。

9.2 原理描述

通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作，说明端口安

全的实现原理。

9.3 应用场景

介绍端口安全常见的应用场景。

9.4 配置注意事项

介绍端口安全的配置注意事项。

9.5 缺省配置

介绍端口安全的缺省配置。

9.6 配置端口安全

端口安全（Port Security）功能将设备接口学习到的MAC地址变为安全MAC地址（包

括安全动态MAC和Sticky MAC），可以阻止除安全MAC和静态MAC之外的主机通过

本接口和交换机通信，从而增强设备安全性。

9.7 配置举例

结合组网需求、配置思路来了解实际网络中端口安全的应用场景，并提供配置文件。

9.1 简介

介绍端口安全的定义和目的。

端口安全（Port Security）通过将接口学习到的动态MAC地址转换为安全MAC地址

（包括安全动态MAC和Sticky MAC），阻止非法用户通过本接口和交换机通信，从而

增强设备的安全性。

9.2 原理描述

通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作，说明端口安

全的实现原理。

安全MAC地址的分类

安全MAC地址分为：安全动态MAC与Sticky MAC。

表9-1安全MAC地址的说明

l接口使能端口安全功能时，接口上之前学习到的动态MAC地址表项将被删除，之后学习到的MAC地址将变为安全动态MAC地址。

l接口使能Sticky MAC功能时，接口上的安全动态MAC地址表项将转化为Sticky MAC地址，

之后学习到的MAC地址也变为Sticky MAC地址。

l接口去使能端口安全功能时，接口上的安全动态MAC地址将被删除，重新学习动态MAC地

址。

l接口去使能Sticky MAC功能时，接口上的Sticky MAC地址，会转换为安全动态MAC地址。超过安全MAC地址限制数后的动作

接口上安全MAC地址数达到限制后，如果收到源MAC地址不存在的报文，端口安全则

认为有非法用户攻击，就会根据配置的动作对接口做保护处理。缺省情况下，保护动

作是丢弃该报文并上报告警。

表9-2端口安全的保护动作

9.3 应用场景

介绍端口安全常见的应用场景。

端口安全经常使用在以下几种场景：

l应用在接入层设备，通过配置端口安全可以防止仿冒用户从其他端口攻击。

l应用在汇聚层设备，通过配置端口安全可以控制接入用户的数量。

接入层使用场景

如图9-1，用户PC1和PC3通过IP Phone接入SwitchA设备，用户PC2直接接入设备

SwitchA，为了保证接入设备安全性，防止非法用户攻击，可以在接入设备SwitchA的

接口上配置端口安全功能。

图9-1端口安全使用在接入设备的组网场景

PC1PC2PC3

l如果接入用户变动比较频繁，可以通过端口安全把动态MAC地址转换为安全动态MAC地

址。这样可以在用户变动时，及时清除绑定的MAC地址表项。

l如果接入用户变动较少，可以通过端口安全把动态MAC地址转换为Sticky MAC地址。这样在保存配置重启后，绑定的MAC地址表项不会丢失。

汇聚层使用场景

如图9-2，树状组网中，多个用户通过SwitchA和汇聚层设备Switch进行通信。为了保证

汇聚设备的安全性，控制接入用户的数量，可以在汇聚设备配置端口安全功能，同时

指定安全MAC地址的限制数。

图9-2端口安全使用在汇聚层设备的组网场景

9.4 配置注意事项

介绍端口安全的配置注意事项。

涉及网元

无需其他网元配合。

License支持

端口安全特性是交换机的基本特性，无需获得License许可即可应用此功能。版本支持

表9-3支持本特性的最低软件版本

特性依赖和限制

l端口安全功能与MUX VLAN功能互斥，不能同时配置。

l不能在同一接口下配置端口安全功能与MAC地址学习限制功能。

9.5 缺省配置

介绍端口安全的缺省配置。

表9-4端口安全的缺省配置

9.6 配置端口安全

端口安全（Port Security）功能将设备接口学习到的MAC地址变为安全MAC地址（包

括安全动态MAC和Sticky MAC），可以阻止除安全MAC和静态MAC之外的主机通过

本接口和交换机通信，从而增强设备安全性。

前置任务

在配置端口安全之前，需完成以下任务：

l关闭基于接口的MAC地址学习限制功能。

l关闭配置MUX VLAN功能。

l关闭DHCP Snooping的MAC安全功能。

9.6.1 配置安全MAC功能

背景信息

在对接入用户的安全性要求较高的网络中，可以配置端口安全功能，将接口学习到的

MAC地址转换为安全动态MAC或Sticky MAC，接口学习的最大MAC数量达到上限后

不再学习新的MAC地址，只允许这些MAC地址和设备通信。这样可以阻止其他非信任

的MAC主机通过本接口和其他主机通信，提高网络的安全性。

缺省情况下，安全动态MAC表项不会被老化，但可以通过在接口上配置安全动态MAC

老化时间使其变为可以老化，设备重启后安全动态MAC地址会丢失，需要重新学习。操作步骤

步骤1执行命令system-view，进入系统视图。

步骤2执行命令interface interface-type interface-number，进入接口视图。

步骤3执行命令port-security enable，使能端口安全功能。

缺省情况下，未使能端口安全功能。

步骤4（可选）执行命令port-security maximum max-number，配置端口安全动态MAC学习限制数量。

缺省情况下，接口学习的安全MAC地址限制数量为1。

步骤5（可选）执行命令port-security protect-action { protect | restrict | error-down }，配置端口安全保护动作。

缺省情况下，端口安全保护动作为restrict。

端口安全保护动作有以下三种：

l protect：当学习到的MAC地址数达到接口限制数时，接口丢弃源地址在MAC表以外的报文。

l restrict：当学习到的MAC地址数超过接口限制数时，接口丢弃源地址在MAC表以外的报文，并同时发出告警。

l error-down：当学习到的MAC地址数超过接口限制数时，将接口Error-Down，同时发出告警。