HUAWEI-portsecurity

Port security  端口安全

 

主要用於接入層設備，面向終端接口（access）

邏輯和思科的一樣，都屬於同樣的東西，

 

但也有些許的不同

處理方式，

cisco默認是err-disable

而huawei則默認不down端口，

 

懲罰措施

 protect-action ?

  protect   Discard packets    //丟棄

  restrict  Discard packets and warning //丟棄並上報錯誤  //默認是這種

  shutdown  Shutdown   //關閉接口，

 

其實話說回來，不管你是哪種處理方式，其目的只有一個，就是保護接入接口的安全

如果才長是安全呢？

可以限制MAC地址的數量，以及具體的MAC地址，如果你隨意的亂接設備，會導致MAC地址變更，那么就會觸發port-security機制導致懲罰

 

端口安全默認沒有開啟

且交換機默認以動態方式學習MAC，並維護自己的MAC地址表

一旦開啟會有幾種形式

1 動態安全學習MAC,(MAC地址沒有老化時間)

2 靜態安全學習MAC,手動去綁定MAC地址

 

開啟了端口安全以后，

可以配置的參數

1 懲罰行為

2 最大的MAC地址數量

3 MAC地址粘滯

4 MAC地址的老化時間（僅動態安全）

 

針對於觸發了安全機制的shutdown，可以配置自動恢復，

這個不用多說，cisco也有，err-recovery，

 

 

上實例

 

 默認兩台設備可以通信

現將e0/0/2接口配置port-security

[Huawei-Ethernet0/0/2]port-security enable

查看MAC地址安全，可以看到MAC為3385

 

 現在將PC2的MAC改掉

 

 

 然后再去測試ping

 

 

 通是肯定不通的了

 

 

 可以看到系統報錯消息，由於觸發了端口安全，將它發的數據全部以第一種方式進行處理（restrict，丟棄並上報）

這時就是動態的學習MAC，如何操作呢？可以把接口shutdown再undo shutdown 就可以解決這個問題

（因為默認沒有老化時間）

 

 然后就可以啦~

 

當然，還有第二種方法，就是設置它的一個老化時間

 

 

 時間單位為分鍾，最小值為1

那么 我們來測試一下吧，其實經過實際的測試，並沒有到1分鍾，接口就可以接受新的MAC了

 

 

 大概是35秒時間吧

 

當然可以視情況而定，一般情況下是這樣的，

像cisco的err-disable是默認的5分鍾，

可以酌情考慮。

 

以上是動態的方式，

如果說要配置多個MAC地址的安全呢？

 

[Huawei-Ethernet0/0/2]port-security max-mac-num ?
  INTEGER<1-4096>  Maximum mac address can learn
[Huawei-Ethernet0/0/2]port-security max-mac-num 2

最多可以支持4096個，當你，你想也能想到，這么多，肯定是應用在匯聚層，

但是不推薦將這玩意放在匯聚層，

除非一種特殊情況，

就是可管理交換下面接入了一台傻瓜交換機，在上游控制這一根線下面的接入數量 ，也是可以的。

那允許兩個，是不是就意味着我可以看到兩個MAC地址了呢~

 

 可以看到，這個接口已經接入兩個MAC了，當第三個MAC接入時，系統就會報錯，告警

 

以上情況可以部署在人員和設備變動較為頻繁時使用，（接口插拔、交換機重啟都可以學習新的MAC地址）

如果說我的工位就在那，一直不動，設備也一直不變，

 

有沒有更加保守的操作呢？

使用sticky粘滯功能，就算交換機重啟，以及接口重啟都不受影響，（這個端口只愛一人，很專一）

interface Ethernet0/0/1
 port-security enable   //開啟端口安全
 port-security mac-address sticky  //開啟端口粘滯

查看

就不再是dis mac-address security了

而是dis mac-addr sticky

 

 

 把PC1的MAC修改一下后，可以再和PC2測試一下，看到系統告警消息

 

 

 如果此時將接口重啟會怎么樣呢？

 

 

 不管你重啟與否，沒關系，

說過了，

我只愛一人，

當然，開啟了sticky的情況下，也可以支持多個MAC.

 

關於err-down的情況

可以執行自動恢復來實現接口的自恢復

但是模擬器里不知為啥沒有這個命令，真實環境中是一定有的、

 

 

 Cause port-security interval 時間，后面的恢復時間和cisco一樣，都是30 - 86400S

 

 

還有一種特殊的情況

之前我們配置了sticky功能的端口安全，

假設現在有一台PC接到了E0/0/1口，並配置了這個接口的sticky，忽然有一天，這哥們心血來潮，想換個工位，於是換到了對面的桌子上，然后網線他也換了，

想一想會發生什么？

交換機上會不會出現相同的MAC地址出現在兩個接口？如果是這樣，那請問數據如何轉發呢？

所以

這個時候一個功能出來了，叫做漂移檢測，而剛才我們所敘述的這個過程叫做MAC地址漂移（頭文字D）

我也想切個圖，做個測試，

但是環境不允許啊~

命令看一下吧，解解饞得了

<sw>
<sw>sys
[sw]port-security static-flapping protect   //全局下開啟
[sw]inter e0/0/1
[sw-Ethernet0/0/1]port-security enable
[sw-Ethernet0/0/1]port-security mac-address sticky //這個功能一定要開戶sticky

具體的效果，如果想起來，用真機補一下命令及效果

 

完

 

 

------------------------------------

CCIE成長之路 --- 梅利