园区网安全-端口安全配置实例与演示-HCIP Datacom认证考试学习

官方微信同电话：17316362402，联系WOLF-LAB（沃尔夫）实验室获取免费HCIP培训学习资料视频

端口安全的作用：

、限制端口学习的mac地址数量，防止mac地址泛洪攻击；

、只允许特定的SMAC地址的数据帧进行通信，防止SMAC地址欺骗攻击。

正常境况下交换机SW1地址如下

MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID 

-------------------------------------------------------------------------------

5489-986c-083d 1           -      -      GE0/0/5         dynamic   0/-        

5489-98cc-1294 1           -      -      GE0/0/2         dynamic   0/-        

-------------------------------------------------------------------------------

@端口安全的工作原理：

、一旦交换机的某一个端口开启端口安全，那么该端口默认只能学习到一个mac地址；

、开启端口安全的接口会将之前学习到的动态mac表象全部删除，以后学习到的mac地址将转换成安全动态的mac地址。

安全MAC地址的分类：

类型定义特点安全动态MAC地址

安全动态的mac地址：

MAC address table of slot 0:

MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID 

-------------------------------------------------------------------------------

-------------------------------------------------------------------------------

port-security max-mac-num   //什么是安全动态的mac地址？

、默认不老化，除非手动配置老化时间；

、设备重启或者端口翻动，表象会被删除。

隐患：假设宿舍A的同学将hub重启了，宿舍B的PC3趁着PC1不在，跟PC2一起来上网，此时PC1回到所设，PC1就上不去了。

就用安全静态的mac地址

安全静态的mac地址：

、安全静态的mac地址表象，需要手动去配置，不让自动学了；

、设备重启或者端口翻动，表象不会被删除；

、静态绑定的配置可以通过dis cur看到，保存在vrpcfg.zip；

、华为模拟器不支持

 port-security enable

 port-security mac-address PC1

缺点：管理员配置量大

sticky mac12MAC address table of slot 0:

MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID 

-------------------------------------------------------------------------------

-------------------------------------------------------------------------------

34interface GigabitEthernet0/0/1

 port-security max-mac-num 2

 port-security mac-address sticky 5489-9839-0445 vlan 1

那么刚才配置的绑定信息保存在哪？

设备启动会自动加载

违反端口安全的处理方式：

丢弃数据包，不报警

丢弃数据包，报警，默认方式

直接shutdown

<span style="font-size:10.5pt;font-family:"">怎样恢复：华为模拟器只支持手动 undo shut，真机可以设置自动恢复。

联系WOLF-LAB（沃尔夫）实验室获取免费学习资料视频
官方微信同电话：17316362402
官方QQ：2569790740
http://www.wolf-lab.com/