一、端口安全的核心理论
安全MAC地址类型
安全动态MAC:启用端口安全后动态学习的MAC地址,设备重启后丢失,需重新学习。
安全静态MAC:手动配置的MAC地址,永久生效且不会被老化。
Sticky MAC:动态学习后自动转换为静态MAC,保存配置后重启仍保留。
关键功能
MAC地址绑定:限制端口仅允许指定MAC地址通信。
MAC地址学习限制:控制端口可学习的最大MAC数量。
违规动作:检测非法流量时触发预设动作(丢弃、告警、关闭端口)。
违规模式
Restrict:丢弃非法报文并生成告警(推荐使用)。
Protect:静默丢弃非法报文,不记录日志。
Shutdown:关闭端口并告警,需管理员手动恢复或配置自动恢复。
展示拓扑
能够PC1和PC2能够通信
测试外来入侵电脑连接g0/0/2端口
测试结果
二、基础配置步骤
启用端口安全
<Huawei> system-view [Huawei] interface GigabitEthernet0/0/1 [Huawei-GigabitEthernet0/0/1] port-security enable # 启用端口安全设置最大MAC地址数量
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num 3 # 允许最多3个MAC地址绑定MAC地址
静态绑定:
[Huawei-GigabitEthernet0/0/1] port-security mac-address 0011-2233-4455Sticky MAC(动态学习并自动保存):
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky
配置违规动作
[Huawei-GigabitEthernet0/0/1] port-security protect-action shutdown # 违规时关闭端口配置自动恢复(可选)
[Huawei] error-down auto-recovery cause port-security interval 300 # 端口关闭后300秒自动恢复验证配置
[Huawei] display port-security interface GigabitEthernet0/0/1 # 查看端口安全状态
三、典型应用场景配置
办公室接入控制(单设备限制)
interface GigabitEthernet0/0/1 port-security enable port-security max-mac-num 1 # 仅允许1个设备接入 port-security mac-address sticky # 自动绑定首次连接的MAC地址会议室多设备临时接入
interface GigabitEthernet0/0/2 port-security enable port-security max-mac-num 5 # 允许最多5个设备 port-security protect-action restrict # 丢弃非法流量并记录日志服务器高安全区域
interface GigabitEthernet0/0/3 port-security enable port-security mac-address 0000-AAAA-BBBB # 严格绑定服务器MAC port-security protect-action shutdown # 非法接入时关闭端口
四、进阶功能与注意事项
MAC地址老化时间
[Huawei-GigabitEthernet0/0/1] port-security aging-time 800 # 设置动态MAC老化时间为800秒
端口模式要求
端口需设置为
access模式,Trunk端口需明确允许的VLAN。
故障排查
端口误关闭:使用
display interface brief查看端口状态,通过restart命令或自动恢复配置恢复。配置不生效:检查端口模式是否为
access,并确保未超过最大MAC限制