端口安全-网络运维
| 2020-05-04 13:12:20 标签:
大家好,我是一枚从事IT外包的网络运维工程师,在网络中,存在着大量网络攻击,相对安全就很重要了,这里跟大家介绍一种安全技术端口安全。
端口安全简介
介绍端口安全的定义和目的。
端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC和Sticky MAC),阻止除安全MAC和静态MAC之外的主机通过本接口和设备通信,从而增强设备的安全性。
端口安全原理描述
通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作,说明端口安全的实现原理。
安全MAC地址的分类
安全MAC地址分为:安全动态MAC与Sticky MAC。
图1、 安全MAC地址的说明
未使能端口安全功能时,设备的MAC地址表项可通过动态学习或静态配置。当某个接口使能端口安全功能后,该接口上之前学习到的动态MAC地址表项会被删除,之后学习到的MAC地址将变为安全动态MAC地址,此时该接口仅允许匹配安全MAC地址或静态MAC地址的报文通过。若接着使能Sticky MAC功能,安全动态MAC地址表项将转化为Sticky MAC表项,之后学习到的MAC地址也变为Sticky MAC地址。直到安全MAC地址数量达到限制,将不再学习MAC地址,并对接口或报文采取配置的保护动作。
超过安全MAC地址限制数后的动作
接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是丢弃该报文并上报告警。
图2、 端口安全的保护动作
