什么是端口安全-优快云博客

文章目录

在这里插入图片描述

端口安全是根据MAC地址对网络流量进行控制和管理的安全功能，该功能不仅将MAC地址与端口绑定，还可以限制端口学到的MAC地址的数量。它将端口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC、安全静态MAC和Sticky MAC）后，端口只允许源MAC地址在安全MAC地址列表里的报文通过，源MAC地址不在安全MAC地址列表里的报文被认为非法的用户报文。端口安全功能可以阻止非法用户通过本端口和交换机通信，从而增强网络的安全性。

为什么需要端口安全

非法用户获取到设备某端口的MAC地址以后，企图以该端口的MAC地址为目的MAC地址与设备通信，从而发起攻击。比如非法用户构造大量源MAC地址变化的报文并发送给交换机后，交换机的MAC表项资源就可能被耗尽。当MAC表资源被耗尽后，即使交换机再收到正常的报文，也无法学习到报文中的源MAC地址。再比如，在对接入用户的安全性要求较高的网络中，外来人员使用自己带来的电脑访问公司网络，会给网络带来极大的安全隐患。

为避免这种攻击及隐患，设备可以使能端口安全功能，将端口学习到的动态MAC地址转换为安全MAC地址。此时，端口上之前学习到的动态MAC地址表项将被删除，端口重新学习的MAC数量达到上限后不再学习新的MAC地址。对于端口收到的报文，如果其中的源MAC地址在安全MAC地址表项中，则放通该报文进来；如果其中的源MAC地址在安全MAC地址表项中不存在，均视为非法用户攻击，并实施丢弃报文、告警上报、或者关闭端口的保护动作。

端口安全如何工作

MAC地址表中的表项可以分为动态表项、静态表项和黑洞表项。而安全MAC是一种业务类型的MAC地址表项，是通过动态表项转换来的。

使能端口安全后，并实施丢弃报文、告警上报、或者关闭端口的保护动作。

安全MAC地址的分类

安全MAC地址分为安全动态MAC、安全静态MAC与Sticky MAC，详细情况请参见下表。

表1-1 安全MAC地址的说明

在这里插入图片描述

MAC地址变化情况

当端口安全功能或者Sticky MAC功能使能/去使能时，端口上的MAC地址会变化或者被删除，详细情况请参见下表。

在这里插入图片描述

超过安全MAC地址限制数后的动作

使能端口安全后，端口默认只能学习一个安全MAC，可以手工设置端口学习安全MAC数目。端口上安全MAC地址数达到限制后，如果收到源MAC地址是安全MAC列表里不存在的MAC地址，无论目的MAC地址是否存在，交换机即认为有非法用户攻击，就会根据配置的动作对端口做保护处理。端口安全保护动作有restrict、protect和shutdown三种。端口安全的保护动作请参见下表，缺省情况下，保护动作是丢弃该报文并上报告警。

表1-2 超过安全MAC地址限制的端口保护动作

在这里插入图片描述
出现静态MAC地址漂移时的动作

安全MAC地址也属于静态MAC地址，端口上配置静态MAC地址漂移的检测功能后，如果收到报文的源MAC地址已经存在在其他端口的静态MAC表中，交换机则认为存在安全静态MAC地址漂移，就会根据配置的动作对端口做保护处理。端口安全保护动作有restrict、protect和shutdown三种。

表1-3 静态MAC地址漂移的端口保护动作

在这里插入图片描述

网络中如何应用端口安全

端口安全经常使用在以下几种场景：

应用在接入层设备，通过配置端口安全可以防止仿冒用户从其他端口攻击。
应用在汇聚层设备，通过配置端口安全可以控制接入用户的数量。

接入层使用场景

如下图所示，用户PC1和PC3通过IP Phone接入SwitchA设备，用户PC2直接接入设备SwitchA，为了保证接入设备SwitchA的安全性，防止非法用户攻击，可以在接入设备SwitchA连接终端的端口上配置端口安全功能，限定交换机端口下所连接的主机MAC。组网中的终端MAC都确定后，如果接入设备SwitchA收到源MAC地址不在安全MAC列表里的报文，无论目的MAC地址是否存在，接入交换机即认为有非法用户攻击，就会根据配置的动作对端口做保护处理。在接入交换机配置端口安全功能，可以防止以下两点：