交换机端口安全

端口安全

  • 端口安全(PortSecurity)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。

1、安全mac地址分类

  • 安全动态MAC地址:接口启用端口安全后,学习到的MAC地址都为安全动态MAC地址,默认学习到的没有老化时间,设备重启后需要重新学习(交换机接口没有启用端口安全,学习到的MAC地址默认是有老化时间的)
  • 安全静态MAC地址:接口启用端口安全后,手动绑定的MAC地址
  • StickyMAC地址:接口启用端口安全后并配置sticky特性,可以实现自动绑定MAC地址。绑定的MAC地址设备重启后也不会丢失。
    • 在网络正常情况下连接主机的接口启用端口并配置sticky特性,再结合端口上最大MAC地址的活跃数量来阻止非法主机连接本机口和交换机通信(因为一般情况下,交换机连接主机的端口只会有一个MAC地址)

2、实验操作

  • kali上实施mac泛洪,生成虚假的源MAC地址发送报文到交换机,使交换机学习大量的虚假MAC地址,将交换机的MAC地址表占满,从而交换机后续转发正常的用户流量都会采用广播方式发送,kali就可以截获到对应流量

    python 复制代码
    #在kali中输入,实现Mac泛红
    macof
  • 当华为交换机上启用了端口安全后,默认的接口可以学习的安全MAC地址为1个,其他主机发送的流量检测到MAC地址为不安全MAC地址,从而流量全部限制(默认动作)

python 复制代码
#启用端口安全
<Huawei>sys
[Huawei]int g0/0/10
[Huawei-GigabitEthernet0/0/10]port-security enable 

#sticky 特性地址
[Huawei-GigabitEthernet0/0/10]port-security mac-address sticky 

#配置接口可以学习的MAC地址最大数量
[Huawei-GigabitEthernet0/0/10]port-security max-mac-num 4

#配置当接口出现违规流量后的动作
[Huawei-GigabitEthernet0/0/10]port-security protect-action [protect|restrict|shutdown]
#protect:丢弃不告警
#restrict:丢弃并告警
#shutdown:直接将物理接口关闭
相关推荐
Vahala0623-孔勇2 小时前
微服务网关深度设计:从Spring Cloud Gateway到Envoy,流量治理与安全认证实战指南
java·安全·微服务·云原生
独行soc2 小时前
2025年渗透测试面试题总结-98(题目+回答)
网络·安全·web安全·adb·面试·渗透测试·安全狮
key065 小时前
《数据出境安全评估办法》企业应对策略
网络·人工智能·安全
AORO20256 小时前
遨游科普:什么是对讲机?没有网络的山区对讲机可以用吗?
网络·5g·安全·信息与通信
Hello.Reader8 小时前
Kafka 安全SASL 认证全栈实战从 JAAS 到 Kerberos、PLAIN、SCRAM、OAUTH 与委托令牌
分布式·安全·kafka
xixixi777778 小时前
SOC(安全运营中心)
网络·安全·soc·安全运营中心
Lowjin_16 小时前
计算机网络-RIP协议
网络·计算机网络·智能路由器
介一安全17 小时前
【APK安全】组件安全核心风险与防御指南
网络安全·安全性测试·apk安全
lypzcgf19 小时前
Coze源码分析-资源库-编辑插件-后端源码-安全与错误处理
安全·插件·coze·coze源码分析·智能体平台·ai应用平台·agent平台
粟悟饭&龟波功20 小时前
【网络安全】一、入门篇:读懂 HTTP 协议
安全·web安全·http