华为HCIE认证中端口安全sticky方式基本配置ielab

华为HCIE认证中端口安全sticky方式基本配置端口安全经常使用在接入层，通过配置端口安全可以防止仿冒用户从其他端口攻击，或者汇聚层，通过配置端口安全可以控制接入用户的数量。

针对接入用户安全性要求较高的网络中，可以通过使用端口安全机制，将接口学习到的MAC地址转换为安全动态MAC或Sticky MAC。如果接口学习的最大MAC数量超过规定数量，则设备不再学习新的MAC地址，而只允许这些MAC地址和设备通信。这样可以有效阻止非信任的MAC主机通过本接口和其他主机通信，提高网络的安全性。

Sticky MAC不会被老化，保存配置后，设备上会生成一个包含Stick MAC地址信息的文件（ *.ztbl/*.ctbl/*.dtbl），保存着安全MAC地址信息。重启设备后， Sticky MAC也不会丢失，无需重新学习。

 

在配置端口安全机制之前，需要保证：

[if !supportLists]1. [endif]接口的MAC地址学习限制功能处于关闭状态

[if !supportLists]2. [endif]MUX VLAN 功能未被打开

[if !supportLists]3. [endif]DHCP snooping 的MAC 安全功能被关闭

 

配置方法如下：

1.interface interface-type interface-numbe             //进入需要进行端口安全的接口

2.port-security enable                  //开启端口安全功能，默认情况下，该功能关闭

3. port-security mac-address sticky

//开启接口Sticky MAC功能，默认情况下，该功能未开启

4.port-security maximum max-number 

//配置端口Sticky MAC学习学习限制的数，默认为1.

5.port-security protect-action { protect | restrict | error-down }

//配置端口安全保护动作,缺省保护动作为restrict

6. port-security mac-address sticky mac-address vlan vlan-id

//手动配置一条sticky-mac表项

7. error-down auto-recovery cause portsec-reachedlimit interval intervalvalue

                                                    // 配置error-down 自动恢复

 

检查配置结果：

1.display current-configuration interface interface-type interface-number

// 查看接口配置信息

2.display mac-address security [ vlan vlan-id | interface interface-type interface-number ] *

// 查看安全动态MAC表项

3.display mac-address sticky [ vlan vlan-id | interface interface-type interfacenumber ] *

// 查看Sticky MAC表项

4.display port-security [ interface interface-type interface-number ]

// 查看端口安全信息华为HCIE认证中端口安全sticky方式基本配置