Port security 埠安全

主要用於接入層裝置，面向終端介面（access）

邏輯和思科的一樣，都屬於同樣的東西，

但也有些許的不同

處理方式，

cisco預設是err-disable

而huawei則預設不down埠，

懲罰措施

protect-action ?

protect Discard packets//丟棄

restrict Discard packets and warning//丟棄並上報錯誤 //預設是這種

shutdown Shutdown //關閉介面，

其實話說回來，不管你是哪種處理方式，其目的只有一個，就是保護接入介面的安全

如果才長是安全呢？

可以限制MAC地址的數量，以及具體的

埠安全預設沒有開啟

且交換機預設以動態方式學習MAC，並維護自己的MAC地址表

一旦開啟會有幾種形式

1 動態安全學習MAC,(MAC地址沒有老化時間)

2 靜態安全學習MAC,手動去繫結MAC地址

開啟了埠安全以後，

可以配置的引數

1 懲罰行為

2 最大的MAC地址數量

3 MAC地址粘滯

4 MAC地址的老化時間（僅動態安全）

針對於觸發了安全機制的shutdown，可以配置自動恢復，

這個不用多說，cisco也有，err-recovery，

上例項

預設兩臺裝置可以通訊

現將e0/0/2介面配置port-security

[Huawei-Ethernet0/0/2]port-security enable

檢視MAC地址安全，可以看到MAC為3385

現在將PC2的MAC改掉

然後再去測試ping

通是肯定不通的了

可以看到系統報錯訊息，由於觸發了埠安全，將它發的資料全部以第一種方式進行處理（restrict，丟棄並上報）

這時就是動態的學習MAC，如何操作呢？可以把介面shutdown再undo shutdown 就可以解決這個問題

（因為預設沒有老化時間）

然後就可以啦~

當然，還有第二種方法，就是設定它的一個老化時間

時間單位為分鐘，最小值為

那麼 我們來測試一下吧，其實經過實際的測試，並沒有到1分鐘，介面就可以接受新的MAC了

大概是35秒時間吧

當然可以視情況而定，一般情況下是這樣的，

像cisco的err-disable是預設的5分鐘，

可以酌情考慮。

以上是動態的方式，

如果說要配置多個MAC地址的安全呢？

[Huawei-Ethernet0/0/2]port-security max-mac-num ?
  INTEGER<1-4096>  Maximum mac address can learn
[Huawei-Ethernet0/0/2]port-security max-mac-num 2

最多可以支援4096個，當你，你想也能想到，這麼多，肯定是應用在匯聚層，

但是不推薦將這玩意放在匯聚層，

除非一種特殊情況，

就是可管理交換下面接入了一臺傻瓜交換機，在上游控制這一根線下面的接入數量 ，也是可以的。

那允許兩個，是不是就意味著我可以看到兩個MAC地址了呢~

可以看到，這個介面已經接入兩個MAC了，當第三個MAC接入時，系統就會報錯，告警

以上情況可以部署在人員和裝置變動較為頻繁時使用，（介面插拔、交換機重啟都可以學習新的MAC地址）

如果說我的工位就在那，一直不動，裝置也一直不變，

有沒有更加保守的操作呢？

使用sticky粘滯功能，就算交換機重啟，以及介面重啟都不受影響，（這個埠只愛一人，很專一）

interface Ethernet0/0/1
 port-security enable   //開啟埠安全
 port-security mac-address sticky  //開啟埠粘滯

檢視

就不再是dis mac-address security了

而是dis mac-addr sticky

把PC1的MAC修改一下後，可以再和PC2測試一下，看到系統告警訊息

如果此時將介面重啟會怎麼樣呢？

不管你重啟與否，沒關係，

說過了，

我只愛一人，

當然，開啟了sticky的情況下，也可以支援多個MAC.

關於err-down的情況

可以執行自動恢復來實現介面的自恢復

但是模擬器裡不知為啥沒有這個命令，真實環境中是一定有的、

Cause port-security interval 時間，後面的恢復時間和cisco一樣，都是30 - 86400S

還有一種特殊的情況

之前我們配置了sticky功能的埠安全，

假設現在有一臺PC接到了E0/0/1口，並配置了這個介面的sticky，忽然有一天，這哥們心血來潮，想換個工位，於是換到了對面的桌子上，然後網線他也換了，

想一想會發生什麼？

交換機上會不會出現相同的MAC地址出現在兩個介面？如果是這樣，那請問資料如何轉發呢？

所以

這個時候一個功能出來了，叫做漂移檢測，而剛才我們所敘述的這個過程叫做MAC地址漂移（頭文字D）

我也想切個圖，做個測試，

但是環境不允許啊~

命令看一下吧，解解饞得了

<sw>
<sw>sys
[sw]port-security static-flapping protect   //全域性下開啟
[sw]inter e0/0/1
[sw-Ethernet0/0/1]port-security enable
[sw-Ethernet0/0/1]port-security mac-address sticky //這個功能一定要開戶sticky

具體的效果，如果想起來，用真機補一下命令及效果

完

------------------------------------

CCIE成長之路 --- 梅利