ensp：端口安全

端口安满是一种紧张的网络安全技能，通过控制网络设备端口的访问来防止未经授权的设备接入和数据包的传输。以下是对端口安全原理及其实验配置的具体解释：

一、端口安全原理

基本原理

MAC地址记载：端口安全通过记载连接到互换机端口的以太网MAC地址（网卡号），并只允许特定的MAC地址通过本端口通信来实现安全控制。
克制非法MAC地址：当其他MAC地址尝试通过该端口时，会被克制，从而防止非法设备的接入和数据包的传输。
紧张功能

限制MAC地址数目：端口安全能够限制特定端口上可以学习和担当的MAC地址数目，凌驾这个数目后，新的MAC地址将无法通过该端口举行通信。
掩护步伐：当检测到非法MAC地址或未授权的设备试图通过端口时，端口安全机制会采取一系列掩护步伐，如丢弃非法报文、发送警告消息等。
配置方式

静态绑定：管理员可以通过静态绑定的方式，手动指定允许通过特定端口的MAC地址，这种方式实用于固定不变的网络环境。
动态学习：对于动态变革的网络环境，可以接纳动态学习的方式，让互换机主动学习并记载通过端口的MAC地址。
违规动作

执行计谋：当端口接收到未经允许的MAC地址流量时，互换机会根据预先设置的计谋执行相应的违规动作，如关闭端口、发送警告消息等。
安全上风

防止未经授权的设备接入：端口安全能够有效防止未经授权的设备接入网络，镌汰潜在的安全风险。
防止MAC地址泛洪攻击：通过对端口上的MAC地址举行严酷控制，可以有效防止MAC地址泛洪攻击，掩护网络的稳固性和可用性。
二、实验配置

实验拓扑

实验配置步骤

<Huawei>sys      #进入体系视窗

Enter system view, return user view with Ctrl+Z.

[Huawei]sysname s1      #改名

[s1]int g0/0/1      #进入接口

[s1-GigabitEthernet0/0/1]port-security enable      #启用端口安全功能

[s1-GigabitEthernet0/0/1]port-security max-mac-num 2      #设置mac最大学习数目为2

[s1-GigabitEthernet0/0/1]port-security protect-action shutdown      #掩护动作为关闭接口

[s1-GigabitEthernet0/0/1]q

[s1]dis mac-add      #检察mac地址表

[s1]int g0/0/2      #进入接口

[s1-GigabitEthernet0/0/2]port-security enable      

[s1-GigabitEthernet0/0/2]port-security max-mac-num 1

[s1-GigabitEthernet0/0/2]port-security mac-address sticky 5489-9809-5783 vlan 1

      #尝试设置静态MAC地址，但提示Sticky MAC未启用

Error: Sticky MAC is not enabled.

[s1-GigabitEthernet0/0/2]port-security mac-address sticky      #启用Sticky MAC功能

[s1-GigabitEthernet0/0/2]port-security mac-address sticky 5489-9809-5783 vlan 1

      #再次尝试设置静态MAC地址

[s1-GigabitEthernet0/0/2]q

[s1]dis mac-add

[s1]int g0/0/3

[s1-GigabitEthernet0/0/3]port-security enable

[s1-GigabitEthernet0/0/3]port-security mac-address sticky      #启用Sticky MAC功能

[s1-GigabitEthernet0/0/3]port-security max-mac-num 1

[s1-GigabitEthernet0/0/3]q

[s1]dis mac-add

MAC address table of slot 0:

-------------------------------------------------------------------------------

MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  

               VSI/SI                                              MAC-Tunnel  

-------------------------------------------------------------------------------

5489-9809-5783 1           -      -      GE0/0/2         sticky    -           

-------------------------------------------------------------------------------

Total matching items on slot 0 displayed = 1

[s1]dis mac-add

MAC address table of slot 0:

-------------------------------------------------------------------------------

MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  

               VSI/SI                                              MAC-Tunnel  

-------------------------------------------------------------------------------

5489-9809-5783 1           -      -      GE0/0/2         sticky    -           

5489-98fd-042c 1           -      -      GE0/0/3         sticky    -           

-------------------------------------------------------------------------------

Total matching items on slot 0 displayed = 2

[s1]

通过以上步骤，可以乐成配置互换机的端口安全功能，包罗启用端口安全、设置最大MAC地址数目、设置掩护动作以及配置静态MAC地址。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。