S5710交换机端口安全:port-security配置时间1分钟不生效

发布时间:  2016-01-16 浏览次数:  148 下载次数:  0
问题描述

S5710交换机配置端口安全port-security aging-time时间为1分钟老化不生效(超过1分钟,甚至更长时间mac表项还存在)

告警信息

处理过程

1、通过端口安全port-security aging-time命令的特性(当端口安全动态MAC的老化时间小于全局的MAC老化时间时,需要等到全局老化时间到达后才能老化该接口的安全动态MAC地址)可知:aging-time配置1分钟,小于全局默认的5分钟,那么端口安全学习的mac老化时间以5分钟为准。

2、经测试,经过全局老化时间5分钟,mac表项还不老化。确认此时测试主机与交换机的连接已经被断开,不会发数据包刷新mac表项的老化时间。

3、使用命令查看mac-address表项信息如下:

[Huawei]display mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID 
               VSI/SI    MAC-Tunnel 
-------------------------------------------------------------------------------
xxx-xxxx-xxxx 10          -      -      GE0/0/10        static  -          
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 1

结论:从上可以看出学习mac地址的类型为static,而非安全动态学习mac表项的:security。

4、mac表项static表明在交换机配置了静态绑定项,固定存在,不会消失(重启交换机该表项也不会消失,验证此点)。

根因

1、在交换机接口下配置了静态MAC地址绑定表项,该表项不会消失,不会老化。

2、当端口安全动态MAC的老化时间小于全局的MAC老化时间时,需要等到全局老化时间到达后才能老化该接口的安全动态MAC地址(aging-time配置1分钟,小于全局默认的5分钟,那么端口安全学习的mac老化时间以5分钟为准)。

解决方案

1、保证端口安全动态MAC地址老化时间大于全局老化时间。

2、删除接口的静态绑定表项,改为自动学习,使用display mac-address确认如下:

[Huawei]display mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID 
               VSI/SI    MAC-Tunnel 
------------------------------------------------------------------------------- 
xxxx-xxxx-xxxx 10          -      -      GE0/0/10        security  -          
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 1

建议与总结
1、经验证,该表项端口安全动态MAC地址老化时间受全局mac表老化时间与port-security aging-time时间控制。同时还要保证该MAC表项非静态表项。

END