所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
S1720, S2700, S5700, S6720 V200R010C00 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制和风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、业务与管理隔离配置、安全风险配置、PKI配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置Sticky MAC功能

配置Sticky MAC功能

背景信息

在对接入用户的安全性要求较高的网络中,可以配置端口安全功能及端口安全动态MAC学习的限制数量。此时接口学习到的MAC地址会被转换为安全MAC地址,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,仅允许这些MAC地址和交换机通信。而且接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,无论目的MAC地址是否存在,交换机即认为有非法用户攻击,就会根据配置的动作对接口做保护处理。这样可以阻止其他非信任用户通过本接口和交换机通信,提高交换机与网络的安全性。

Sticky MAC功能一般使用在终端用户变更较少的网络中。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令interface interface-type interface-number,进入接口视图。
  3. 执行命令port-security enable,使能端口安全功能。

    缺省情况下,未使能端口安全功能。

  4. 执行命令port-security mac-address sticky,使能接口Sticky MAC功能。

    缺省情况下,接口未使能Sticky MAC功能。

  5. 执行命令port-security max-mac-num max-number,配置接口Sticky MAC学习限制数量。

    使能接口Sticky MAC功能后,缺省情况下,接口学习的MAC地址限制数量为1。

    说明:
    • 端口默认限制数为1,如果有多个用户通过一个接口接入,请使用port-security max-mac-num修改限制数。
    • 如果用户PC使用IP Phone连接交换机,MAC地址学习限制数请配置为3个。因为IP Phone需要占用两个MAC地址表项,PC需要占用一个MAC地址表项。其中IP Phone占用的两个MAC地址表项的VLAN不同,一个VLAN用来传输语音报文,一个VLAN用来传输数据报文。

  6. (可选)执行命令port-security protect-action { protect | restrict | shutdown },配置端口安全保护动作。

    缺省情况下,端口安全保护动作为restrict

  7. (可选)执行命令port-security mac-address sticky mac-address vlan vlan-id,手动配置一条sticky-mac表项。

    说明:
    • 接口使能Sticky MAC功能,安全动态MAC地址表项将转化为Sticky MAC地址,之后学习到的MAC地址也变为Sticky MAC地址。
    • 接口使能Sticky MAC功能,即使配置了port-security aging-time,Sticky MAC也不会被老化。
    • Sticky MAC地址表项,保存后重启设备不丢弃。

后续处理

  • 执行命令display mac-address sticky [ vlan vlan-id | interface-type interface-number ] * [ verbose ],查看Sticky MAC表项。
  • 接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。端口安全保护动作有以下三种:restrict、protect和shutdown。
    表8-7  端口安全的保护动作

    动作

    说明

    restrict

    丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。

    protect

    只丢弃源MAC地址不存在的报文,不上报告警。

    shutdown

    接口状态被置为error-down,并上报告警。

    默认情况下,接口关闭后不会自动恢复,只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。

    如果用户希望被关闭的接口可以自动恢复,则可在接口error-down前通过在系统视图下执行error-down auto-recovery cause port-security interval interval-value命令使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间,使被关闭的接口经过延时时间后能够自动恢复。

    告警信息可以通过执行display trapbuffer命令查看,也可以直接上报网管,通过网管查看。

翻译
下载文档
更新时间:2019-12-28

文档编号:EDOC1000141410

浏览量:71681

下载量:2225

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页