端口安全原理描述
通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作,说明端口安全的实现原理。
安全MAC地址的分类
安全MAC地址分为:安全动态MAC与Sticky MAC。
类型 |
定义 |
特点 |
|---|---|---|
安全动态MAC地址 |
使能端口安全而未使能Sticky MAC功能时转换的MAC地址。 |
设备重启后表项会丢失,需要重新学习。 缺省情况下不会被老化,只有在配置安全MAC的老化时间后才可以被老化。 安全动态MAC地址的老化类型分为:绝对时间老化和相对时间老化。
|
Sticky MAC地址 |
使能端口安全后又同时使能Sticky MAC功能后转换到的MAC地址。 |
不会被老化,手动保存配置后重启设备不会丢失。 |
- 接口使能端口安全功能时,接口上之前学习到的动态MAC地址表项将被删除,之后学习到的MAC地址将变为安全动态MAC地址。
- 接口下动态MAC只能转换为安全动态MAC或者Sticky MAC的一种。接口使能Sticky MAC功能时,接口上的安全动态MAC地址表项将转化为Sticky MAC地址,之后学习到的MAC地址也变为Sticky MAC地址。接口去使能Sticky MAC功能时,接口上的Sticky MAC地址,会转换为安全动态MAC地址。
- 接口去使能端口安全功能时,接口上的安全动态MAC地址将被删除,重新学习动态MAC地址。
超过安全MAC地址限制数后的动作
接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动作是丢弃该报文并上报告警。
动作 |
实现说明 |
|---|---|
restrict |
丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。 |
protect |
只丢弃源MAC地址不存在的报文,不上报告警。 |
error-down |
接口状态被置为ERROR DOWN(portsec-reachedlimit),并上报告警。 配置端口安全保护动作为error-down后,如果接口安全MAC地址学习数量达到上限,接口将会被Error-Down。Error-Down是指设备检测到故障后将接口状态设置为ERROR DOWN状态,此时接口不能收发报文,接口指示灯为常灭。可以通过display error-down recovery命令可以查看设备上所有被Error-Down的接口信息。 接口被Error-Down时,建议先排除引起接口Error-Down的原因。有以下两种方式可以恢复接口状态:
|
