配置安全MAC功能
背景信息
在对接入用户的安全性要求较高的网络中,可以配置端口安全功能,将接口学习到的MAC地址转换为安全动态MAC或Sticky MAC,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,只允许这些MAC地址和设备通信。这样可以阻止其他非信任的MAC主机通过本接口和其他主机通信,提高网络的安全性。
缺省情况下,安全动态MAC表项不会被老化,但可以通过在接口上配置安全动态MAC老化时间使其变为可以老化,设备重启后安全动态MAC地址会丢失,需要重新学习。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令port-security enable,使能端口安全功能。
缺省情况下,未使能端口安全功能。
- (可选)执行命令port-security maximum max-number,配置端口安全动态MAC学习限制数量。
缺省情况下,接口学习的安全MAC地址限制数量为1。
- (可选)执行命令port-security protect-action { protect | restrict | error-down },配置端口安全保护动作。
缺省情况下,端口安全保护动作为restrict。
端口安全保护动作有以下三种:
- protect:当学习到的MAC地址数达到接口限制数时,接口丢弃源地址在MAC表以外的报文。
- restrict:当学习到的MAC地址数达到接口限制数时,接口丢弃源地址在MAC表以外的报文,同时发出告警。
- error-down:当学习到的MAC地址数超过接口限制数时,将接口Error-Down,同时发出告警。
- (可选)执行命令port-security aging-time time [ type { absolute | inactivity } ],配置接口学习到的安全动态MAC地址的老化时间。
缺省情况下,接口学习的安全动态MAC地址不老化。
- 执行命令commit,提交配置。
后续处理
配置端口安全保护动作为error-down后,如果接口安全MAC地址学习数量达到上限,接口将会被Error-Down。Error-Down是指设备检测到故障后将接口状态设置为ERROR DOWN状态,此时接口不能收发报文,接口指示灯为常灭。可以通过display error-down recovery命令可以查看设备上所有被Error-Down的接口信息。
- 手动恢复(Error-Down发生后)
当处于Error-Down状态的接口数量较少时,可在该接口视图下依次执行命令shutdown和undo shutdown,或者执行命令restart,重启接口。
- 自动恢复(Error-Down发生前)
如果处于Error-Down状态的接口数量较多,逐一手动恢复接口状态将产生大量重复工作,且可能出现部分接口配置遗漏。为避免这一问题,用户可在系统视图下执行命令error-down auto-recovery cause portsec-reachedlimit interval interval-value使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间。可以通过display error-down recovery查看接口状态自动恢复信息。
此方式对已经处于Error-Down状态的接口不生效,只对配置该命令后进入Error-Down状态的接口生效。