返回
华为 端口安全技术白皮书.pdf

华为 端口安全技术白皮书.pdf

ID:23965943

大小:321.73 KB

页数:6页

时间:2018-11-12

华为 端口安全技术白皮书.pdf_第1页
华为 端口安全技术白皮书.pdf_第2页
华为 端口安全技术白皮书.pdf_第3页
华为 端口安全技术白皮书.pdf_第4页
华为 端口安全技术白皮书.pdf_第5页
资源描述:

《华为 端口安全技术白皮书.pdf》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、端口安全技术白皮书文档版本01发布日期2012-8-31华为技术有限公司版权所有©华为技术有限公司2012。保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标,由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有

2、约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:http://www.huawei.com客户服务邮箱:support@huawei.com客户服务电话:4008302118文档版本()华为专有和保密信息i版权所有©华为技术有限公司技术白皮书-端口安全1端口安全1端口安全关于本章1.1介绍1.2原理描述1.3应用1.1介绍端口安全(PortSecurity)功能将交换机接口学习到的MAC地址变为安全MAC地址(包括安全动态MAC和StickyMAC),可以阻止除安全MAC和静态

3、MAC之外的主机通过本接口和交换机通信,从而增强设备安全性。1.2原理描述端口学习安全MAC地址的方式安全MAC地址分为两种:安全动态MAC与StickyMAC。二者定义及区别如下:安全动态MAC地址:使能端口安全而未使能StickyMAC功能时学习到的MAC地址。缺省情况下,安全动态MAC地址不会被老化,设备重启后安全动态MAC地址会丢失,需要重新学习。StickyMAC地址:使能端口安全后又使能StickyMAC功能后学习到的MAC地址。StickyMAC地址不会被老化,保存配置后重启设备,StickyMAC地址不会丢失,无需重新学习。未使能接口安全功能时,设备的MAC地址表项可通

4、过动态学习或静态配置。当某个端口使能端口安全功能后,该端口上之前学习到的动态MAC地址表项会被删除,之后学习到的MAC地址将变为安全动态MAC地址,此时该端口仅允许匹配安全MAC地址或静态MAC地址的报文通过。若接着使能StickyMAC功能,安全动态MAC地址表项将转化为StickyMAC表项,之后学习到的MAC地址也变为StickyMAC地址。直文档版本()华为专有和保密信息1版权所有©华为技术有限公司技术白皮书-端口安全1端口安全到安全MAC地址数量达到限制,将不再学习MAC地址,并对接口或报文采取配置的保护动作。安全MAC地址学习数限制缺省情况下,每个接口仅可以学习一个安全MAC地

5、址,用户可以配置接口学习安全MAC地址的最大数量限制。端口安全保护动作用户可以配置端口安全的保护动作,当端口学习到的安全MAC地址数量达到限制时,可以选择采取以下某一种动作:protect:当学习到的MAC地址数达到接口限制数时,接口丢弃源地址在MAC表以外的报文。restrict:当学习到的MAC地址数超过接口限制数时,接口丢弃源地址在MAC表以外的报文,并同时发出告警。shutdown:当学习到的MAC地址数超过接口限制数时,接口执行Shutdown操作,同时发出告警。缺省情况下,端口安全保护动作为restrict。手动指定安全MAC地址表项用户可以通过命令port-securi

6、tymac-addresssticky手动配置sticky-mac表项。本文中的配置命令及配置文件均以S7700交换机举例。安全动态MAC的配置在使用端口安全之前,请确保已完成以下任务:关闭基于接口的MAC地址学习限制功能。关闭配置MUXVLAN功能。关闭MAC认证功能。关闭802.1x认证功能。关闭DHCPSnooping的MAC安全功能。1.配置接口GE1/0/1的端口安全功能。[Switch]interfacegigabitethernet1/0/1[Switch-GigabitEthernet1/0/1]port-securityenable2.配置安全MAC学习数量限制

7、为5,并配置接口的保护动作为shutdown。[Switch-GigabitEthernet1/0/1]port-securitymax-mac-num5[Switch-GigabitEthernet1/0/1]port-securityprotect-actionshutdown3.使用displaymac-addresssecurity命令查看安全动态MAC地址学习情况。[Switch]displaymac-addr

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。