大家好，我是一枚從事IT外包的網(wǎng)絡(luò)運(yùn)維工程師，在網(wǎng)絡(luò)中，存在著大量網(wǎng)絡(luò)攻擊，相對(duì)安全就很重要了，這里跟大家介紹一種安全技術(shù)端口安全。

端口安全簡(jiǎn)介

介紹端口安全的定義和目的。

端口安全（Port Security）通過(guò)將接口學(xué)習(xí)到的動(dòng)態(tài)MAC地址轉(zhuǎn)換為安全MAC地址（包括安全動(dòng)態(tài)MAC和Sticky MAC），阻止除安全MAC和靜態(tài)MAC之外的主機(jī)通過(guò)本接口和設(shè)備通信，從而增強(qiáng)設(shè)備的安全性。

端口安全原理描述

通過(guò)介紹安全MAC地址的分類和超過(guò)安全MAC地址限制數(shù)后的保護(hù)動(dòng)作，說(shuō)明端口安全的實(shí)現(xiàn)原理。

安全MAC地址的分類

安全MAC地址分為：安全動(dòng)態(tài)MAC與Sticky MAC。

圖1、 安全MAC地址的說(shuō)明

未使能端口安全功能時(shí)，設(shè)備的MAC地址表項(xiàng)可通過(guò)動(dòng)態(tài)學(xué)習(xí)或靜態(tài)配置。當(dāng)某個(gè)接口使能端口安全功能后，該接口上之前學(xué)習(xí)到的動(dòng)態(tài)MAC地址表項(xiàng)會(huì)被刪除，之后學(xué)習(xí)到的MAC地址將變?yōu)榘踩珓?dòng)態(tài)MAC地址，此時(shí)該接口僅允許匹配安全MAC地址或靜態(tài)MAC地址的報(bào)文通過(guò)。若接著使能Sticky MAC功能，安全動(dòng)態(tài)MAC地址表項(xiàng)將轉(zhuǎn)化為Sticky MAC表項(xiàng)，之后學(xué)習(xí)到的MAC地址也變?yōu)镾ticky MAC地址。直到安全MAC地址數(shù)量達(dá)到限制，將不再學(xué)習(xí)MAC地址，并對(duì)接口或報(bào)文采取配置的保護(hù)動(dòng)作。

超過(guò)安全MAC地址限制數(shù)后的動(dòng)作

接口上安全MAC地址數(shù)達(dá)到限制后，如果收到源MAC地址不存在的報(bào)文，端口安全則認(rèn)為有非法用戶攻擊，就會(huì)根據(jù)配置的動(dòng)作對(duì)接口做保護(hù)處理。缺省情況下，保護(hù)動(dòng)作是丟棄該報(bào)文并上報(bào)告警。

圖2、 端口安全的保護(hù)動(dòng)作

以上文章由北京艾銻無(wú)限科技發(fā)展有限公司整理