端口安全技术白皮书.pdf

端口安全技术白皮书文档版本01发布日期2012-8-31华为技术有限公司文档版本()华为专有和保密信息版权所有? 华为技术有限公司i版权所有? 华为技术有限公司2012。保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标,由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:邮箱:support@客户服务电话:4008302118技术白皮书-端口安全1 端口安全文档版本()华为专有和保密信息版权所有? 华为技术有限公司11 介绍端口安全(Port Security)功能将交换机接口学习到的MAC地址变为安全MAC地址(包括安全动态MAC和Sticky MAC),可以阻止除安全MAC和静态MAC之外的主机通过本接口和交换机通信,从而增强设备安全性。 原理描述端口学习安全MAC地址的方式安全MAC地址分为两种:安全动态MAC与Sticky MAC。二者定义及区别如下:?安全动态MAC地址:使能端口安全而未使能Sticky MAC功能时学习到的MAC地址。缺省情况下,安全动态MAC地址不会被老化,设备重启后安全动态MAC地址会丢失,需要重新学习。?Sticky MAC地址:使能端口安全后又使能Sticky MAC功能后学习到的MAC地址。Sticky MAC地址不会被老化,保存配置后重启设备,Sticky MAC地址不会丢失,无需重新学习。未使能接口安全功能时,设备的MAC地址表项可通过动态学习或静态配置。当某个端口使能端口安全功能后,该端口上之前学习到的动态MAC地址表项会被删除,之后学习到的MAC地址将变为安全动态MAC地址,此时该端口仅允许匹配安全MAC地址或静态MAC地址的报文通过。若接着使能Sticky MAC功能,安全动态MAC地址表项将转化为Sticky MAC表项,之后学习到的MAC地址也变为Sticky MAC地址。直技术白皮书-端口安全1 端口安全文档版本()华为专有和保密信息版权所有? 华为技术有限公司2到安全MAC地址数量达到限制,将不再学习MAC地址,并对接口或报文采取配置的保护动作。安全MAC地址学习数限制缺省情况下,每个接口仅可以学习一个安全MAC地址,用户可以配置接口学习安全MAC地址的最大数量限制。端口安全保护动作用户可以配置端口安全的保护动作,当端口学习到的安全MAC地址数量达到限制时,可以选择采取以下某一种动作:?protect:当学习到的MAC地址数达到接口限制数时,接口丢弃源地址在MAC表以外的报文。?restrict:当学习到的MAC地址数超过接口限制数时,接口丢弃源地址在MAC表以外的报文,并同时