华为数通学习日志-Night6
前言
本学习日志没有明显的参考价值,如果你通过搜索引擎搜索到了该文章,并且解决了你的问题,那么我会十分开心
SEO关键词
阅读者请无视该部分
华为 ENSP 端口安全 端口隔离 修改最大端口学习MAC数量 二层安全动作
port-isolate port-security max-mac-num protect-action
端口安全规则
端口安全是分为规则和动作的,首先先匹配,然后再处理该动作
这里我们先说规则再说动作
这里规则比较抽象,比如端口隔离,他本质上也是个规则,规定如果在同组的设备发生了动作,则执行惩罚错误,但是端口隔离本身就自带了动作,因此看起来比较奇怪
设置端口隔离
端口隔离可用实现在同一个二层中,哪怕属于同一个广播域,依旧不能通信,用来保护端口安全
一般用于公共WIFI中,避免其他攻击者利用同一个网段发起攻击。
命令实现如下
分组ID用来区分一个隔离区域,同区域内的设备无法通信,不同区域内设备可用相互通信
[r1-G0/0/0]port-isolate enable group <分组ID>
实现效果
此时端口1无法ping端口2,但是可以ping端口3和4
设置最大端口数量
限制交换机学习MAC地址的数量,超出限制执行动作(默认down,可以设置上传到日志中心等动作)
需要注意,该命令是动态抢占的,也就是说不能精确控制哪些设备能上
同时需要注意,该命令的意义是,该接口可以学习的最大MAC数量是多少,因此一定是入方向执行,别反了
# 使能接口安全
[Huawei-GigabitEthernet0/0/5]port-security enable
# 限制从该端口学习到的MAC地址最大数量为3
[Huawei-GigabitEthernet0/0/5]port-security max-mac-num 3
实验完成后,可以用下面这条命令去查询
# 查看所有
display mac-address
# 查看通过了安全的MAC地址
display mac-address security
端口安全动作(惩罚措施)
默认情况下,我们的设置最大端口对象和设置端口隔离都只是去阻断该操作,没有其他动作,但是很多场景下我们需要进行一些额外的操作,比如设置如果有用户一直接进来,直接关掉该接口啥的,就需要用到安全动作
可用动作如下
- shutdown:关掉
- protect:什么都不做
- restrict:上报日志中心
[lsw2-GigabitEthernet0/0/1]port-security protect-action <动作>