华为数通学习日志-Night6

前言

本学习日志没有明显的参考价值，如果你通过搜索引擎搜索到了该文章，并且解决了你的问题，那么我会十分开心

SEO关键词

阅读者请无视该部分

华为 ENSP 端口安全 端口隔离 修改最大端口学习MAC数量 二层安全动作

port-isolate port-security max-mac-num protect-action

端口安全规则

端口安全是分为规则和动作的，首先先匹配，然后再处理该动作

这里我们先说规则再说动作

这里规则比较抽象，比如端口隔离，他本质上也是个规则，规定如果在同组的设备发生了动作，则执行惩罚错误，但是端口隔离本身就自带了动作，因此看起来比较奇怪

设置端口隔离

端口隔离可用实现在同一个二层中，哪怕属于同一个广播域，依旧不能通信，用来保护端口安全

一般用于公共WIFI中，避免其他攻击者利用同一个网段发起攻击。

命令实现如下

分组ID用来区分一个隔离区域，同区域内的设备无法通信，不同区域内设备可用相互通信

[r1-G0/0/0]port-isolate enable group <分组ID>

实现效果

此时端口1无法ping端口2，但是可以ping端口3和4

设置最大端口数量

限制交换机学习MAC地址的数量，超出限制执行动作(默认down，可以设置上传到日志中心等动作)

需要注意，该命令是动态抢占的，也就是说不能精确控制哪些设备能上

同时需要注意，该命令的意义是，该接口可以学习的最大MAC数量是多少，因此一定是入方向执行，别反了

# 使能接口安全
[Huawei-GigabitEthernet0/0/5]port-security enable
# 限制从该端口学习到的MAC地址最大数量为3
[Huawei-GigabitEthernet0/0/5]port-security max-mac-num 3

实验完成后，可以用下面这条命令去查询

# 查看所有
display mac-address
# 查看通过了安全的MAC地址
display mac-address security

端口安全动作(惩罚措施)

默认情况下，我们的设置最大端口对象和设置端口隔离都只是去阻断该操作，没有其他动作，但是很多场景下我们需要进行一些额外的操作，比如设置如果有用户一直接进来，直接关掉该接口啥的，就需要用到安全动作

可用动作如下

• shutdown:关掉
• protect:什么都不做
• restrict:上报日志中心

[lsw2-GigabitEthernet0/0/1]port-security protect-action <动作>