端口安全（Port Security）功能是将设备端口学习到的MAC地址变为安全MAC地址（包括安全动态MAC地址和Sticky MAC地址，是设备信任的MAC地址），以阻止除安全MAC和静态MAC之外的主机通过本接口和交换机通信，从而增强设备安全性。简单来说，就是我们可以把允许连接到交换机指定端口的设备的mac地址与这个端口绑定，只要绑定了mac地址的设备才能接入这个端口，其他设备接入这个端口将无法使用网络。

以华为交换机为例，在配置端口安全之前，需完成以下任务（因为它们与端口安全功能是相冲突的）：

（1）关闭基于端口的MAC地址学习限制功能。

（2）关闭配置的MUX VLAN功能。

（3）关闭MAC认证功能。

（4）关闭802.1x认证功能。

（5）关闭DHCP Snooping的MAC安全功能。

通过将接口学习到的MAC地址转换为安全动态MAC地址或StickyMAC地址，且当接口上学习的最大MAC数量达到上限后不再学习新的MAC地址，只允许这些MAC地址和设备通信。这样可在一定程度上

（因为非信任的MAC地址也可在达到最大可学习MAC地址数之前学习到）阻止其他非信任的MAC主机通过本接口和交换机通信，提高设备与网络的安全性。缺省情况下，安全动态MAC表项不会被老化，但可以通过在接口上配置安全动态MAC老化时间使其变为可以老化，且设备重启后安全动态MAC地址会丢失，需要重新学习。我们对mac地址进行端口的绑定主要是使用StickyMAC地址进行。

“Sticky（粘性） MAC地址”与上节介绍的“安全动态MAC地址”差不多，都属于安全MAC地址，都可在接口上使能端口安全功能后仅允许这些安全MAC地址和静态MAC地址与设备进行通信，在接口学习到的最大MAC数量达到上限后不再学习新的MAC地址。它们之间主要不同有以下几个方面。

（1）安全动态MAC地址可以通过在接口上配置老化时间来进行老化，但Sticky MAC地址永远不会被老化（不能通过在接口配置老化时间）。

（2）安全动态MAC地址对应的MAC表项在设备重启后丢失，需要重新学习，但Sticky MAC地址对应的MAC表项在设备重启后也不会丢失，无需重新学习。

（3）安全动态MAC地址表项只能通过动态学习得到，而Sticky MAC地址表项既可以通过安全动态MAC地址转换得到，又可以手工静态配置。Sticky MAC功能特别适合为那些关键服务器或上行设备的MAC地址配置，因为永久有效，且所配置的Sticky MAC地址表项在设备重启后也不会丢失。

配置好端口安全功能后，可使用以下display任意视图命令查看端口安全相关配置。

（1）display current-configuration interface interface-type interface-number：查看接口上的配置信息（包括端口安全配置信息）。

（2）display mac-address security [vlan vlan-id | interface-type interface-number ] * [ verbose ] ：查看指定VLAN或者指定接口，或者所有安全动态MAC表项的详细（选择verbose可选项时）或者摘信息。

（3）display mac-address sticky [vlanvlan-id | interface-type interface-number ] * [verbose ] ：查看指定VLAN或者指定接口，或者所有Sticky MAC表项的详细（选择verbose可选项时）或者摘信息。

现在很多研发型企业，都需要对接入的交换机端口的终端设备进行管控，相比于价格昂贵的专用网络准入设备，端口安全属于一个性价比较高的安全管控方案。如对交换机端口安全，交换机端口绑定IP地址需要进一步了解，请联系蓝盟IT外包获取免费咨询。

文/上海蓝盟  IT外包专家

• 上一篇: 蓝盟IT外包一站式解决方案：引入航空级SOP标准，实现网络与服务器从被动应急到主动运维的全面升级
  下一篇: IT外包服务大师浅谈：数据化转型能为企业带来哪些价值？干货满满

• 分享到：