配置端口安全

 端口安全是什么：

端口安全是一种网络安全措施，通过控制网络设备的接入权限来保护网络环境的安全。以下是对端口安全的具体介绍：

1. 基本原理：

   • 端口安全基于MAC地址表记录连接到交换机端口的以太网MAC地址，只允许特定MAC地址通过本端口通信。
   • 配置端口安全可以防止未经授权的设备访问网络，从而增强安全性。
   • 端口安全特性还可用于防止MAC地址泛洪攻击，避免MAC地址表被填满。

2. 安全类型：

   • 动态绑定是在最简单的形式下，端口安全需要指向一个已经启用的端口并输入Port Security接口模式命令。
   • 静态绑定用于指定客户端的MAC地址，而不是由端口动态地定义MAC地址。
   • Sticky MAC地址是使能端口安全后又同时使能Sticky MAC功能能够转换到的MAC地址。

3. 违规动作：

   • 当端口接收到未经允许的MAC地址流量时，交换机会执行违规动作，包括protect、restrict和shutdown。
   • 在超过安全MAC地址限制后，如果收到源MAC地址不存在的报文，端口安全则认为有非法用户攻击，就会根据配置的动作对接口做保护处理。

4. 应用场景：

   • 端口安全经常使用在接入层设备，通过配置端口安全可以防止仿冒用户从其他端口攻击。
   • 应用在汇聚层设备，通过配置端口安全可以控制接入用户的数量。

总的来说，端口安全是一项重要的网络安全措施，它通过控制网络设备的接入权限来保护网络环境的安全。

 端口安全的作用：

端口安全的作用主要体现在以下几个方面：

1. 防止非法设备接入：通过配置端口安全，可以限制只有特定的MAC地址才能通过交换机的特定端口进行通信。这样，未经授权的设备即使连接到网络，也无法通过该端口访问网络资源，从而有效防止了非法设备的接入。
2. 增强网络安全性：端口安全特性能够防止MAC地址泛洪攻击，避免MAC地址表被填满。当端口接收到未经允许的MAC地址流量时，交换机会执行违规动作，如关闭端口或丢弃未允许的MAC地址流量，从而保护网络环境的安全。
3. 控制用户数量：在汇聚层设备上配置端口安全，可以控制接入用户的数量。这有助于确保网络资源的合理分配和利用，避免因用户过多而导致的网络拥塞或性能下降。
4. 提高管理效率：通过静态绑定MAC地址，管理员可以精确控制哪些设备可以访问网络，哪些设备不能访问。这有助于简化网络管理，提高工作效率。
5. 保障数据传输安全：端口安全还可以用于传输敏感信息的端口，这些端口通常采用安全协议来加密传输数据，以保证数据的机密性、完整性和可用性。通过使用安全端口，可以降低网络攻击的风险，保障数据的机密性、完整性和可用性。

实验拓扑：

 实验步骤：

（1）配置S1的G0/0/1接口的端口安全。

S1的配置：

 使用PC1、PC2访问PC4，查看S1的MAC地址表。

PC1访问PC4：

 PC2访问PC4：

查看S1的MAC地址表：

 可以看到交换机的G0/0/1接口学习的MAC地址为安全MAC地址。如果在S2设备上接入一台非法设备访问PC4可以发现无法通信，并且由于G0/0/1接口MAC地址的学习数量超过限制的数值，接口被shutdown。

如果需要恢复网络，需要处理攻击者，需要管理员手动开启接口或者配置自动恢复功能。

（2）配置S1的G0/0/2接口为安全静态MAC地址。

S1的配置：

查看S1的MAC地址表：

可以发现PC3即使没有通信，其MAC地址也被静态绑定在该接口上，类型为Sticky,并且不会被老化。

（3）配置S1的G0/0/3接口为Sticky MAC。

在PC4没通信之前，交换机的MAC地址表并没有其MAC地址的对应关系，通信后才有。查看MAC地址表：

可以看到G0/0/3接口学习到的MAC地址为PC4的MAC地址，并且类型为sticky。

综上所述，端口安全在网络安全中扮演着至关重要的角色。它不仅能够防止非法设备接入和增强网络安全性，还能控制用户数量、提高管理效率并保障数据传输安全。因此，在配置和管理网络时，应该充分利用端口安全功能来保护网络环境的安全。