一、端口安全的核心理論

1. 安全MAC地址類型

   • 安全動態MAC：啟用端口安全后動態學習的MAC地址，設備重啟后丟失，需重新學習。

   • 安全靜態MAC：手動配置的MAC地址，永久生效且不會被老化。

   • Sticky MAC：動態學習后自動轉換為靜態MAC，保存配置后重啟仍保留。

2. 關鍵功能

   • MAC地址綁定：限制端口僅允許指定MAC地址通信。

   • MAC地址學習限制：控制端口可學習的最大MAC數量。

   • 違規動作：檢測非法流量時觸發預設動作（丟棄、告警、關閉端口）。

3. 違規模式

   • Restrict：丟棄非法報文并生成告警（推薦使用）。

   • Protect：靜默丟棄非法報文，不記錄日志。

   • Shutdown：關閉端口并告警，需管理員手動恢復或配置自動恢復。

---

?展示拓撲

?能夠PC1和PC2能夠通信

?測試外來入侵電腦連接g0/0/2端口

測試結果

?

二、基礎配置步驟

1. 啟用端口安全

   <Huawei> system-view
   [Huawei] interface GigabitEthernet0/0/1
   [Huawei-GigabitEthernet0/0/1] port-security enable   # 啟用端口安全

2. 設置最大MAC地址數量

   [Huawei-GigabitEthernet0/0/1] port-security max-mac-num 3  # 允許最多3個MAC地址

3. 綁定MAC地址

   • 靜態綁定：

     [Huawei-GigabitEthernet0/0/1] port-security mac-address 0011-2233-4455

   • Sticky MAC（動態學習并自動保存）：

     [Huawei-GigabitEthernet0/0/1] port-security mac-address sticky

4. 配置違規動作

   [Huawei-GigabitEthernet0/0/1] port-security protect-action shutdown  # 違規時關閉端口

5. 配置自動恢復（可選）

   [Huawei] error-down auto-recovery cause port-security interval 300  # 端口關閉后300秒自動恢復

6. 驗證配置

   [Huawei] display port-security interface GigabitEthernet0/0/1  # 查看端口安全狀態

---

三、典型應用場景配置

1. 辦公室接入控制（單設備限制）

   interface GigabitEthernet0/0/1port-security enableport-security max-mac-num 1      # 僅允許1個設備接入port-security mac-address sticky  # 自動綁定首次連接的MAC地址

2. 會議室多設備臨時接入

   interface GigabitEthernet0/0/2port-security enableport-security max-mac-num 5      # 允許最多5個設備port-security protect-action restrict  # 丟棄非法流量并記錄日志

3. 服務器高安全區域

   interface GigabitEthernet0/0/3port-security enableport-security mac-address 0000-AAAA-BBBB  # 嚴格綁定服務器MACport-security protect-action shutdown     # 非法接入時關閉端口

---

四、進階功能與注意事項

1. MAC地址老化時間

   [Huawei-GigabitEthernet0/0/1] port-security aging-time 800  # 設置動態MAC老化時間為800秒

2. 端口模式要求

   • 端口需設置為access模式，Trunk端口需明確允許的VLAN。

3. 故障排查

   • 端口誤關閉：使用display interface brief查看端口狀態，通過restart命令或自動恢復配置恢復。

   • 配置不生效：檢查端口模式是否為access，并確保未超過最大MAC限制