一、端口安全的核心理论

1. 安全MAC地址类型

   • 安全动态MAC：启用端口安全后动态学习的MAC地址，设备重启后丢失，需重新学习。

   • 安全静态MAC：手动配置的MAC地址，永久生效且不会被老化。

   • Sticky MAC：动态学习后自动转换为静态MAC，保存配置后重启仍保留。

2. 关键功能

   • MAC地址绑定：限制端口仅允许指定MAC地址通信。

   • MAC地址学习限制：控制端口可学习的最大MAC数量。

   • 违规动作：检测非法流量时触发预设动作（丢弃、告警、关闭端口）。

3. 违规模式

   • Restrict：丢弃非法报文并生成告警（推荐使用）。

   • Protect：静默丢弃非法报文，不记录日志。

   • Shutdown：关闭端口并告警，需管理员手动恢复或配置自动恢复。

---

 展示拓扑

 能够PC1和PC2能够通信

 测试外来入侵电脑连接g0/0/2端口

测试结果

 

二、基础配置步骤

1. 启用端口安全

   <Huawei> system-view
   [Huawei] interface GigabitEthernet0/0/1
   [Huawei-GigabitEthernet0/0/1] port-security enable   # 启用端口安全

2. 设置最大MAC地址数量

   [Huawei-GigabitEthernet0/0/1] port-security max-mac-num 3  # 允许最多3个MAC地址

3. 绑定MAC地址

   • 静态绑定：

     [Huawei-GigabitEthernet0/0/1] port-security mac-address 0011-2233-4455

   • Sticky MAC（动态学习并自动保存）：

     [Huawei-GigabitEthernet0/0/1] port-security mac-address sticky

4. 配置违规动作

   [Huawei-GigabitEthernet0/0/1] port-security protect-action shutdown  # 违规时关闭端口

5. 配置自动恢复（可选）

   [Huawei] error-down auto-recovery cause port-security interval 300  # 端口关闭后300秒自动恢复

6. 验证配置

   [Huawei] display port-security interface GigabitEthernet0/0/1  # 查看端口安全状态

---

三、典型应用场景配置

1. 办公室接入控制（单设备限制）

   interface GigabitEthernet0/0/1port-security enableport-security max-mac-num 1      # 仅允许1个设备接入port-security mac-address sticky  # 自动绑定首次连接的MAC地址

2. 会议室多设备临时接入

   interface GigabitEthernet0/0/2port-security enableport-security max-mac-num 5      # 允许最多5个设备port-security protect-action restrict  # 丢弃非法流量并记录日志

3. 服务器高安全区域

   interface GigabitEthernet0/0/3port-security enableport-security mac-address 0000-AAAA-BBBB  # 严格绑定服务器MACport-security protect-action shutdown     # 非法接入时关闭端口

---

四、进阶功能与注意事项

1. MAC地址老化时间

   [Huawei-GigabitEthernet0/0/1] port-security aging-time 800  # 设置动态MAC老化时间为800秒

2. 端口模式要求

   • 端口需设置为access模式，Trunk端口需明确允许的VLAN。

3. 故障排查

   • 端口误关闭：使用display interface brief查看端口状态，通过restart命令或自动恢复配置恢复。

   • 配置不生效：检查端口模式是否为access，并确保未超过最大MAC限制