当前位置：首页 > news >正文

端口镜像和端口安全

news 2025/7/10 2:23:25

✍作者：柒烨带你飞
💪格言：生活的情况越艰难，我越感到自己更坚强；我这个人走得很慢，但我从不后退。
📜系列专栏：网络安全从菜鸟到飞鸟的逆袭

一，端口镜像

概述
- 端口镜像(port Mirroring)功能是通过在交换机或路由器上，将一个或多个源端口的数据流量转发到某一个指定端口(观察端口)来实现对网络的监听，在不严重影响源端口正常吞吐流量的情况下，可以通过镜像端口对网络的流量进行监控分析。
- 镜像是指将经过指定端口(源端口或者镜像端口)的报文复制到另一个指定端口（目的端口或观察端口）
目的
- 主要是为方便一个或客个网络接口的流量进行分析，可以通过配置交换机或路由器来把一个或多个(VLAN)端口的数据转发到某一个端口，即端口镜像，来实现对网络的监听
功能
将被监控流量镜像到监控端口，以便对被监控流量进行故障定位、流量分析、流量备份等，监控端口一般直接与监控主机等相连
- 端口
  - 镜像端口：是指被监控的端口，镜像端口收发的报文将复制一份到观察端口。
  - 观察端口：是指连接监控设备的端口，用于将镜像端口复制过来的报文发送给监控设备。(不能用于数据通信，不用配置ip地址)
- 端口的方向
  - 入方向：将镜像端口接受的报文复制到观察端口上
  - 出方向：将镜像端口发出的报文复制到观察端口上
  - 双向：将镜像端口发出和接受的报文都复制到观察端口上
端口镜像应用场景
- 本地端口镜像
  - 在同一台交换机或路由器上将一些接口的流量镜像到另外一个接口上
- 远程端口镜像
  - 将交换机或路由器一些接口的流量镜像到另一台交换机的某一个接口上

//指定观察端口
[Huawei]observe-port interface g0/0/2
//指定镜像端口
[Huawei]int g0/0/0
[Huawei-GabitEthernet0/0/0]mirror to observe-port both

二，端口安全

定义：端口安全（Port Security）通过将接口学习到的动态MAC地址转换为安全MAC
址（包括安全动态MAC和Sticky MAC），阻止除安全MAC和静态MAC之外的主机通过接口和设备通信，从而增强设备的安全性。

1，端口安全原理描述

安全MAC地址的分类

类型	含义	特点	场景
安全动态MAC地址	接口启用端口安全后，学习到的MAC地址都转换为安全动态的MAC地址，默认学习到的没有老化事件，设备重启后需要重新学习（交换机接口没有启用端口命令，学习到的地址默认时有老化时间的）	设备重启或接口down之后表项会丢失，需要重新学习。只有在设置老化时间后才会被老化，缺省情况下不会被老化。可以限制地址的数量。可以设置接口的保护动作：丢弃报文、告警上报、或者关闭接口。	设备接入的用户变动比较频繁，可以在设备的用户侧接口配置安全动态MAC地址功能。这样，保证安全的同时，也可以通过老化及时清除绑定的MAC地址表项。
Sticky MAC地址	接口启用端口安全后并配置sticky特性，可以实现自动绑定MAC地址。	重启设备或接口down之后表项不会丢失。不会被老化。可以限制地址的数量。可以设置接口的保护动作：丢弃报文、告警上报、或者关闭接口。	设备接入的用户变动较少，可以在设备的用户侧接口配置Sticky MAC地址功能。这样，保证安全的同时，绑定的MAC地址表项不会丢失。
安全静态MAC	接口启用端口安全后，再手动绑定MAC地址。	重启设备或接口down之后表项不会丢失。不会被老化。	设备接入的用户变动较少，且数量较少，可以在设备的用户侧接口配置安全静态MAC地址功能，手工实现MAC地址表项的绑定。

在网络的正常情况下，连接主机的接口启用端口安全并配置Sticky特性，再结合端口上最大的MAC地址的活跃数量来阻止非法主机连接本机口和交换机通信（一般情况下，交换机连接主机的端口只会有一个MAC地址）

安全MAC地址的老化

安全MAC地址的老化只有安全动态MAC地址，在设置老化时间后才会被老化。
绝对时间老化：如绝对老化时间为5分钟，系统每隔5分钟检测一次是否存在这个MAC的流量。若没有流量，则立即将这个安全动态MAC地址老化。
相对时间老化：如相对老化时间为5分钟，系统每隔1分钟检测一次是否存在这个MAC的流量。若没有流量，则经过5分钟后将这个安全动态MAC地址老化。
强制时间老化：如强制老化时间为5分钟，系统每隔1分钟计算一次每个MAC的存在时间。若大于等于5分钟，则立即将这个安全动态MAC地址老化。

端口安全的保护动作

接口启用端口安全功能后，如果收到报文的源MAC地址在MAC地址表项中不存在，无论报文的目的MAC地址是否存在，均视为非法用户攻击，并实施对应安全动作。

动作	说明
restrict	丢弃非法报文；并上报告警。推荐使用restrict动作。
protect	只丢弃非法报文；不上报告警。
error-down	丢弃非法报文；并关闭接口，即接口状态被置为error-down；并上报告警。默认情况下，接口关闭后不会自动恢复，只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。如果用户希望被关闭的接口可以自动恢复，则可在接口error-down前通过在系统视图下执行error-down auto-recovery cause portsec-reachedlimit interval _interval-value_命令使能接口状态自动恢复为Up的功能，并设置接口自动恢复为Up的延时时间，使被关闭的接口经过延时时间后能够自动恢复。

默认端口安全的配置

2，配置端口安全

1. 配置安全动态MAC地址功能
sys
interface g0/0/0 //进入对应接口
portswitch //将接口从三层模式转换到二层//启用端口安全功能，配置mac学习的数量限制
port-security enable [maximum max-number]// （可选）配置端口安全的保护动作。
port-security protect-action { protect | restrict | error-down }//（可选）配置安全动态MAC地址的老化时间。
port-security aging-time [time [ absolute| inactivity ]]//(可选）删除安全动态MAC地址表项。
undo mac-address security { [ interface-type interface-number | interface-name ] | [ vlan vlanId ] } 2. 配置Sticky MAC地址功能
sys
interface g0/0/0
portswitch  //将接口从三层模式转换到二层
//启用端口安全功能，配置mac学习的数量限制
port-security enable [maximum max-number]//开启Sticky功能
port-security mac-address sticky//（可选）手工增加一条Sticky MAC地址表项（配置的是连接到端口的设备（如计算机网卡、IP 电话等终端设备）的 MAC 地址。） 
port-security mac-address sticky [mac-address] vlan [vlan-id]//（可选）删除Sticky MAC地址表项。
undo mac-address sticky { [ portType portNum | portName_ ] | [ vlan vlanId_ ] } // （可选）配置端口安全的保护动作。
port-security protect-action { protect | restrict | error-down }3. 配置安全静态MAC地址，静态的比较简单就几条命令
sys
interface g0/0/0
portswitch
port-security enable [ maximum max-number_ ]
//手工配置一条安全静态mac地址（配置的是连接到端口的设备（如计算机网卡、IP 电话等终端设备）的 MAC 地址。）
port-security mac-address [mac-address] vlan [vlan-id]
//（可选）删除安全静态MAC地址表项。 
undo mac-address sec-config { [ portType portNum | portName ] | [ vlan vlanId ] } ------------------------------------------------------------------------------
//命令，查看端口安全信息。
display port-security [ interface { interface-type interface-number | interface-name } ]
//查看端口安全相关告警。
display trapbuffer

配置静态MAC地址飘移检测功能

假设设备B通过命令配置一条静态MAC地址，用于接入某个用户，当这个用户把线从设备的B接口拔插到设备的A接口时，A接口将会收到源MAC地址匹配B接口的静态MAC地址表项的报文。这个报文将会直接被丢弃，这个用户也会一直无法接入。

为了能够使得设备在检测到静态MAC地址漂移时，上报告警提示网络管理人员去识别并修复接入问题，可以在设备上启用静态MAC地址漂移检测功能，并且在A接口启用端口安全功能。这样，A接口收到静态MAC地址发生漂移的报文时，将实施端口安全的保护动作，例如上报告警。

1.启用静态MAC地址漂移检测功能。
sys
port-security static-flapping protect

博主的其他系列专栏📜📜📜

1 环境配置集合
2 C语言小实例项目
3 HTML入门 + 实战小案例

创作不易，😊如果觉得文章不错或能帮助到你学习，可以点赞👍收藏📁评论📒+关注哦！留下你的看法和建议💕
我们下期见✍️

目录