华为hcie一定要懂的端口安全概念！-ielab网络实验室

华为hcie一定要懂的端口安全概念！-ielab网络实验室，为防止MAC地址洪泛攻击，防止未经允许的设备访问网络，并增强安全性。通过端口安全机制，录连接到交换机端口的以太网MAC地址，只允许某个或者某些合法设备通过相应的端口进行通信。

端口安全机制可以通过安全动态mac 与sticky mac 的方式进行。

配置了安全动态MAC地址的方式，在设备重启后mac表项会丢失，需要重新学习。默认情况下，没有配置mac老化时间，此时表项不会被老化，如果需要安全mac进行老化，可以通过配置了安全MAC的老化时间来实现。老化时间类型分为：绝对时间老化和相对时间老化。

绝对老化时间为5分钟，是指系统每5分钟就会检测一次是否有该MAC的流量。若没有则立即将该安全动态MAC地址进行老化。否则不做任何处理。

相对老化时间为5分钟：是指系统每分钟就会检测一次是否有该MAC的流量。若没有则经过5分钟后将该安全MAC地址老化。

Sticky MAC地址方式是指开启端口安全后又同时通过使用Sticky MAC功能设定安全MAC地址。通过该功能设定的安全mac地址不会被老化，手动保存配置后重启设备不会丢失。

超过安全 MAC 地址限制数后设备会进行相应的安全防护动作。如果收到源MAC地址不存在的报文，端口安全则认为有非法用户攻击，就会根据配置的动作对接口做保护处理。缺省情况下，保护动作是丢弃该报文并上报告警。华为hcie一定要懂的端口安全概念！-ielab网络实验室