摘要：然而，真正的网络安全与稳定性远不止于此。尤其是在接入层交换机上，端口安全与MAC 地址控制是构建可信网络的第一道防线。

号主：老杨丨11年资深网络工程师，更多网工提升干货，

在日常网络运维中，我们常常以“能否 ping 通”作为连通性判断的唯一标准。

然而，真正的网络安全与稳定性远不止于此。尤其是在接入层交换机上，端口安全 与 MAC 地址控制 是构建可信网络的第一道防线。

当非法设备接入、MAC 地址泛洪攻击、ARP 欺骗频发时，仅仅“通”是远远不够的——我们需要的是可控的通、可信的通!

今天就来深入解析华为交换机在端口安全与 MAC 地址管理方面的核心机制，结合真实配置案例，带大家“通”一波

传统园区网络往往默认“物理端口接入即信任”，这带来了诸多安全隐患：

端口安全的本质，是将交换机端口从“被动转发”转变为“主动鉴权”节点，实现：

华为交换机通过 端口安全（Port Security）、静态 MAC、Sticky MAC、MAC 地址学习限制 等多种机制，构建了完整的 MAC 层访问控制体系。

最严格的安全策略：管理员手动配置 MAC 地址与端口/VLAN 的映射，交换机只转发匹配的流量。

# 配置示例：将 MAC 5489-980a-1234 绑定到 GigabitEthernet0/0/1，属于 VLAN 10
[Huawei] mac-address static 5489-980a-1234 interface GigabitEthernet 0/0/1 vlan 10

✅ 优点：绝对安全，杜绝任何未授权设备接入

适用场景：服务器接入、打印机、IP 电话等固定设备

Sticky MAC 是静态 MAC 与动态学习的“最佳折中”：

# 开启 Sticky MAC（需先启用端口安全）
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] port-security enable
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky

✅ 优点：兼顾安全性与易维护性，适合办公终端
提示：配合 save 命令可持久化 Sticky MAC 条目

当无法预知合法设备时，可通过限制学习数量 + 安全动作为实现控制：

# 限制端口最多学习 2 个 MAC 地址
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num 2

# 配置安全响应动作（默认为restrict）
[Huawei-GigabitEthernet0/0/1] port-security protect-action restrict

华为支持三种保护动作：

⚠️ 建议：生产环境优先使用 restrict，避免误操作导致端口宕机

[Huawei] interface range GigabitEthernet 0/0/1 to 0/0/24
[Huawei-config-port-range] port-security enable
[Huawei-config-port-range] port-security max-mac-num 2
[Huawei-config-port-range] port-security protect-action restrict
[Huawei-config-port-range] quit

此配置后：

华为支持基于 OUI（MAC 前缀） 的 VLAN 分配，常用于 IP 电话自动识别：

# 定义 OUI 规则（示例：华为设备前缀）
[Huawei] oui Huawei 00e0-fc ip-phone

# 在接口上启用 OUI VLAN 识别
[Huawei-GigabitEthernet0/0/1] port-security oui-vlan Huawei

当 IP 电话（MAC 以 00e0-fc 开头）接入时，自动划入语音 VLAN，实现即插即用。

排查思路：

解决方案：

原因：Sticky MAC 默认不自动保存
解决方案：

[Huawei] save # 保存配置时，Sticky MAC 条目一并持久化

建议在批量部署后执行 save，确保重启不失效。

安全不是功能，而是设计。
端口安全虽在数据链路层，却是零信任网络在物理接入侧的落地起点。

多想一点点：
当端口安全与 802.1X 认证结合时，是不是可以实现更细粒度的身份鉴权与动态 VLAN 分配。

给大家保留一个小tips，下次再来好好唠唠这个话题。

来源：网络工程师俱乐部一点号