网工老张：二层安全才是交换机的防护核心

大家好，我是网工老张。

最近一周我连着写了好几篇交换机安全加固的文章，后台收到了大量同行的留言和讨论。很多朋友都提到一个观点：二层安全功能才是交换机的防护核心。今天老张就专门开一篇，跟大伙聊聊为什么这么说，以及二层防护到底该怎么做，最后附上华为交换机的配置实例，供大家参考。

一、为什么说二层安全才是交换机的防护核心？

很多刚入行的朋友习惯把安全重心放在三层——配置ACL、做路由过滤、部署防火墙。但老张想说，交换机作为网络核心设备，安全防护必须覆盖物理层到数据链路层的完整攻击链。二层是流量的“第一站”，如果二层本身不牢靠，上层安全做得再好也是白搭。

给大家列几个真实的二层攻击场景：

· MAC泛洪攻击：攻击者伪造大量虚假MAC地址，填满交换机的MAC地址表（通常8K-16K条目），迫使交换机进入“洪泛模式”，所有流量变成广播。

· ARP欺骗：攻击者冒充网关或合法主机的MAC地址，截获通信数据。

· STP操纵：伪造BPDU报文，引发网络拓扑震荡甚至瘫痪。

· MAC漂移/欺骗：非法用户从其他接口假冒服务器MAC发送报文，导致用户数据被窃取。

这些攻击的共同点是——它们都发生在二层。而传统的防火墙、ACL等三层安全手段，对二层攻击几乎无能为力。所以老张一直强调：交换机二层安全，是网络安全的第一道也是最重要的一道防线。

二、二层防护该怎么做？华为交换机配置实例

二层防护的核心思路是 “不信任任何端口，主动鉴权” 。下面老张从四个维度给大家逐一拆解，并附上华为交换机的配置命令。

1. 端口级安全控制——把好“入口关”

（1）端口安全 + MAC地址绑定

端口安全功能将接口学习到的MAC地址变为安全MAC地址，阻止未授权主机通过该接口通信。

配置实例——开启端口安全并限制MAC数量：

[Huawei] system-view

[Huawei] interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1] port-security enable

[Huawei-GigabitEthernet0/0/1] port-security max-mac-num 2

限制单端口最多学习2个MAC地址，有效防止MAC泛洪攻击。

配置实例——Sticky MAC（动态学习+自动固化）：

[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky

Sticky MAC是静态绑定与动态学习的“最佳折中”——端口先动态学习设备MAC，然后自动“固化”为静态条目，既保证安全又便于维护。

（2）端口隔离——同一VLAN内的“物理隔离”

同一VLAN内的端口默认可以互通，但很多场景下同一VLAN内的设备不需要互访。端口隔离可以实现隔离组内端口之间二层数据的隔离。

配置实例：

[Huawei] system-view

[Huawei] port-isolate mode all

[Huawei] interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1] port-isolate enable group 1

[Huawei-GigabitEthernet0/0/1] quit

[Huawei] interface GigabitEthernet 0/0/2

[Huawei-GigabitEthernet0/0/2] port-isolate enable group 1

将GE0/0/1和GE0/0/2加入同一隔离组，两个端口之间二层完全隔离。某企业园区网络实施端口隔离后，内部主机横向扫描行为减少93%。

（3）风暴控制——别让广播“淹死”网络

配置实例——限制广播报文速率：

[Huawei] system-view

[Huawei] interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1] storm-control broadcast min-rate 1000 max-rate 2000

配置风暴控制后，某运营商接入交换机成功抵御了400Mbps的DHCP饥饿攻击。

2. 协议安全加固——掐断攻击的“传播路径”

（1）DHCP Snooping——只认“官方”DHCP服务器

非法DHCP服务器是内网常见威胁。DHCP Snooping通过在信任接口和非信任接口之间建立“防火墙”，有效防御DHCP攻击。

配置实例：

[Huawei] system-view

[Huawei] dhcp snooping enable

[Huawei] interface GigabitEthernet 0/0/24

[Huawei-GigabitEthernet0/0/24] dhcp snooping trusted

[Huawei-GigabitEthernet0/0/24] quit

[Huawei] interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1] dhcp snooping enable

将与合法DHCP服务器相连的接口（如GE0/0/24）设为信任接口，其他用户接口启用DHCP Snooping，有效防止非法DHCP服务器分配错误IP。

（2）BPDU保护——防止STP被“忽悠”

边缘端口如果收到BPDU报文，说明可能有非法交换机接入。配置BPDU保护后，边缘端口收到BPDU报文会自动error-down。

配置实例：

[Huawei] system-view

[Huawei] stp bpdu-protection

配置BPDU保护后，某数据中心核心交换机拓扑震荡事件减少98%。

3. MAC层防护——让“身份”无法伪造

（1）静态MAC绑定——最严格的“白名单”

配置实例：

[Huawei] system-view

[Huawei] mac-address static 5489-980a-1234 interface GigabitEthernet 0/0/1 vlan 10

将MAC地址5489-980a-1234与GE0/0/1端口、VLAN10绑定，只允许该设备通过此端口通信。

（2）MAC防漂移——保护服务器不被冒名顶替

配置实例：

[Huawei] system-view

[Huawei] vlan 10

[Huawei-vlan10] quit

[Huawei] interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1] port link-type hybrid

[Huawei-GigabitEthernet0/0/1] port hybrid pvid vlan 10

[Huawei-GigabitEthernet0/0/1] mac-learning priority 2

通过设置MAC地址学习优先级，高优先级接口学到的MAC地址可以覆盖低优先级接口的条目，防止MAC地址在接口间漂移。

4. 访问认证——从“信任接入”到“零信任”

802.1X认证——每个设备都要“验明正身”

802.1X是一种基于端口的网络接入控制方式，配合RADIUS服务器实现动态VLAN分配，对用户的网络访问权限进行严格控制。

配置实例（简化版）：

[Huawei] system-view

[Huawei] dot1x enable

[Huawei] interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1] dot1x enable

某高校无线网络部署802.1X认证后，非法设备接入事件归零。

老张总结

说了这么多，老张给大家划个重点：

二层安全不是“选配”，而是“标配” 。很多同行觉得二层配置麻烦，图省事只做三层ACL，结果内网出了问题排查半天才发现是二层被人钻了空子。

老张的建议是：接入层交换机的端口安全、DHCP Snooping、BPDU保护这三项，属于“必做项” ；有条件的再把802.1X认证和MAC防漂移加上。至于端口隔离和风暴控制，看实际场景按需配置。

安全这事儿，永远是防患于未然比事后救火划算得多。希望今天这篇文章对大家有帮助，有不同见解的欢迎在评论区跟老张交流！

——网工老张，写于2026年6月