以太網(wǎng)交換機端口安全MAC地址技術(shù)白皮書

1、 以太網(wǎng)交換機端口安全MAC技術(shù)白皮書以太網(wǎng)交換機端口安全MAC技術(shù)白皮書武漢烽火網(wǎng)絡(luò)有限責任公司文檔版本：V1.0時間：2006-02-08撰寫：交換機項目組相關(guān)人員，技術(shù)支持部審核：技術(shù)支持部發(fā)布：武漢烽火網(wǎng)絡(luò)有限責任公司市場部讀者對象：烽火網(wǎng)絡(luò)客戶，烽火網(wǎng)絡(luò)市場及客服所有人員修訂記錄修訂序號修訂日期修訂內(nèi)容描述修訂者 版本聲明:1本文僅作市場宣傳參考，不作合同簽定、技術(shù)配置的依據(jù)。由于編者技術(shù)水平有限，歡迎批評和指導。2版權(quán)所有，保留一切權(quán)力非經(jīng)本公司書面許可，任何單位和個人不得擅自摘抄、復制本書的部分或全部，并不得以任何形式傳播。3有任何疑問請垂詢市場部技術(shù)支持部。目 錄一交換機端口安

2、全MAC地址技術(shù)概述5二、實現(xiàn)方式51. CLI方式52. WEB方式6摘要本文介紹武漢烽火網(wǎng)絡(luò)有限公司 F-Engine 系列以太網(wǎng)交換機的端口安全MAC地址功能。隨著網(wǎng)絡(luò)應(yīng)用的日益普及，尤其是在一些敏感場合的應(yīng)用，網(wǎng)絡(luò)安全成為日益迫切的需求。本文通過介紹F-Engine 系列以太網(wǎng)交換機如何通過端口安全MAC地址功能來進行安全防范。關(guān)鍵詞MAC地址一交換機端口安全MAC地址技術(shù)概述通信網(wǎng)絡(luò)的每一層中都有自己獨特的安全問題。數(shù)據(jù)鏈路層（第二協(xié)議層）的通信連接就安全而言，是較為薄弱的環(huán)節(jié)。網(wǎng)絡(luò)安全的問題應(yīng)該在多個協(xié)議層針對不同的弱點進行解決。端口安全功能就是一個數(shù)據(jù)鏈路層的安全實現(xiàn)方式，它在接

3、口上使能了端口安全后，交換機的這個端口上接收到數(shù)據(jù)包時，只有已經(jīng)配置了的mac地址允許通過，如果數(shù)據(jù)包的源mac地址并不在接口的安全mac地址表中，那么交換機將丟棄收到的這個數(shù)據(jù)。 在交換機上配置端口安全選項可以防止 CAM 表淹沒攻擊。該選擇項要么可以提供特定交換機端口的 MAC 地址說明，要么可以提供一個交換機端口可以習得的 MAC 地址的數(shù)目方面的說明。當無效的 MAC 地址在該端口被檢測出來之后，該交換機要么可以阻止所提供的 MAC 地址，要么可以關(guān)閉該端口。 二、實現(xiàn)方式1. CLI方式首先在接口上使能端口安全功能，然后配置允許通過的mac地址即可。下面舉例進行說明：端口安全的使能以

4、及安全mac地址的添加：S2008MA(config)#int eth 1S2008MA(config-eth-1)#security-mac enableS2008MA(config-eth-1)#security-mac add 00.0c.fa.a3.48.faS2008MA(config-eth-1)#security-mac add 00.0c.fa.a3.48.fb上面的配置在接口1上使能端口安全功能，并允許來自mac地址00.0c.fa.a3.48.fa與00.0c.fa.a3.48.fb的數(shù)據(jù)包通過。端口安全mac地址的刪除以及端口安全的失效：S2008MA(config-eth-1)#security-mac delete 00.0c.fa.a3.48.fa本命令執(zhí)行后，mac地址00.0c.fa.a3.48.fa已不在接口1的安全mac地址表中；S2008MA(config-eth-1)#security-mac disable本命令執(zhí)行后，接口1的端口安全功能失效。注意事項：(1) 使能端口安全后，一定要添加允許通過的mac地址，否則這個接口不允許接收所有的數(shù)據(jù)包；(2) 在接口上使能端口安全時，需要收集允許通過pc機的mac地址。2. WEB方式首先，登錄交換機的web管理界面，進入“接口配置”