以太网交换机端口安全MAC地址技术白皮书Word格式文档下载.docx
《以太网交换机端口安全MAC地址技术白皮书Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《以太网交换机端口安全MAC地址技术白皮书Word格式文档下载.docx(4页珍藏版)》请在冰豆网上搜索。
时间:
2006-02-08
撰写:
交换机项目组相关人员,技术支持部
审核:
技术支持部
发布:
武汉烽火网络有限责任公司市场部
读者对象:
烽火网络客户,烽火网络市场及客服所有人员
修订记录
修订序号
修订日期
修订内容描述
修订者
版本
声明:
1.本文仅作市场宣传参考,不作合同签定、技术配置的依据。
由于编者技术水平有限,欢迎批评和指导。
2.版权所有,保留一切权力
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书的部分或全部,并不得以任何形式传播。
3.有任何疑问请垂询市场部技术支持部。
摘要
本文介绍武汉烽火网络有限公司F-Engine系列以太网交换机的端口安全MAC地址功能。
随着网络应用的日益普及,尤其是在一些敏感场合的应用,网络安全成为日益迫切的需求。
本文通过介绍F-Engine系列以太网交换机如何通过端口安全MAC地址功能来进行安全防范。
关键词
MAC地址
一.交换机端口安全MAC地址技术概述
通信网络的每一层中都有自己独特的安全问题。
数据链路层(第二协议层)的通信连接就安全而言,是较为薄弱的环节。
网络安全的问题应该在多个协议层针对不同的弱点进行解决。
端口安全功能就是一个数据链路层的安全实现方式,它在接口上使能了端口安全后,交换机的这个端口上接收到数据包时,只有已经配置了的mac地址允许通过,如果数据包的源mac地址并不在接口的安全mac地址表中,那么交换机将丢弃收到的这个数据。
在交换机上配置端口安全选项可以防止CAM表淹没攻击。
该选择项要么可以提供特定交换机端口的MAC地址说明,要么可以提供一个交换机端口可以习得的MAC地址的数目方面的说明。
当无效的MAC地址在该端口被检测出来之后,该交换机要么可以阻止所提供的MAC地址,要么可以关闭该端口。
二、实现方式
1.CLI方式
首先在接口上使能端口安全功能,然后配置允许通过的mac地址即可。
下面举例进行说明:
端口安全的使能以及安全mac地址的添加:
S2008MA(config)#inteth1
S2008MA(config-eth-1)#security-macenable
S2008MA(config-eth-1)#security-macadd00.0c.fa.a3.48.fa
S2008MA(config-eth-1)#security-macadd00.0c.fa.a3.48.fb
上面的配置在接口1上使能端口安全功能,并允许来自mac地址00.0c.fa.a3.48.fa与00.0c.fa.a3.48.fb的数据包通过。
端口安全mac地址的删除以及端口安全的失效:
S2008MA(config-eth-1)#security-macdelete00.0c.fa.a3.48.fa
本命令执行后,mac地址00.0c.fa.a3.48.fa已不在接口1的安全mac地址表中;
S2008MA(config-eth-1)#security-macdisable
本命令执行后,接口1的端口安全功能失效。
注意事项:
(1)使能端口安全后,一定要添加允许通过的mac地址,否则这个接口不允许接收所有的数据包;
(2)在接口上使能端口安全时,需要收集允许通过pc机的mac地址。
2.WEB方式
首先,登录交换机的web管理界面,进入“接口配置”节点下的“安全mac地址”配置节点,然后选择需要使能或者失效端口安全的接口,并配置允许通过的mac地址等。
下面是具体的web页面示例: