以太网交换机端口安全MAC地址技术白皮书Word格式文档下载.docx

以太网交换机端口安全MAC地址技术白皮书Word格式文档下载.docx

《以太网交换机端口安全MAC地址技术白皮书Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《以太网交换机端口安全MAC地址技术白皮书Word格式文档下载.docx（4页珍藏版）》请在冰豆网上搜索。

时间：

2006-02-08

撰写：

交换机项目组相关人员，技术支持部

审核：

技术支持部

发布：

武汉烽火网络有限责任公司市场部

读者对象：

烽火网络客户，烽火网络市场及客服所有人员

修订记录

修订序号

修订日期

修订内容描述

修订者

版本

声明:

1．本文仅作市场宣传参考，不作合同签定、技术配置的依据。

由于编者技术水平有限，欢迎批评和指导。

2．版权所有，保留一切权力

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书的部分或全部，并不得以任何形式传播。

3．有任何疑问请垂询市场部技术支持部。

摘要

本文介绍武汉烽火网络有限公司F-Engine系列以太网交换机的端口安全MAC地址功能。

随着网络应用的日益普及，尤其是在一些敏感场合的应用，网络安全成为日益迫切的需求。

本文通过介绍F-Engine系列以太网交换机如何通过端口安全MAC地址功能来进行安全防范。

关键词

MAC地址

一．交换机端口安全MAC地址技术概述

通信网络的每一层中都有自己独特的安全问题。

数据链路层（第二协议层）的通信连接就安全而言，是较为薄弱的环节。

网络安全的问题应该在多个协议层针对不同的弱点进行解决。

端口安全功能就是一个数据链路层的安全实现方式，它在接口上使能了端口安全后，交换机的这个端口上接收到数据包时，只有已经配置了的mac地址允许通过，如果数据包的源mac地址并不在接口的安全mac地址表中，那么交换机将丢弃收到的这个数据。

　在交换机上配置端口安全选项可以防止CAM表淹没攻击。

该选择项要么可以提供特定交换机端口的MAC地址说明，要么可以提供一个交换机端口可以习得的MAC地址的数目方面的说明。

当无效的MAC地址在该端口被检测出来之后，该交换机要么可以阻止所提供的MAC地址，要么可以关闭该端口。

二、实现方式

1.CLI方式

首先在接口上使能端口安全功能，然后配置允许通过的mac地址即可。

下面举例进行说明：

端口安全的使能以及安全mac地址的添加：

S2008MA（config）#inteth1

S2008MA（config-eth-1）#security-macenable

S2008MA（config-eth-1）#security-macadd00.0c.fa.a3.48.fa

S2008MA（config-eth-1）#security-macadd00.0c.fa.a3.48.fb

上面的配置在接口1上使能端口安全功能，并允许来自mac地址00.0c.fa.a3.48.fa与00.0c.fa.a3.48.fb的数据包通过。

端口安全mac地址的删除以及端口安全的失效：

S2008MA（config-eth-1）#security-macdelete00.0c.fa.a3.48.fa

本命令执行后，mac地址00.0c.fa.a3.48.fa已不在接口1的安全mac地址表中；

S2008MA（config-eth-1）#security-macdisable

本命令执行后，接口1的端口安全功能失效。

注意事项：

（1）使能端口安全后，一定要添加允许通过的mac地址，否则这个接口不允许接收所有的数据包；

（2）在接口上使能端口安全时，需要收集允许通过pc机的mac地址。

2.WEB方式

首先，登录交换机的web管理界面，进入“接口配置”节点下的“安全mac地址”配置节点，然后选择需要使能或者失效端口安全的接口，并配置允许通过的mac地址等。

下面是具体的web页面示例：