以太网交换机端口安全MAC地址技术白皮书Word格式文档下载.docx

1、时间：2006-02-08撰写：交换机项目组相关人员，技术支持部审核：技术支持部发布：武汉烽火网络有限责任公司市场部读者对象：烽火网络客户，烽火网络市场及客服所有人员修订记录修订序号修订日期修订内容描述修订者 版本声明:1本文仅作市场宣传参考，不作合同签定、技术配置的依据。由于编者技术水平有限，欢迎批评和指导。2版权所有，保留一切权力非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书的部分或全部，并不得以任何形式传播。3有任何疑问请垂询市场部技术支持部。摘要本文介绍武汉烽火网络有限公司 F-Engine 系列以太网交换机的端口安全MAC地址功能。随着网络应用的日益普及，尤其是在一些敏感场

2、合的应用，网络安全成为日益迫切的需求。本文通过介绍F-Engine 系列以太网交换机如何通过端口安全MAC地址功能来进行安全防范。关键词MAC地址一交换机端口安全MAC地址技术概述 通信网络的每一层中都有自己独特的安全问题。数据链路层（第二协议层）的通信连接就安全而言，是较为薄弱的环节。网络安全的问题应该在多个协议层针对不同的弱点进行解决。端口安全功能就是一个数据链路层的安全实现方式，它在接口上使能了端口安全后，交换机的这个端口上接收到数据包时，只有已经配置了的mac地址允许通过，如果数据包的源mac地址并不在接口的安全mac地址表中，那么交换机将丢弃收到的这个数据。 在交换机上配置端口安全选

3、项可以防止 CAM 表淹没攻击。该选择项要么可以提供特定交换机端口的 MAC 地址说明，要么可以提供一个交换机端口可以习得的 MAC 地址的数目方面的说明。当无效的 MAC 地址在该端口被检测出来之后，该交换机要么可以阻止所提供的 MAC 地址，要么可以关闭该端口。 二、实现方式1. CLI方式 首先在接口上使能端口安全功能，然后配置允许通过的mac地址即可。 下面举例进行说明：端口安全的使能以及安全mac地址的添加： S2008MA（config）#int eth 1 S2008MA（config-eth-1）#security-mac enable S2008MA（config-eth-1

4、）#security-mac add 00.0c.fa.a3.48.fa S2008MA（config-eth-1）#security-mac add 00.0c.fa.a3.48.fb 上面的配置在接口1上使能端口安全功能，并允许来自mac地址00.0c.fa.a3.48.fa与00.0c.fa.a3.48.fb的数据包通过。端口安全mac地址的删除以及端口安全的失效： S2008MA（config-eth-1）#security-mac delete 00.0c.fa.a3.48.fa 本命令执行后，mac地址00.0c.fa.a3.48.fa已不在接口1的安全mac地址表中； S2008MA（config-eth-1）#security-mac disable 本命令执行后，接口1的端口安全功能失效。 注意事项：（1） 使能端口安全后，一定要添加允许通过的mac地址，否则这个接口不允许接收所有的数据包；（2） 在接口上使能端口安全时，需要收集允许通过pc机的mac地址。2. WEB方式 首先，登录交换机的web管理界面，进入“接口配置”节点下的“安全mac地址”配置节点，然后选择需要使能或者失效端口安全的接口，并配置允许通过的mac地址等。 下面是具体的web页面示例：