以太网交换机端口安全MAC地址技术白皮书.docx

以太网交换机端口安全MAC技术白皮书 武汉烽火网络有限责任公司 文档版本：V1.0 时间：2006-02-08 撰写：交换机项目组相关人员，技术支持部 审核：技术支持部 发布：武汉烽火网络有限责任公司市场部 读者对象：烽火网络客户，烽火网络市场及客服所有人员 修订记录 修订序号 修订日期 修订内容描述 修订者 版本 声明: 1．本文仅作市场宣传参考，不作合同签定、技术配置的依据。由于编者技术水平有限，欢迎批评和指导。 2．版权所有，保留一切权力 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书的部分或全部，并不得以任何形式传播。 3．有任何疑问请垂询市场部技术支持部。 目 录 一．交换机端口安全MAC地址技术概述 5 二、实现方式 5 1. CLI方式 5 2. WEB方式 6 摘要 本文介绍武汉烽火网络有限公司 F-Engine 系列以太网交换机的端口安全MAC地址功能。随着网络应用的日益普及，尤其是在一些敏感场合的应用，网络安全成为日益迫切的需求。本文通过介绍F-Engine 系列以太网交换机如何通过端口安全MAC地址功能来进行安全防范。 关键词 MAC地址 一．交换机端口安全MAC地址技术概述 通信网络的每一层中都有自己独特的安全问题。数据链路层（第二协议层）的通信连接就安全而言，是较为薄弱的环节。网络安全的问题应该在多个协议层针对不同的弱点进行解决。 端口安全功能就是一个数据链路层的安全实现方式，它在接口上使能了端口安全后，交换机的这个端口上接收到数据包时，只有已经配置了的mac地址允许通过，如果数据包的源mac地址并不在接口的安全mac地址表中，那么交换机将丢弃收到的这个数据。 　 在交换机上配置端口安全选项可以防止 CAM 表淹没攻击。该选择项要么可以提供特定交换机端口的 MAC 地址说明，要么可以提供一个交换机端口可以习得的 MAC 地址的数目方面的说明。当无效的 MAC 地址在该端口被检测出来之后，该交换机要么可以阻止所提供的 MAC 地址，要么可以关闭该端口。 二、实现方式 1. CLI方式 首先在接口上使能端口安全功能，然后配置允许通过的mac地址即可。 下面举例进行说明： 端口安全的使能以及安全mac地址的添加： S2008MA(config)#int eth 1 S2008MA(config-eth-1)#security-mac enable S2008MA(config-eth-1)#security-mac add 00.0c.fa.a3.48.fa S2008MA(config-eth-1)#security-mac add 00.0c.fa.a3.48.fb 上面的配置在接口1上使能端口安全功能，并允许来自mac地址00.0c.fa.a3.48.fa与00.0c.fa.a3.48.fb的数据包通过。 端口安全mac地址的删除以及端口安全的失效： S2008MA(config-eth-1)#security-mac delete 00.0c.fa.a3.48.fa 本命令执行后，mac地址00.0c.fa.a3.48.fa已不在接口1的安全mac地址表中； S2008MA(config-eth-1)#security-mac disable 本命令执行后，接口1的端口安全功能失效。 注意事项： (1) 使能端口安全后，一定要添加允许通过的mac地址，否则这个接口不允许接收所有的数据包； (2) 在接口上使能端口安全时，需要收集允许通过pc机的mac地址。 2. WEB方式 首先，登录交换机的web管理界面，进入“接口配置”节点下的“安全mac地址”配置节点，然后选择需要使能或者失效端口安全的接口，并配置允许通过的mac地址等。 下面是具体的web页面示例：