搜索
以太网交换机端口安全MAC技术白皮书武汉烽火网络有限责任公司文档版本:V1.0时间:2006-02-08撰写:交换机项目组相关人员,技术支持部审核:技术支持部发布:武汉烽火网络有限责任公司市场部读者对象:烽火网络客户,烽火网络市场及客服所有人员以太网交换机端口安全MAC技术白皮书内部资料,请勿传播2修订记录修订序号修订日期修订内容描述修订者版本声明:1.本文仅作市场宣传参考,不作合同签定、技术配置的依据。由于编者技术水平有限,欢迎批评和指导。2.版权所有,保留一切权力非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书的部分或全部,并不得以任何形式传播。3.有任何疑问请垂询市场部技术支持部。以太网交换机端口安全MAC技术白皮书内部资料,请勿传播3目录一.交换机端口安全MAC地址技术概述..................................5二、实现方式........................................................51.CLI方式......................................................52.WEB方式......................................................6以太网交换机端口安全MAC技术白皮书内部资料,请勿传播4摘要本文介绍武汉烽火网络有限公司F-Engine系列以太网交换机的端口安全MAC地址功能。随着网络应用的日益普及,尤其是在一些敏感场合的应用,网络安全成为日益迫切的需求。本文通过介绍F-Engine系列以太网交换机如何通过端口安全MAC地址功能来进行安全防范。关键词MAC地址以太网交换机端口安全MAC技术白皮书内部资料,请勿传播5一.交换机端口安全MAC地址技术概述通信网络的每一层中都有自己独特的安全问题。数据链路层(第二协议层)的通信连接就安全而言,是较为薄弱的环节。网络安全的问题应该在多个协议层针对不同的弱点进行解决。端口安全功能就是一个数据链路层的安全实现方式,它在接口上使能了端口安全后,交换机的这个端口上接收到数据包时,只有已经配置了的mac地址允许通过,如果数据包的源mac地址并不在接口的安全mac地址表中,那么交换机将丢弃收到的这个数据。在交换机上配置端口安全选项可以防止CAM表淹没攻击。该选择项要么可以提供特定交换机端口的MAC地址说明,要么可以提供一个交换机端口可以习得的MAC地址的数目方面的说明。当无效的MAC地址在该端口被检测出来之后,该交换机要么可以阻止所提供的MAC地址,要么可以关闭该端口。二、实现方式1.CLI方式首先在接口上使能端口安全功能,然后配置允许通过的mac地址即可。下面举例进行说明:端口安全的使能以及安全mac地址的添加:S2008MA(config)#inteth1S2008MA(config-eth-1)#security-macenableS2008MA(config-eth-1)#security-macadd00.0c.fa.a3.48.faS2008MA(config-eth-1)#security-macadd00.0c.fa.a3.48.fb上面的配置在接口1上使能端口安全功能,并允许来自mac地址00.0c.fa.a3.48.fa与00.0c.fa.a3.48.fb的数据包通过。端口安全mac地址的删除以及端口安全的失效:S2008MA(config-eth-1)#security-macdelete00.0c.fa.a3.48.fa以太网交换机端口安全MAC技术白皮书内部资料,请勿传播6本命令执行后,mac地址00.0c.fa.a3.48.fa已不在接口1的安全mac地址表中;S2008MA(config-eth-1)#security-macdisable本命令执行后,接口1的端口安全功能失效。注意事项:(1)使能端口安全后,一定要添加允许通过的mac地址,否则这个接口不允许接收所有的数据包;(2)在接口上使能端口安全时,需要收集允许通过pc机的mac地址。2.WEB方式首先,登录交换机的web管理界面,进入“接口配置”节点下的“安全mac地址”配置节点,然后选择需要使能或者失效端口安全的接口,并配置允许通过的mac地址等。下面是具体的web页面示例: