以太网交换机端口安全MAC地址技术白皮书

1、以太网交换机端口安全以太网交换机端口安全 macmac地址地址技术白皮书技术白皮书以太网交换机端口安全以太网交换机端口安全macmac 技术白皮书技术白皮书武汉烽火网络有限责任公司武汉烽火网络有限责任公司文档版本：文档版本：v1.0v1.0时间：时间：2006-02-082006-02-08撰写：交换机项目组相关撰写：交换机项目组相关 审核：技术支持部审核：技术支持部以太网交换机端口安全以太网交换机端口安全 macmac 技术白皮书技术白皮书人员，技术支持部人员，技术支持部发布：武汉烽火网络有限发布：武汉烽火网络有限 读者对象：读者对象： 烽火网络客烽火网络客责任公司市场部责任公司市场部户，户

2、， 烽火网络市场及客烽火网络市场及客服所有人员服所有人员修订记录修订记录修修 订订 序序 修修 订订 日日 修修 订订 内内 修订者修订者版本版本号号期期容描述容描述声明声明: :1 1本文仅作市场宣传参考，不作合同签定、技本文仅作市场宣传参考，不作合同签定、技术配置的依据。术配置的依据。由于编者技术水平有限，由于编者技术水平有限，欢迎批欢迎批评和指导。评和指导。2 2版权所有，保留一切权力版权所有，保留一切权力内部资料内部资料, ,请勿传播请勿传播3 3以太网交换机端口安全以太网交换机端口安全 macmac 技术白皮书技术白皮书非经本公司书面许可，非经本公司书面许可， 任何单位和个人不得擅自

3、任何单位和个人不得擅自摘抄、摘抄、复制本书的部分或全部，复制本书的部分或全部，并不得以任何形并不得以任何形式传播。式传播。3 3有任何疑问请垂询市场部技术支持部。有任何疑问请垂询市场部技术支持部。内部资料内部资料, ,请勿传播请勿传播4 4以太网交换机端口安全以太网交换机端口安全 macmac 技术白皮书技术白皮书目目 录录一交换机端口安全一交换机端口安全 macmac 地址技术概述地址技术概述 . . 7 7二、实现方式二、实现方式 .8 81. cli1. cli 方式方式. 8 82. web2. web 方式方式. 9 9内部资料内部资料, ,请勿传播请勿传播5 5以太网交换机端口安全

4、以太网交换机端口安全 macmac 技术白皮书技术白皮书摘要摘要本文介绍武汉烽火网络有限公司本文介绍武汉烽火网络有限公司 f-enginef-engine 系系列以太网交换机的端口安全列以太网交换机的端口安全macmac地址功能。随地址功能。随着网络应用的日益普及，着网络应用的日益普及， 尤其是在一些敏感场合尤其是在一些敏感场合的应用，的应用，网络安全成为日益迫切的需求。网络安全成为日益迫切的需求。本文通本文通过介绍过介绍f-enginef-engine 系列以太网交换机如何通过端系列以太网交换机如何通过端口安全口安全macmac地址功能来进行安全防范。地址功能来进行安全防范。关键词关键词ma

5、cmac地址地址内部资料内部资料, ,请勿传播请勿传播6 6以太网交换机端口安全以太网交换机端口安全 macmac 技术白皮书技术白皮书一交换机端口安全一交换机端口安全 macmac 地址技术概述地址技术概述通信网络的每一层中都有自己独特的安全问通信网络的每一层中都有自己独特的安全问题。数据链路层（第二协议层）的通信连接就安题。数据链路层（第二协议层）的通信连接就安全而言，全而言，是较为薄弱的环节。是较为薄弱的环节。网络安全的问题应网络安全的问题应该在多个协议层针对不同的弱点进行解决。该在多个协议层针对不同的弱点进行解决。端口安全功能就是一个数据链路层的安全实端口安全功能就是一个数据链路层的安

6、全实现方式，现方式，它在接口上使能了端口安全后，它在接口上使能了端口安全后，交换机交换机的这个端口上接收到数据包时，的这个端口上接收到数据包时， 只有已经配置了只有已经配置了的的 macmac 地址允许通过，如果数据包的源地址允许通过，如果数据包的源 macmac 地地址并不在接口的安全址并不在接口的安全 macmac 地址表中，那么交换地址表中，那么交换机将丢弃收到的这个数据。机将丢弃收到的这个数据。在交换机上配置端口安全选项可以防止在交换机上配置端口安全选项可以防止camcam 表淹没攻击。表淹没攻击。该选择项要么可以提供特定该选择项要么可以提供特定交换机端口的交换机端口的 macmac

7、地址说明，要么可以提供地址说明，要么可以提供一个交换机端口可以习得的一个交换机端口可以习得的 macmac 地址的数目地址的数目方面的说明。当无效的方面的说明。当无效的 macmac 地址在该端口被地址在该端口被检测出来之后，检测出来之后， 该交换机要么可以阻止所提供的该交换机要么可以阻止所提供的macmac 地址，要么可以关闭该端口。地址，要么可以关闭该端口。内部资料内部资料, ,请勿传播请勿传播7 7以太网交换机端口安全以太网交换机端口安全 macmac 技术白皮书技术白皮书二、实现方式二、实现方式1. cli1. cli 方式方式首先在接口上使能端口安全功能，首先在接口上使能端口安全功能

8、， 然后配置允然后配置允许通过的许通过的 macmac 地址即可。地址即可。下面举例进行说明：下面举例进行说明：端口安全的使能以及安全端口安全的使能以及安全 macmac 地址的添加：地址的添加：s2008ma(config)#int eth 1s2008ma(config)#int eth 1s2008ma(config-eth-1)#security-mac enables2008ma(config-eth-1)#security-mac enables2008ma(config-eth-1)#security-macs2008ma(config-eth-1)#security-mac00

9、.0c.fa.a3.48.fa00.0c.fa.a3.48.fas2008ma(config-eth-1)#security-macs2008ma(config-eth-1)#security-mac00.0c.fa.a3.48.fb00.0c.fa.a3.48.fb上面的配置在接口上面的配置在接口 1 1 上使能端口安全功能，上使能端口安全功能， 并并允允 许许 来来 自自macmac地地 址址00.0c.fa.a3.48.fa00.0c.fa.a3.48.fa与与00.0c.fa.a3.48.fb00.0c.fa.a3.48.fb 的数据包通过。的数据包通过。端口安全端口安全 macmac

10、 地址的删除以及端口安全的失效：地址的删除以及端口安全的失效：s2008ma(config-eth-1)#security-macs2008ma(config-eth-1)#security-macdeletedelete00.0c.fa.a3.48.fa00.0c.fa.a3.48.fa内部资料内部资料, ,请勿传播请勿传播8 8addaddaddadd以太网交换机端口安全以太网交换机端口安全 macmac 技术白皮书技术白皮书本命令执行后，本命令执行后，macmac 地址地址 00.0c.fa.a3.48.fa00.0c.fa.a3.48.fa 已已不在接口不在接口 1 1 的安全的安全

11、macmac 地址表中；地址表中；s2008ma(config-eth-1)#security-mac disables2008ma(config-eth-1)#security-mac disable本命令执行后，接口本命令执行后，接口 1 1 的端口安全功能失效。的端口安全功能失效。注意事项：注意事项：(1)(1)使能端口安全后，使能端口安全后， 一定要添加允许通过的一定要添加允许通过的macmac 地址，地址， 否则这个接口不允许接收所有的否则这个接口不允许接收所有的数据包；数据包；(2)(2)在接口上使能端口安全时，在接口上使能端口安全时， 需要收集允许需要收集允许通过通过 pcpc 机的机的 macmac 地址。地址。2. web2. web 方式方式首先，首先，登录交换机的登录交换机的 webweb 管理界面，管理界面，进入进入“接“接口配置”节点下的“安全口配置”节点下的“安全 macmac 地址”配置节点，地址”配置节点，然后选择需要