以太网交换机端口平安MAC技术白皮书内部资料,请勿传播以太网交换机端口平安MAC技术白皮书武汉烽火网络有限责任公司时间：2006-02-08撰写：交换机工程组相关人员，技术支持部技术支持部发布：武汉烽火网络有限责任公司市场部读者对象：烽火网络客户，烽火网络市场及客服所有人员修订记录修订序号修订日期修订内容描述修订者版本声明:1．本文仅作市场宣传参考，不作合同签定、技术配置的依据。由于编者技术水平有限，欢送批评和指导。2．版权所有，保存一切权力非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书的局部或全部，并不得以任何形式传播。3．有任何疑问请垂询市场部技术支持部。目录TOC\o"1-3"\h\zHYPERLINK\l"_Toc127679109"一．交换机端口平安MAC地址技术概述PAGEREF_Toc127679109\h5HYPERLINK\l"_Toc127679110"二、实现方式PAGEREF_Toc127679110\h5HYPERLINK\l"_Toc127679111"1.CLI方式PAGEREF_Toc127679111\h5HYPERLINK\l"_Toc127679112"2.WEB方式PAGEREF_Toc127679112\h6摘要本文介绍武汉烽火网络F-Engine系列以太网交换机的端口平安MAC地址功能。随着网络应用的日益普及，尤其是在一些敏感场合的应用，网络平安成为日益迫切的需求。本文通过介绍F-Engine系列以太网交换机如何通过端口平安MAC地址功能来进行平安防范。关键词MAC地址一．交换机端口平安MAC地址技术概述通信网络的每一层中都有自己独特的平安问题。数据链路层〔第二协议层〕的通信连接就平安而言，是较为薄弱的环节。网络平安的问题应该在多个协议层针对不同的弱点进行解决。端口平安功能就是一个数据链路层的平安实现方式，它在接口上使能了端口平安后，交换机的这个端口上接收到数据包时，只有已经配置了的mac地址允许通过，如果数据包的源mac地址并不在接口的平安mac地址表中，那么交换机将丢弃收到的这个数据。在交换机上配置端口平安选项可以防止CAM表淹没攻击。该选择项要么可以提供特定交换机端口的MAC地址说明，要么可以提供一个交换机端口可以习得的MAC地址的数目方面的说明。当无效的MAC地址在该端口被检测出来之后，该交换机要么可以阻止所提供的MAC地址，要么可以关闭该端口。二、实现方式1.CLI方式首先在接口上使能端口平安功能，然后配置允许通过的mac地址即可。下面举例进行说明：端口平安的使能以及平安mac地址的添加：S2021MA(config)#inteth1S2021MA(config-eth-1)#security-macenableb上面的配置在接口1上使能端口平安功能，并允许来自mac地址与b的数据包通过。端口平安mac地址的删除以及端口平安的失效：本命令执行后，mac地址已不在接口1的平安mac地址表中；S2021MA(config-eth-1)#security-macdisable本命令执行后，接口1的端口平安功能失效。考前须知：使能端口平安后，一定要添加允许通过的mac地址，否那么这个接口不允许接收所有的数据包；在接口上使能端口平安时，需要收集允许通过pc机的mac地址。2.WEB方式首先，登录交换机的web管理界面，进入“接口配置〞节点下的“平安mac地址〞配置节点，然后选择需要使能或者失效端口平安的接口，并配置允许通过的mac地址等。下面是具体的web页面例如：