编号：时间：2021年x月x日书山有路勤为径学海无涯苦作舟页码：以太网交换机端口安全MAC技术白皮书武汉烽火网络有限责任公司文档版本：V1.0时间：2006-02-08撰写：交换机项目组相关人员技术支持部审核：技术支持部发布：武汉烽火网络有限责任公司市场部读者对象：烽火网络客户烽火网络市场及客服所有人员修订记录修订序号修订日期修订内容描述修订者版本声明:1．本文仅作市场宣传参考不作合同签定、技术配置的依据。由于编者技术水平有限欢迎批评和指导。2．版权所有保留一切权力非经本公司书面许可任何单位和个人不得擅自摘抄、复制本书的部分或全部并不得以任何形式传播。3．有任何疑问请垂询市场部技术支持部。目录一．交换机端口安全MAC地址技术概述5二、实现方式51.CLI方式52.WEB方式6摘要本文介绍武汉烽火网络有限公司F-Engine系列以太网交换机的端口安全MAC地址功能。随着网络应用的日益普及尤其是在一些敏感场合的应用网络安全成为日益迫切的需求。本文通过介绍F-Engine系列以太网交换机如何通过端口安全MAC地址功能来进行安全防范。关键词MAC地址一．交换机端口安全MAC地址技术概述通信网络的每一层中都有自己独特的安全问题。数据链路层（第二协议层）的通信连接就安全而言是较为薄弱的环节。网络安全的问题应该在多个协议层针对不同的弱点进行解决。端口安全功能就是一个数据链路层的安全实现方式它在接口上使能了端口安全后交换机的这个端口上接收到数据包时只有已经配置了的mac地址允许通过如果数据包的源mac地址并不在接口的安全mac地址表中那么交换机将丢弃收到的这个数据。在交换机上配置端口安全选项可以防止CAM表淹没攻击。该选择项要么可以提供特定交换机端口的MAC地址说明要么可以提供一个交换机端口可以习得的MAC地址的数目方面的说明。当无效的MAC地址在该端口被检测出来之后该交换机要么可以阻止所提供的MAC地址要么可以关闭该端口。二、实现方式1.CLI方式首先在接口上使能端口安全功能然后配置允许通过的mac地址即可。下面举例进行说明：端口安全的使能以及安全mac地址的添加：S2008MA(config)#inteth1S2008MA(config-eth-1)#security-macenableS2008MA(config-eth-1)#security-macadd00.0c.fa.a3.48.faS2008MA(config-eth-1)#security-macadd00.0c.fa.a3.48.fb上面的配置在接口1上使能端口安全功能并允许来自mac地址00.0c.fa.a3.48.fa与00.0c.fa.a3.48.fb的数据包通过。端口安全mac地址的删除以及端口安全的失效：S2008MA(config-eth-1)#security-macdelete00.0c.fa.a3.48.fa本命令执行后mac地址00.0c.fa.a3.48.fa已不在接口1的安全mac地址表中；S2008MA(config-eth-1)#security-macdisable本命令执行后接口1的端口安全功能失效。注意事项：使能端口安全后一定要添加允许通过的mac地址否则这个接口不允许接收所有的数据包；在接口上使能端口安全时需要收集允许通过pc机的mac地址。2.WEB方式首先登录交换机的web管理界面进入“接口配置”节点下的“安全mac地址”配置节点然后选择需要使能或者失效端口安全的接口并配置允许通过的mac地址等。下面是具体的web页面示例：