以太网交换机端口安全MAC地址技术白皮书

以太网交换机端口安全MAC地址技术白皮书

以太网交换机端口安全MAC技术白皮书

武汉烽火网络有限责任公司

文档版本：V1.0 时间：2006-02-08 撰写：交换机项目组相关审核：技术支持部

人员，技术支持部

发布：武汉烽火网络有限责任公司市场部读者对象：烽火网络客户，烽火网络市场及客服所有人员

修订记录

修订序号修订日

期

修订内

容描述

修订者版本

声明:

1．本文仅作市场宣传参考，不作合同签定、技术配置的依据。由于编者技术水平有限，欢迎批评和指导。

2．版权所有，保留一切权力

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书的部分或全部，并不得以任何形式传播。

3．有任何疑问请垂询市场部技术支持部。

目录

一．交换机端口安全MAC地址技术概述 (7)

二、实现方式 (8)

1. CLI方式 (8)

2. WEB方式 (9)

摘要

本文介绍武汉烽火网络有限公司F-Engine 系列以太网交换机的端口安全MAC地址功能。随着网络应用的日益普及，尤其是在一些敏感场合的应用，网络安全成为日益迫切的需求。本文通过介绍F-Engine 系列以太网交换机如何通过端口安全MAC地址功能来进行安全防范。

关键词

MAC地址

一．交换机端口安全MAC地址技术概述

通信网络的每一层中都有自己独特的安全问题。数据链路层（第二协议层）的通信连接就安全而言，是较为薄弱的环节。网络安全的问题应该在多个协议层针对不同的弱点进行解决。

端口安全功能就是一个数据链路层的安全实现方式，它在接口上使能了端口安全后，交换机的这个端口上接收到数据包时，只有已经配置了的mac地址允许通过，如果数据包的源mac地址并不在接口的安全mac地址表中，那么交换机将丢弃收到的这个数据。

在交换机上配置端口安全选项可以防止CAM 表淹没攻击。该选择项要么可以提供特定交换机端口的MAC 地址说明，要么可以提供一个交换机端口可以习得的MAC 地址的数目方面的说明。当无效的MAC 地址在该端口被检测出来之后，该交换机要么可以阻止所提供的MAC 地址，要么可以关闭该端口。

二、实现方式

1. CLI方式

首先在接口上使能端口安全功能，然后配置允许通过的mac地址即可。

下面举例进行说明：

端口安全的使能以及安全mac地址的添加：

S2008MA(config)#int eth 1

S2008MA(config-eth-1)#security-mac enable S2008MA(config-eth-1)#security-mac add 00.0c.fa.a3.48.fa

S2008MA(config-eth-1)#security-mac add 00.0c.fa.a3.48.fb

上面的配置在接口1上使能端口安全功能，并允许来自mac地址00.0c.fa.a3.48.fa与00.0c.fa.a3.48.fb的数据包通过。

端口安全mac地址的删除以及端口安全的失效：S2008MA(config-eth-1)#security-mac delete 00.0c.fa.a3.48.fa

本命令执行后，mac地址00.0c.fa.a3.48.fa已不在接口1的安全mac地址表中；

S2008MA(config-eth-1)#security-mac disable 本命令执行后，接口1的端口安全功能失效。

注意事项：

(1)使能端口安全后，一定要添加允许通过的

mac地址，否则这个接口不允许接收所有的

数据包；

(2)在接口上使能端口安全时，需要收集允许

通过pc机的mac地址。

2. WEB方式

首先，登录交换机的web管理界面，进入“接口配置”节点下的“安全mac地址”配置节点，然后选择需要使能或者失效端口安全的接口，并配置允许通过的mac地址等。

下面是具体的web页面示例：