发布时间:2013-11-16
点击量:3300
应用场景:
端口安全功能适用于用户希望控制端口下接入用户的IP和MAC必须是管理员指定的合法用户才能使用网络,或者希望使用者能够在固定端口下上网而不能随意移动,变换IP/MAC或者端口号,或控制端口下的用户MAC数,防止MAC地址耗尽攻击(病毒发送持续变化的构造出来的MAC地址,导致交换机短时间内学习了大量无用的MAC地址,8K/16K地址表满掉后无法学习合法用户的MAC,导致通信异常)的场景。
当使用1X认证配合我司SU/SA客户端的场景中,可以使用授权绑定或DHCP Snooping+IP Source Guard组合更智能的方式实现安全控制。
端口安全可以配合ARP-Check可以实现静态IP环境下的防范ARP欺骗,可以参考静态IP环境防ARP欺骗
功能原理:
端口安全:端口安全功能通过定义报文的源MAC地址来限定报文是否可以进入交换机的端口,你可以静态设置特定的MAC地址或者限定动态学习的MAC地址的个数来控制报文是否可以进入端口,使能端口安全功能的端口称为安全端口。只有源MAC地址为端口安全地址表中配置或者学习到的MAC地址的报文才可以进入交换机通信,其他报文将被丢弃。
您还可以设定端口安全地址绑定IP+MAC,或者仅绑定IP,用来限制必须符合绑定的以端口安全地址为源MAC地址的报文才能进入交换机通信。
文档评价
_b519551283d64dc48691c275c7325211.webp "RG-AM5552-SF(V2)全光智分+主机")
_6e8c38b04c704f679e07b61f63953282.webp "RG-AM5528(ES)智分+主机")
