交换机安全配置与管理详解

交换机安全配置与管理详解

1、基于MAC地址的安全功能配置

1. MAC地址表简介

MAC地址表记录了与交换机相连的设备的MAC地址、接口号以及所属的VLAN ID的对应关系，也就是通常所说的CAM（Content Addressable Memory，内容可寻址内存）表。在转发数据时，设备根据报文中的目的 MAC 地址查询 MAC 地址表，快速定位出接口，从而减少广播。

MAC地址表与ARP表是不同的，ARP表中描述的是IP地址与MAC地址的对应关系，用来通过IP地址解析MAC地址的，在局域网内部最终又是通过MAC地址表查找对应的出接口，进行数据帧转发的。

1）MAC地址表的分类

MAC地址表项分为动态表项、静态表项和黑洞表项。

动态表项由接口通过对报文中的源MAC地址学习方式动态获得的，这类MAC地址表项有老化时间。静态MAC地址表项则是由用户手工配置的，这类MAC地址表项不会被老化。

黑洞MAC 地址表项是一种特殊的静态MAC 地址表项，用于丢弃含有特定源MAC地址或目的MAC地址的数据帧。为防止无用MAC地址表项占用MAC地址表，同时为了防止黑客通过MAC地址攻击用户设备或网络，可将非信任用户的MAC地址配置为黑洞MAC地址，当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文时，直接丢弃。黑洞MAC地址表项也是由用户手工配置的，这类MAC地址表项也不会被老化。

在系统复位后，动态 MAC 地址表项会丢失，而保存的静态 MAC 地址表项和黑洞MAC地址表项都不会丢失。

2）MAC地址表项的生成方式

通过对前面MAC地址表项的类型介绍可以知道，MAC地址表项有两种生成方式：