介绍
将设备在端口接触到的MAC地址转为安全的MAC地址,阻止不安全和非静态的MAC地址连接到设备
安全MAC地址
-
手动配置的安全MAC地址
管理员手动配置的安全地址,允许指定的设备通过端口
-
粘性MAC地址(Sticky MAC),又称静态MAC地址
启用该功能时,端口会记录首次通过该端口发送数据的MAC地址,将其作为粘性MAC地址,只有这些地址发送的数据才能通过该端口
-
动态学习的安全MAC地址
这些MAC地址是由网络设备动态学习而来的,通常在设备首次通过某个端口发送数据时学习到。一旦学习到这些MAC地址,网络设备将允许相应的设备通过该端口进行通信,直到相关的MAC地址超时或被清除
学习过程
当一个数据帧从某个端口进入到交换机时,交换机会检查数据帧的源MAC地址。交换机会记录源MAC地址和接收到数据帧的端口,并记录在MAC地址表中(如果这是第一次在这个端口收到该MAC地址的数据帧,交换机会将该MAC地址添加到表中;如果已经存在该MAC地址的条目,则更新相关的端口信息)
ps:交换机会定期更新MAC地址表,如果在一段时间内没有接受到特定MAC地址的数据,则交换机会将表内的MAC地址删除
网络设备如何响应非法MAC地址?
-
端口禁用: 如果启用了端口安全功能,并且已经配置了允许通过该端口的安全MAC地址数量限制,当MAC地址数量超过限制时,交换机可能会自动禁用该端口,阻止进一步的网络访问。这有助于隔离潜在的攻击者,并防止非法设备继续访问网络。
-
警报通知: 网络设备可以生成警报通知,向网络管理员报告超过安全MAC地址限制的事件。管理员可以及时收到警报并采取必要的措施,以应对安全威胁,并对网络进行进一步的调查和处理。
-
日志记录: 网络设备通常会记录超过安全MAC地址限制的事件和相关信息到日志文件中。这些日志记录可以帮助管理员跟踪安全事件的发生情况,并进行后续的分析和调查,以加强网络安全性。
-
自动阻止或丢弃数据包: 一些网络设备可以自动阻止或丢弃与超过安全MAC地址限制相关的数据包,以防止非法设备进一步访问网络资源。这有助于减少潜在的安全威胁,并保护网络免受未经授权的访问
端口安全的应用场景
数据链路层
这一层次中,主要针对交换机的端口进行配置,防止未授权的设备在从端口中接入网络
传输层
限制特定端口上的数据流量来实现。例如,防火墙可以根据源或目标端口过滤传输层数据包,以限制哪些应用程序或服务可以在特定端口上进行通信
分别控制MAC地址和流量来实现对网络的保护