配置目标
实现MAC地址和端口的静态绑定。
工作原理
设备通过源MAC地址学习自动建立MAC地址表时,无法区分合法用户和非法用户的报文,带来了安全隐患。如果非法用户将攻击报文的源MAC地址伪装成合法用户的MAC地址,并从设备的其他接口进入,设备就会学习到错误的MAC地址表项,于是将本应转发给合法用户的报文转发给非法用户。为了提高安全性,网络管理员可手工在MAC地址表中加入特定MAC地址表项,将用户设备与接口绑定,从而防止非法用户骗取数据。
静态MAC地址表项有如下特性:
- 静态MAC地址表项不会老化,保存后设备重启不会消失,只能手动删除。
- 静态MAC地址表项中指定的VLAN必须已经创建并且已经加入绑定的端口。
- 静态MAC地址表项中指定的MAC地址,必须是单播MAC地址,不能是组播和广播MAC地址。
- 静态MAC地址表项的优先级高于动态MAC地址表项,对静态MAC地址进行漂移的报文会被丢弃。
配置步骤
- 执行命令system-view,进入系统视图。
- 执行命令mac-address static mac-address interface-type interface-number vlan vlan-id,添加静态MAC表项。
- 执行命令commit,提交配置。
配置检查
使用命令display mac-address static,查看配置的静态MAC表项。
