AM(access management)又名訪問管理,它利用收到數據報文的信息(源IP 地址或者源IP+源MAC)與配置硬體地址池(AM pool)相比較,如果找到則轉發,否則丟棄。 AM pool 是一個地址列表,每一個地址表項對應於一個用戶。每一個地址表項包括了地址信息及其對應的連線埠。地址信息可以有兩種:
IP 地址(ip-pool),指定該連線埠上用戶的源IP 地址信息。
MAC-IP 地址(mac-ip pool),指定該連線埠上用戶的源MAC 地址和源IP 地址信息。
當AM使能的時候,AM模組會拒絕所有的IP報文通過(只允許IP位址池內的成員源地址通過)。
我們可以在交換機連線埠創建一個MAC+IP 地址綁定,放到地址池中。當連線埠下聯主機傳送的IP報文(包含ARP報文)中,所含的源IP+源MAC不符合地址池中的綁定關係,此報文就將被丟棄。
基本介紹
- 中文名:am
- 外文名:access management
- 別名:訪問管理
- 功能優點:配置簡單,可防禦ARP攻擊
舉例,功能優點,功能缺點,
舉例
使能AM 並允許交接口4 上源IP為192.1.1.2,源MAC是00-01-10-22-33-10 的用戶通過。
Switch(Config)#am enable
Switch(Config)#interface Ethernet 0/0/4
Switch(Config-Ethernet0/0/4)#am port
Switch(Config-Ethernet0/0/4)#am mac-ip-pool 00-01-10-22-33-10 192.1.1.2
功能優點
配置簡單,除了可以防禦ARP攻擊,還可以防禦IP掃描等攻擊。適用於信息點不多、規模不大的靜態地址環境下。
功能缺點
需要占用交換機ACL資源
網路管理員配置量大,終端移動性差
