本页内容
用户接口的 MAC 地址验证概述
MAC 地址验证使路由器能够验证接收的数据包是否包含可信 IP 源和以太网 MAC 源地址。
配置 MAC 地址验证可以在订阅者访问计费服务时提供额外的验证。MAC 地址验证通过允许路由器丢弃不匹配的数据包(如带有欺骗地址的数据包)来提供额外的安全性。
当用户登录时,DHCP 会自动为其分配 IP 地址。启用 MAC 地址验证后,路由器会将 IP 源地址和 MAC 源地址与可信地址进行比较,并根据匹配和验证模式转发或丢弃数据包。
您可以在配置了 IPv4 或 IPv6 地址的接口上启用 MAC 地址验证。
支持的用户接口类型
静态或动态创建的以太网接口和多路分离接口支持 MAC 地址验证,如下所示:
-
将路由器配置为正常(非增强型)网络服务模式后,DPC 和 MPC 均支持 MAC 地址验证。路由器可以完全填充一种或另一种类型的线卡,也可以混合使用两种类型。默认设置正常网络服务模式。
-
当路由器配置为增强型 IP 网络服务模式或增强型以太网网络服务模式时,仅 MPC 支持 MAC 地址验证。如果路由器同时具有 DPC 和 MPC,或只有 DPC,则无法将机箱配置为增强模式。
当路由器处于增强型网络服务模式时,MAC 地址验证已针对扩展进行了优化。增强型网络服务模式会影响其他功能,例如组播和防火墙过滤器,因此在决定是否配置增强型模式时必须考虑到这一点。有关增强型网络服务模式的详细信息,请参阅 网络服务模式概述。
在正常网络服务模式下,您可以使用命令 show interfaces statistics interface-name 显示验证失败和丢弃的数据包的每个接口计数。在增强型网络服务模式下,此命令不计算丢弃的数据包;在收集这些数据时,您必须联系瞻博网络客户支持以获得帮助。
可信地址
可信地址元组是一个 32 位/128 位 IP 地址和一个 48 位 MAC 地址。不支持前缀和范围。
用于验证的 IP 源地址和 MAC 源地址必须来自可信源。
通过 CLI 配置的所有静态 ARP 地址都是可信地址;动态 ARP 地址不被视为可信地址。
通过扩展 DHCP 本地服务器或扩展 DHCP 中继动态创建的地址也是可信地址。当 DHCP 服务器和客户端协商 IP 地址时,生成的 IP 地址和 MAC 地址元组是可信的。每个 DHCP 订阅者可以生成多个地址元组。
每个 MAC 地址可以有多个 IP 地址,这可能导致多个有效元组。每个 IP 地址必须映射到一个 MAC 地址。
MAC 地址验证的类型
您可以配置两种类型或模式之一的 MAC 地址验证:松散验证或严格验证。两种模式的行为会根据传入数据包与可信地址元组的匹配程度而有所不同。只有当 IP 源地址与任何可信 IP 地址都不匹配时,模式才会有所不同。 表 1 比较了两种模式的行为。丢弃的数据包被视为欺骗数据包。
| 传入数据包地址与可信地址元组匹配 |
松散模式作 |
严格模式作 |
|---|---|---|
|
转发数据包 |
转发数据包 |
|
丢弃数据包 |
丢弃数据包 |
|
转发数据包 |
丢弃数据包 |
配置严格模式是一种更保守的策略,因为它要求接收到的两个源地址与可信地址匹配。
在动态配置文件中为 IP 多路分离接口配置 MAC 地址验证并指定松散验证或严格验证时,最终行为始终为松散验证。要为动态 IP 多路分离接口启用严格行为,必须为 IP 多路分离接口和底层接口配置严格验证。