本页内容
用户接口的 MAC 地址验证概述
MAC 地址验证使路由器能够验证收到的数据包是否包含可信 IP 源和以太网 MAC 源地址。
配置 MAC 地址验证可在订阅者访问计费服务时提供额外的验证。MAC 地址验证使路由器能够丢弃不匹配的数据包(如包含欺骗地址的数据包),从而提供额外的安全性。
订阅者登录时,DHCP 会自动为其分配 IP 地址。启用 MAC 地址验证后,路由器会将 IP 源和 MAC 源地址与可信地址进行比较,并根据匹配和验证模式转发或丢弃数据包。
支持的订阅者接口类型
静态或动态创建的以太网接口和多路复用接口支持 MAC 地址验证,如下所示:
将路由器配置为正常(非增强型)网络服务模式时,DPC 和 MPC 支持 MAC 地址验证。路由器可以完全填充一种或另一种类型的线卡,或者混合使用两种类型的线卡。默认为正常网络服务模式。
为增强型 IP 网络服务模式或增强型以太网网络服务模式配置路由器时,仅在 MPC 上支持 MAC 地址验证。如果路由器同时具有 DPC 和 MPC,或者仅具有 DPC,则无法将机箱配置为处于增强模式。
MAC 地址验证针对路由器处于增强型网络服务模式时的扩展进行了优化。增强型网络服务模式会影响组播和防火墙过滤器等其他功能,因此在决定是否配置增强模式时,必须考虑这一点。有关增强型网络服务模式的更多信息,请参阅 网络服务模式概述。
在正常网络服务模式下,您可以使用 show interfaces statistics interface-name 命令显示验证失败和丢弃的数据包的每接口计数。在增强型网络服务模式下,此命令不会将丢弃的数据包计数;您必须联系瞻博网络客户支持,获取收集数据方面的帮助。
可信地址
可信地址元组是 32 位 IP 地址和 48 位 MAC 地址。不支持前缀和范围。
用于验证的 IP 源地址和 MAC 源地址必须来自可信源。
通过 CLI 配置的所有静态 ARP 地址均为可信地址;动态 ARP 地址不被视为可信地址。
通过扩展 DHCP 本地服务器或扩展 DHCP 中继动态创建的地址也是可信地址。当 DHCP 服务器和客户端协商 IP 地址时,生成的 IP 地址和 MAC 地址元组将可信。每个 DHCP 订阅者可以生成多个地址元组。
每个 MAC 地址可以具有多个 IP 地址,这可能会导致多个有效的元组。每个 IP 地址都必须映射到一个 MAC 地址。
MAC 地址验证类型
您可以配置两种或两种 MAC 地址验证模式(松散或严格)任一配置。这两种模式的行为取决于传入数据包与可信地址元组的匹配程度。仅当 IP 源地址与任何可信 IP 地址不匹配时,这些模式才会不同。 表 1 比较了两种模式的行为。丢弃的数据包被视为欺骗。
传入数据包地址匹配可信地址元 |
松散模式操作 |
严格模式操作 |
|---|---|---|
|
转发数据包 |
转发数据包 |
|
丢弃数据包 |
丢弃数据包 |
|
转发数据包 |
丢弃数据包 |
配置严格模式是一种更为保守的策略,因为它需要接收的源地址才能匹配可信地址。
为动态配置文件中的 IP 多路分路接口配置 MAC 地址验证并指定松散验证或严格验证时,结果行为始终为松散验证。要为动态 IP 多路复用接口启用严格行为,您必须为 IP 多路复用接口和底层接口配置严格验证。