AM原理与配置
一、原理
AM(Access Management-访问管理)是指当交换机收到IP报文或ARP报文时,它 用收到报文的信息(源IP地址或者源MAC-IP地址)与配置硬件地址池相比较,如果在配 置硬件地址池中找到与收到的报文相匹配的的信息(源IP地址或者源MAC-IP地址)则转 发该报文,否则丢弃。
在基于源IP地址的访问管理上增加基于源MAC-IP的访问管 理,是因为对主机而言,IP地址是可变的。如果只有IP绑定,用户可以把主机IP地址改 为转发IP,从而使本主机发出的报文能够被交换机转发。而MAC-IP可以与主机唯一绑定, 所以为了防止用户恶意修改主机 IP 地址来使本主机发出的报文能被交换机转发,MAC-IP 的绑定是必要的。
通过AM访问管理的端口绑定特性,网络管理员可以将合法用户的IP(MAC-IP)地址 绑定到指定的端口上。进行绑定操作后,只有指定IP(MAC-IP)地址的用户发出的报文才 能通过该端口转发,增强了用户对网络安全的监控。
二、配置
在上述网络拓扑图中,30台PC通过HUB1汇集后与交换机的端口1相连,30台PC 的IP 地址范围100.10.10.1~100.10.10.30,出于安全考虑,系统管理员认为只有 IP 地址 范围在100.10.10.1~100.10.10.10 内的用户为合法用户,交换机只能对合法用户发来的数 据包进行转发,对IP地址不在该范围内的用户发来的数据包,交换机不能转发,直接丢弃。 基于上述要求,在交换机上可做如下配置:
Switch(config)#am enable
全局启动AM功能Switch(config)#interface ethernet1/0/1
Switch(Config-If-Ethernet 1/0/1)#am port
启动端口的AM功能,端口AM功能启动后,默认禁止所有的 IP 报文与ARP报文转发。Switch(Config-If-Ethernet 1/0/1)#am ip-pool 10.10.10.1 10
配置端口的转发IP。AM功能默认是关闭的,打开AM功能后,可以进行AM的相关配置。
show am来查看当前AM配置,包括AM是否打开,各个端口所配置的AM 信息等
show am [interface ] 来查看具体端口的AM配置信 息。