AM(access management)又名訪問管理,它利用收到數據報文的信息(源IP 地址或者源IP+源MAC)與配置硬體地址池(AM pool)相比較,如果找到則轉發,否則丟棄。 AM pool 是一個地址列表,每一個地址表項對應於一個用戶。每一個地址表項包括了地址信息及其對應的連線埠。地址信息可以有兩種: IP 地址(ip-pool),指定該連線埠上用戶的源IP 地址信息。 MAC-IP 地址(mac-ip pool),指定該連線埠上用戶的源MAC 地址和源IP 地址信息。 當AM使能的時候,AM模組會拒絕所有的IP報文通過(只允許IP位址池內的成員源地址通過)。 我們可以在交換機連線埠創建一個MAC+IP 地址綁定,放到地址池中。當連線埠下聯主機傳送的IP報文(包含ARP報文)中,所含的源IP+源MAC不符合地址池中的綁定關係,此報文就將被丟棄。
使能AM 並允許交接口4 上源IP為192.1.1.2,源MAC是00-01-10-22-33-10 的用戶通過。
Switch(Config)#am enable
Switch(Config)#interface Ethernet 0/0/4
Switch(Config-Ethernet0/0/4)#am port
Switch(Config-Ethernet0/0/4)#am mac-ip-pool 00-01-10-22-33-10 192.1.1.2
配置簡單,除了可以防禦ARP攻擊,還可以防禦IP掃描等攻擊。適用於信息點不多、規模不大的靜態地址環境下。
需要占用交換機ACL資源
網路管理員配置量大,終端移動性差
