MAC地址表

MAC地址表

MAC地址表

1、MAC地址表的组成

(1)三种表项

  • 动态表项

    • 由接口通过报文中的源MAC地址学习获得,表项可老化,默认老化时间300秒。
    • 由系统复位、接口板热插拔或复位后,动态表项会丢失
  • 静态表项

    • 由用户手工配置,并下发到各接口板,表项不可老化。
    • 由系统复位、接口板热插拔或复位后,动态表项不会丢失
  • 黑洞表项

    • 由用户手工配置,并下发到各接口板,表项不可老化。(可以看做是静态表项的一种)
    • 配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会丢弃。(黑洞表项的一个特殊功能,类似于安全领域的黑名单)

(2)MAC地址表配置

  • 配置静态MAC表项
[Huawei]mac-address static 5489-989b-6493 GigabitEthernet0/0/2 vlan 11
  • 配置黑洞表项
[Huawei]mac-address blackhole 00aa-bbcc-ddee1
  • 配置动态MAC表项老化时间(默认300秒,一般修改的话会改小)
[Huawei]mac-address aging-time 1201

交换机上查看MAC地址表项:

图片.png

2、端口安全

(1)安全MAC地址

  • 端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC),组织非法用户通过本接口和交换机通信,从而增强设备的安全性。
    • 在对接入用户的安全性要求较高的网络中,可以配置端口安全功能,将接口学习到的MAC地址转换为安全动态MAC、安全静态MAC或Sticky MAC,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,只允许这些MAC地址和交换机通信。这样可以阻止其他非信任的MAC主机通过本接口和交换机通信,提高交换机与网络的安全性。
  • 安全MAC地址分类
    • 使能端口安全后又同时使能Sticky MAC功能后装换到的MAC地址。
    • 使能端口安全时手工配置的静态MAC地址。
    • 使能端口安全而未使能Sticky MAC功能时转换的MAC地址。
    • 安全动态MAC地址(默认未使能。可以被老化;设备重启后会丢失;只能动态学习)
    • 安全静态MAC地址
    • Sticky MAC地址(不会被老化;设备重启后不会丢失;可以动态学习也可以手工配置)

配置端口安全功能:

1、可以防止外来人员使用自己带来的电脑访问公司网络。
2、可以防止本公司员工私下更换位置。

(2)配置端口安全

  • 配置安全MAC功能
# 使能端口安全功能[Huawei-GigabitEthernet0/0/1]port-security enable
# 配置端口安全动作,当端口接收到未经允许的端口流量时的动作3个动作
[Huawei-GigabitEthernet0/0/1]port-security protect-action ?
  protect   Discard packets               # 保护,丢弃报文
  restrict  Discard packets and warning   # 限制,默认,丢弃报文的同时发出告警
  shutdown  Shutdown                      
  # 关闭,接口将执行error down操作,同时发出告警,并且不会自动恢复。
  [Huawei-GigabitEthernet0/0/1]port-security protect-action shutdown# 
  配置端口安全动态MAC学习限制数量
  [Huawei-GigabitEthernet0/0/1]port-security max-mac-num 5
  # 配置接口学习到的安全动态MAC地址的老化时间(单位为分钟,缺省情况下,没有配置老化时间,即安全动态MAC地址不老化。)
  [Huawei-GigabitEthernet0/0/1]port-security aging-time 1000123456789101112131415
  • 配置Sticky MAC功能
[Huawei-GigabitEthernet0/0/3]port-security enable 
[Huawei-GigabitEthernet0/0/3]port-security mac-address sticky12

3、MAC地址漂移

(1)MAC地址漂移

  • MAC地址漂移是指设备上一个VALN内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。

  • MAC地址漂移出现的原因:

    • 由于交换机网线误接或配置错误导致环路。
    • 非法用户仿冒合法的用户进行MAC地址攻击。
  • MAC地址漂移避免机制:

    • 提高接口MAC地址学习优先级

      接口配置不同的MAC地址学习优先级后,如果不同接口学到相同的MAC地址表项,那么高优先级接口学到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项,防止MAC地址发生漂移。

    • 不允许相同优先级的接口发生MAC地址表项覆盖。(有弊端隐患,可能会被其他用户占用MAC)

      网络中交换机的上行接口连接服务器,下行接口连接用户。为防止非法用户伪造服务器MAC地址入侵交换机,可以配置不允许相同优先级的接口发生MAC地址漂移。这样接口将不再学习相同的MAC地址,非法用户将无法使用网络设备MAC地址干扰交换机与网络设备正常通信。

(2)MAC地址漂移检测

MAC地址漂移检测是利用MAC地址出接口跳变的现场,检测MAC地址时候发生漂移的功能。可以基于VLAN检测,也可以全局检测。

(3)MAC地址防漂移配置

  • 配置接口MAC地址学习优先级(缺省情况下,接口学习MAC地址的优先级为0。)
[Huawei-GigabitEthernet0/0/1]mac-learning priority 31
  • 配置不允许相同优先级接口MAC地址漂移(缺省情况下,允许相同优先级的接口发生MAC地址漂移)
[Huawei]undo mac-learning priority 3 allow-flapping1
  • 配置全局MAC地址漂移检测(缺省情况下,已经配置了全局MAC地址漂移检测功能)
[Huawei]mac-address flapping detection1
  • 配置基于VLAN的MAC地址漂移检测
# 在VLAN2上配置MAC地址漂移检测,动作为阻塞。阻塞时间为100s,重试次数为3次。[Huawei]vlan 2[Huawei-vlan2]loop-detect eth-loop block-time 100 retry-times 3123

查看MAC地址漂移的历史记录:

图片.png



mac地址(列表、list、全)maclist

http://www.zh-cjh.com/wenzhangguilei/1009.html

文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » MAC地址表

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!