cjh MAC地址表
MAC地址表
MAC地址表
1、MAC地址表的组成
(1)三种表项
动态表项
- 由接口通过报文中的源MAC地址学习获得,表项可老化,默认老化时间300秒。
- 由系统复位、接口板热插拔或复位后,动态表项会丢失。
静态表项
- 由用户手工配置,并下发到各接口板,表项不可老化。
- 由系统复位、接口板热插拔或复位后,动态表项不会丢失。
黑洞表项
- 由用户手工配置,并下发到各接口板,表项不可老化。(可以看做是静态表项的一种)
- 配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会丢弃。(黑洞表项的一个特殊功能,类似于安全领域的黑名单)
(2)MAC地址表配置
- 配置静态MAC表项
[Huawei]mac-address static 5489-989b-6493 GigabitEthernet0/0/2 vlan 11
- 配置黑洞表项
[Huawei]mac-address blackhole 00aa-bbcc-ddee1
- 配置动态MAC表项老化时间(默认300秒,一般修改的话会改小)
[Huawei]mac-address aging-time 1201
交换机上查看MAC地址表项:
2、端口安全
(1)安全MAC地址
- 端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC),组织非法用户通过本接口和交换机通信,从而增强设备的安全性。
- 在对接入用户的安全性要求较高的网络中,可以配置端口安全功能,将接口学习到的MAC地址转换为安全动态MAC、安全静态MAC或Sticky MAC,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,只允许这些MAC地址和交换机通信。这样可以阻止其他非信任的MAC主机通过本接口和交换机通信,提高交换机与网络的安全性。
- 安全MAC地址分类
- 使能端口安全后又同时使能Sticky MAC功能后装换到的MAC地址。
- 使能端口安全时手工配置的静态MAC地址。
- 使能端口安全而未使能Sticky MAC功能时转换的MAC地址。
- 安全动态MAC地址(默认未使能。可以被老化;设备重启后会丢失;只能动态学习)
- 安全静态MAC地址
- Sticky MAC地址(不会被老化;设备重启后不会丢失;可以动态学习也可以手工配置)
配置端口安全功能:
1、可以防止外来人员使用自己带来的电脑访问公司网络。
2、可以防止本公司员工私下更换位置。
(2)配置端口安全
- 配置安全MAC功能
# 使能端口安全功能[Huawei-GigabitEthernet0/0/1]port-security enable # 配置端口安全动作,当端口接收到未经允许的端口流量时的动作3个动作 [Huawei-GigabitEthernet0/0/1]port-security protect-action ? protect Discard packets # 保护,丢弃报文 restrict Discard packets and warning # 限制,默认,丢弃报文的同时发出告警 shutdown Shutdown # 关闭,接口将执行error down操作,同时发出告警,并且不会自动恢复。 [Huawei-GigabitEthernet0/0/1]port-security protect-action shutdown# 配置端口安全动态MAC学习限制数量 [Huawei-GigabitEthernet0/0/1]port-security max-mac-num 5 # 配置接口学习到的安全动态MAC地址的老化时间(单位为分钟,缺省情况下,没有配置老化时间,即安全动态MAC地址不老化。) [Huawei-GigabitEthernet0/0/1]port-security aging-time 1000123456789101112131415
- 配置Sticky MAC功能
[Huawei-GigabitEthernet0/0/3]port-security enable [Huawei-GigabitEthernet0/0/3]port-security mac-address sticky12
3、MAC地址漂移
(1)MAC地址漂移
MAC地址漂移是指设备上一个VALN内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。
MAC地址漂移出现的原因:
- 由于交换机网线误接或配置错误导致环路。
- 非法用户仿冒合法的用户进行MAC地址攻击。
MAC地址漂移避免机制:
提高接口MAC地址学习优先级
接口配置不同的MAC地址学习优先级后,如果不同接口学到相同的MAC地址表项,那么高优先级接口学到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项,防止MAC地址发生漂移。
不允许相同优先级的接口发生MAC地址表项覆盖。(有弊端隐患,可能会被其他用户占用MAC)
网络中交换机的上行接口连接服务器,下行接口连接用户。为防止非法用户伪造服务器MAC地址入侵交换机,可以配置不允许相同优先级的接口发生MAC地址漂移。这样接口将不再学习相同的MAC地址,非法用户将无法使用网络设备MAC地址干扰交换机与网络设备正常通信。
(2)MAC地址漂移检测
MAC地址漂移检测是利用MAC地址出接口跳变的现场,检测MAC地址时候发生漂移的功能。可以基于VLAN检测,也可以全局检测。
(3)MAC地址防漂移配置
- 配置接口MAC地址学习优先级(缺省情况下,接口学习MAC地址的优先级为0。)
[Huawei-GigabitEthernet0/0/1]mac-learning priority 31
- 配置不允许相同优先级接口MAC地址漂移(缺省情况下,允许相同优先级的接口发生MAC地址漂移)
[Huawei]undo mac-learning priority 3 allow-flapping1
- 配置全局MAC地址漂移检测(缺省情况下,已经配置了全局MAC地址漂移检测功能)
[Huawei]mac-address flapping detection1
- 配置基于VLAN的MAC地址漂移检测
# 在VLAN2上配置MAC地址漂移检测,动作为阻塞。阻塞时间为100s,重试次数为3次。[Huawei]vlan 2[Huawei-vlan2]loop-detect eth-loop block-time 100 retry-times 3123
查看MAC地址漂移的历史记录:
mac地址(列表、list、全)maclist
http://www.zh-cjh.com/wenzhangguilei/1009.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » MAC地址表
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » MAC地址表
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm