LAN技术-MAC地址表

LAN技术1-MAC地址表

1、MAC地址表的组成

(1)三种表项

  • 动态表项

    • 由接口通过报文中的源MAC地址学习获得,表项可老化,默认老化时间300秒。
    • 由系统复位、接口板热插拔或复位后,动态表项会丢失
  • 静态表项

    • 由用户手工配置,并下发到各接口板,表项不可老化。
    • 由系统复位、接口板热插拔或复位后,动态表项不会丢失
  • 黑洞表项

    • 由用户手工配置,并下发到各接口板,表项不可老化。(可以看做是静态表项的一种)
    • 配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会丢弃。(黑洞表项的一个特殊功能,类似于安全领域的黑名单)

(2)MAC地址表配置

  • 配置静态MAC表项
[Huawei]mac-address static 5489-989b-6493 GigabitEthernet0/0/2 vlan 1
  • 配置黑洞表项
[Huawei]mac-address blackhole 00aa-bbcc-ddee
  • 配置动态MAC表项老化时间(默认300秒,一般修改的话会改小)
[Huawei]mac-address aging-time 120

交换机上查看MAC地址表项:

[Huawei]display mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  
               VSI/SI                                              MAC-Tunnel  
-------------------------------------------------------------------------------
00aa-bbcc-ddee -           -      -      -               blackhole -           
5489-989b-6493 1           -      -      GE0/0/2         static    -           
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 2 

MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  
               VSI/SI                                              MAC-Tunnel  
-------------------------------------------------------------------------------
5489-989b-6494 1           -      -      GE0/0/2         dynamic   0/-         
5489-9876-026e 1           -      -      GE0/0/1         dynamic   0/-         
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 2 

2、端口安全

(1)安全MAC地址

  • 端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC),组织非法用户通过本接口和交换机通信,从而增强设备的安全性。
    • 在对接入用户的安全性要求较高的网络中,可以配置端口安全功能,将接口学习到的MAC地址转换为安全动态MAC、安全静态MAC或Sticky MAC,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,只允许这些MAC地址和交换机通信。这样可以阻止其他非信任的MAC主机通过本接口和交换机通信,提高交换机与网络的安全性。
  • 安全MAC地址分类
    • 安全动态MAC地址(默认未使能。可以被老化;设备重启后会丢失;只能动态学习)
      • 使能端口安全而未使能Sticky MAC功能时转换的MAC地址。
    • 安全静态MAC地址
      • 使能端口安全时手工配置的静态MAC地址。
    • Sticky MAC地址(不会被老化;设备重启后不会丢失;可以动态学习也可以手工配置)
      • 使能端口安全后又同时使能Sticky MAC功能后装换到的MAC地址。

配置端口安全功能:

1、可以防止外来人员使用自己带来的电脑访问公司网络。
2、可以防止本公司员工私下更换位置。

(2)配置端口安全

  • 配置安全MAC功能
# 使能端口安全功能
[Huawei-GigabitEthernet0/0/1]port-security enable

# 配置端口安全动作,当端口接收到未经允许的端口流量时的动作3个动作
[Huawei-GigabitEthernet0/0/1]port-security protect-action ?
  protect   Discard packets               # 保护,丢弃报文
  restrict  Discard packets and warning   # 限制,默认,丢弃报文的同时发出告警
  shutdown  Shutdown                      # 关闭,接口将执行error down操作,同时发出告警,并且不会自动恢复。
[Huawei-GigabitEthernet0/0/1]port-security protect-action shutdown

# 配置端口安全动态MAC学习限制数量
[Huawei-GigabitEthernet0/0/1]port-security max-mac-num 5

# 配置接口学习到的安全动态MAC地址的老化时间(单位为分钟,缺省情况下,没有配置老化时间,即安全动态MAC地址不老化。)
[Huawei-GigabitEthernet0/0/1]port-security aging-time 1000
  • 配置Sticky MAC功能
[Huawei-GigabitEthernet0/0/3]port-security enable 
[Huawei-GigabitEthernet0/0/3]port-security mac-address sticky

3、MAC地址漂移

(1)MAC地址漂移

  • MAC地址漂移是指设备上一个VALN内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。

  • MAC地址漂移出现的原因:

    • 由于交换机网线误接或配置错误导致环路。
    • 非法用户仿冒合法的用户进行MAC地址攻击。
  • MAC地址漂移避免机制:

    • 提高接口MAC地址学习优先级

      接口配置不同的MAC地址学习优先级后,如果不同接口学到相同的MAC地址表项,那么高优先级接口学到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项,防止MAC地址发生漂移。

    • 不允许相同优先级的接口发生MAC地址表项覆盖。(有弊端隐患,可能会被其他用户占用MAC)

      网络中交换机的上行接口连接服务器,下行接口连接用户。为防止非法用户伪造服务器MAC地址入侵交换机,可以配置不允许相同优先级的接口发生MAC地址漂移。这样接口将不再学习相同的MAC地址,非法用户将无法使用网络设备MAC地址干扰交换机与网络设备正常通信。

(2)MAC地址漂移检测

MAC地址漂移检测是利用MAC地址出接口跳变的现场,检测MAC地址时候发生漂移的功能。可以基于VLAN检测,也可以全局检测。

(3)MAC地址防漂移配置

  • 配置接口MAC地址学习优先级(缺省情况下,接口学习MAC地址的优先级为0。)
[Huawei-GigabitEthernet0/0/1]mac-learning priority 3
  • 配置不允许相同优先级接口MAC地址漂移(缺省情况下,允许相同优先级的接口发生MAC地址漂移)
[Huawei]undo mac-learning priority 3 allow-flapping
  • 配置全局MAC地址漂移检测(缺省情况下,已经配置了全局MAC地址漂移检测功能)
[Huawei]mac-address flapping detection
  • 配置基于VLAN的MAC地址漂移检测
# 在VLAN2上配置MAC地址漂移检测,动作为阻塞。阻塞时间为100s,重试次数为3次。
[Huawei]vlan 2
[Huawei-vlan2]loop-detect eth-loop block-time 100 retry-times 3

查看MAC地址漂移的历史记录:

<Huawei> display mac-address flapping record
 S  : start time                                                                
 E  : end time                                                                  
(Q) : quit VLAN 
(D) : error down 
------------------------------------------------------------------------------
Move-Time             VLAN  MAC-Address   Original-Port Move-Ports   MoveNum
-------------------------------------------------------------------------------
S:2011-08-31 17:22:36 300  0000-0000-0007 Eth-Trunk1   Eth-Trunk2   81
E:2011-08-31 17:22:44

-------------------------------------------------------------------------------
Total items on slot 2: 1

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 xumeng32@126.com

文章标题:LAN技术-MAC地址表

文章字数:1.7k

本文作者:F_numen

发布时间:2020-02-29, 01:44:07

最后更新:2020-02-29, 14:06:48

原始链接:https://netheroone.cn/archives/91ab7a89.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录
/*baidu统计*/