一、概述
1、mac位址表項
mac位址表項記錄相鄰裝置的mac位址、介面號和所屬vlan id,注意與arp表的區別(arp是ip與mac對應關係,通過ip解析mac)。
靜態mac表項優先順序高於動態mac位址表項 。
在刪除靜態、動態、黑洞mac位址表項時如果不指定介面或vlan引數,將刪除全部介面或vlan下的mac位址表項。
1、動態表項:
自動生成,會老化,重啟裝置後丟失。
2、靜態表項:
手工配置,不會老化,重啟裝置後不會丟失。
3、黑洞表項:
手工配置,不會老化,重啟裝置後不會丟失。
黑洞表項是特殊的靜態mac位址表項,丟棄含有特定源mac位址或目的的mac位址的資料幀;
防止無用的mac位址表項占用mac位址表;將非信任的mac配置為黑洞mac位址,當裝置收到目的或源mac位址為黑洞裡的mac時直接丟棄,防止網路攻擊。
在mac位址已滿的情況下配置靜態或黑洞mac表時,如果表中存在對應的要配置的表則自動覆蓋;如果不存在則無法新增靜態或黑洞mac表
在刪除mac位址表項時必須指定介面、vlan,否則會刪除所有介面或vlan下的表項。
二、mac位址表基本功能配置
具體配置:
1、介面、vlan靜態繫結mac位址(新增mac位址表項)
[huawei]mac-address static 5489-98b9-6b46 gigabitethernet 0/0/10 vlan 10
繫結後如果出現自動學習的mac位址與繫結的衝突則丟棄自動學習的;防止一些關鍵裝置(如伺服器、上行裝置)被非法惡意修改mac攻擊,因為靜態mac位址表項高於動態mac位址表項。
2、使能黑洞mac位址
[huawei]mac-address blackhole 5489-98ee-3943 vlan 10
將mac位址新增到黑洞位址後,收到含有這些位址的報文直接被丟棄
3、配置動態mac位址老化時間(預設300s)
[huawei]mac-address aging-time 200
防止mac位址表**式增長
4、禁止mac位址學習
[huawei-gigabitethernet0/0/2]mac-address learning disable action ?
discarddiscard packets#與靜態mac位址表匹配則通過,否則丟棄
forwardforward packets #不與靜態mac位址表匹配,直接按照報文中的目的mac位址**(預設配置)
[huawei-vlan100]mac-address learning disable
有兩種情況,一是禁止新增mac位址表項(節省記憶體、防止攻擊等),二是禁止不匹配mac的資料通過
5、限制mac位址學習數量(介面或vlan配置)
[huawei-gigabitethernet0/0/10]mac-limit maximum2
[huawei-gigabitethernet0/0/10]mac-limit alarmenable #使能告警功能(預設使能)
配置後新mac位址的報文繼續**但mac位址表項不記錄;防止變換mac攻擊,節省記憶體容量
三、埠安全
將裝置埠學習到的mac位址變成安全mac位址(動態mac位址和stickymac位址)以阻止除安全mac和靜態mac之外(設定學習數量上限)備通訊。
埠安全與以下配置衝突需先關閉以下功能:
1、vlan功能基於埠的mac學習限制功能;
2、mac認證功能;
3、02.1x認證功能;
4、dhcp spooping的mac安全功能;
5、mux vlan功能。
1、安全動態mac
security是將介面學習到的mac位址轉換為安全動態的mac或sticky mac位址,當學習到的mac數量達到上限後不再學習【可在一定程度上提供安全性(因為非信任的mac位址在學習到達上限前也可被學習到)】,只允許這些mac和裝置通訊。
預設情況下安全動態mac位址不會被老化(可配置老化時間);裝置重啟後安全動態mac會丟失,需要重新學習。
具體配置:
1、使能埠安全功能(只有使能後才可配置安全保護動作、安全動態mac學習數量等)
[huawei-gigabitethernet0/0/10]port-security en
2、配置埠安全動態學習mac位址最大數量(預設為1)
[huawei-ethernet0/0/2]port-security max-mac-num ?
integer<1-4096>maximum mac address can learn
3、配置埠的安全保護動作(預設為restrict)
[huawei-ethernet0/0/2]port-security protect-action ?
protectdiscard packets #丟棄
restrictdiscard packets and warning #丟棄並告警
shutdownshutdown #關閉介面,需要手動恢復
4、介面學習到的安全動態mac老化時間(預設不老化)
[huawei-gigabitethernet0/0/10]port-security aging-time 600 type ?
absoluteabsolute time(絕對老化時間)
inactivityinactivity time(相對老化時間
二、sticky mac(粘性mac)功能
與安全動態mac位址一樣,將介面學習到的mac位址轉換為安全動態的mac或sticky mac位址,當學習到的mac數量達到上限後不再學習,只允許這些mac位址和裝置通訊;
不同點:
一、永遠不會被老化;
二、mac位址表項裝置重啟後不會丟失,無需重新學習;
三、mac位址表項既可動態學習獲得,也可手工配置;適合於關鍵裝置伺服器或上行裝置。
具體配置:
1、使能埠安全功能
[huawei-gigabitethernet0/0/10]port-security en
2、使能介面sticky mac功能(將介面學習到的動態mac轉換為靜態sticky mac,相當於靜態mac)
[huawei-gigabitethernet0/0/11]port-security mac-address sticky
3、手動配置sticky mac位址表項
[huawei-gigabitethernet0/0/11]port-security mac-address sticky 5489-982c-1632 vlan 20
4、其它引數與安全動態mac配置一樣
三、mac位址防漂移
一是網路出現環網;二是仿冒合法mac攻擊
配置後可以保證乙個mac表項僅在乙個正確的介面上學習到。有兩種方式實現:
一是在介面上配置不同mac學習優先順序,高優先順序表項會覆蓋低優先順序mac表項;
二是配置不允許相同優先順序(預設相同優先順序)mac表項發生漂移(覆蓋),這樣介面將不再學習相同的mac位址。
但這樣有個負面影響,一旦裝置如伺服器關機後,可能有個如偽造的相同mac被學習到導致裝置無法正常上線。
具體配置:
1、配置mac位址學習優先順序(數值越大優先順序越高,預設為0)
[huawei-gigabitethernet0/0/15]mac-learning priority 3
2、配置mac防漂移檢測(基於全域性或vlan)
vlan下配置
[huawei-vlan10]loop-detect eth-loop ?
alarm-onlyonly alarm when the loop occurs
block-macblock the mac when the loop occurs
block-timeblock time
全域性配置(有些無法模擬)
四、mac-spoofing-defend功能
mac防欺騙保護功能與mac防漂移一樣,最終目的是在乙個介面上學習的mac位址不允許在其他介面上學習到,只是所採用的方法不一樣而已。
將介面配置為信任介面,以使信任介面學習到的mac在其他介面上不會在學習到。必須在全域性和介面同時使能。
具體配置:
[huawei]mac-spoofing-defend enable
[huawei-gigabitethernet0/0/12]mac-spoofing-defend enable
五、丟棄全零mac報文功能
網路中的一些裝置或主機傳送故障時,往往會向交換機傳送源mac或目的mac為0的全0報文
[huawei]drop illegal-mac enable #預設為使能
[huawei]drop illegal-mac alarm #收到全0報文告警,只告警一次
六、mac重新整理arp功能
裝置連線介面發生變化後立即更新arp表項,無需等待老化(老化時間內是錯誤的arp通訊),預設為使能;只對動態arp生效,靜態arp不生效
[huawei]mac-address update arp
七、配置埠橋功能
預設情況下裝置收到同源同宿報文判斷為非法報文直接丟棄。但有時又確實存在同源通宿的情況:
一、裝置下掛有不具備二層**能力的裝置(如集線器),這時候需要將報文上送到二層裝置進行**
二、裝置連線了啟動多個虛擬機器的伺服器,如果在伺服器內部完成資料**會影響伺服器效能和資料交換機速度,通常也是上送到二層裝置進行交換。
[huawei-gigabitethernet0/0/12]port bridge enable
MAC位址的意義及作用?(mac)
mac位址就是在 接入層上使用的位址,也叫實體地址 硬體位址或鏈路位址,由網路裝置製造商生產時寫在硬體內部。mac位址與網路無關,也即無論將帶有這個位址的硬體 如網絡卡 集線器 路由器等 接入到網路的何處,都有相同的mac位址,它由廠商寫在網絡卡的bios裡。mac位址可採用6位元組 48位元 或2...
mac位址容量的作用 交換機的作用是什麼?
交換機負責連線網路裝置 如交換機 路由器 防火牆 無線ap等 和終端裝置 如計算機 伺服器 攝像頭 網路印表機等 路由器實現區域網與區域網的互聯,區域網與internet的互聯 而防火牆作為乙個安全網路裝置,作用於內部網路與內部網路之間,或者內部網路與internet之間。總的來說,交換機負責連線裝...
MAC位址IP位址閘道器位址
對於網路上的某一裝置,如一台計算機或一台路由器,其ip位址是基於網路拓撲設計出的,同一臺裝置或計算機上,改動ip位址是很容易的 但必須唯一 而mac則是生產廠商燒錄好的,一般不能改動。我們可以根據需要給一台主機指定任意的ip位址,如我們可以給區域網上的某台計算機分配ip位址為192.168.0.11...