MAC位址表 埠安全 MAC位址偏移

2021-10-17 03:28:40 字數 3619 閱讀 5600

4.mac位址表

2.埠安全

mac位址偏移

1.組成

mac位址為48位(6位元組)

前24bit是通過向ietf等機構申請用來表示廠商的**,後24bit是廠商分配給產品的唯一數值。

2.分類

3.交換機對資料幀的三種處理行為

3.常見mac位址

位址用處

01-00-5e-0x-xx-xx

ipv4組播

01-80-c2-00-00-00

stp報文傳送目的地

33-33-xx-xx-xx-xx

ipv6組播

指導交換機**資料:

mac位址表分類

(1)動態表項(dynamic)

修改老化時間

[huawei]mac-address aging-time ?


<0,10-1000000> aging-time seconds, 0 means that mac aging function does not


work
(2)靜態表項(static)(3)黑洞表項(blockhole)通過該操作可以過濾非法使用者

[huawei]mac-address blackhole 5489-98c5-46b3 vlan 1


一定要敲vlan,否則無效;沒有配置vlan,預設使用vlan 1 **


埠安全:通過將介面學習到的動態mac位址轉換為安全mac位址(包括安全動態mac、安全靜態mac和sticky mac),阻止非法使用者通過本介面和交換機通訊,從而增強裝置的安全性。


安全mac位址分類


安全動態mac位址


安全靜態mac位址


sticky mac位址


從學習方式看,動態和sticky都是通過介面接收資料幀動態學習到,靜態是通過手工配置


從mac位址失效上看,靜態和sticky的表項不會在裝置重啟後失效,動態在裝置重啟會丟失表項


埠安全保護動作


動作解釋


restrict


丟棄源mac位址不存在的報文並且上報告警(預設行為)


protect


丟棄源mac位址不存在的報文


shutdown


介面狀態被置為error-down,並上報告警


配置配置安全mac功能


inte***ce gigabitethernet0/0/1		//進入介面


port-security enable //使能埠安全


port-security protect-action shutdown //保護動作為shutdown


port-security aging-time 10 //配置老化時間


配置sticky mac功能


inte***ce gigabitethernet0/0/2


port-security enable


port-security mac-address sticky \\使能介面sticky mac功能


埠安全經常使用的場景
接入層使用時注意:


如果接入使用者變動比較頻繁,可以通過埠安全把動態mac位址轉換為安全動態mac位址。這樣可以在使用者變動時,及時清除繫結的mac位址表項。


如果接入使用者變動較少,可以通過埠安全把動態mac位址轉換為sticky mac位址。這樣在儲存配置重啟後,繫結的mac位址表項不會丟失。


兩個埠都在傳送訊息時,會使得交換機mac位址表頻繁動盪,修改mac位址對應的出介面。多次修改後,交換機會察覺到mac位址發生漂移


出現場景


如何避免


解決方案:


1.提高介面mac位址學習的優先順序(預設為0),越大越優先,低優先順序不能覆蓋高優先順序


[huawei-gigabitethernet0/0/2]mac-learning priority 3


##配置介面學習mac位址的優先順序,預設情況下,介面學習mac位址的優先順序為0,數值越大優先順序越高


2.不允許相同優先順序的介面發生mac位址表項覆蓋


##配置不允許相同優先順序的介面發生mac位址漂移


[huawei-vlan1]ip source check  user-bind enable
4.stp等二層破環協議


5.配置mac-spoofing-defend功能


由於使用者側的行為無法控制,可能發生使用者側仿冒網路側伺服器mac位址傳送報文,造成其他使用者無法訪問網路側伺服器。使用該命令將網路側介面配置為信任介面後,該介面學習到的mac位址在其他介面將不會學習到,可以防止使用者側仿冒網路側伺服器mac位址傳送報文。如果需要將介面配置為信任介面,需要先使用使能全域性mac-spoofing-defend功能。


mac位址漂移檢測


基於全域性檢測(檢測裝置上所有的mac位址是否發生了漂移)


配置:
##介面檢視下


##全域性檢視下


基於vlan檢測(只會檢測配置了的vlan的mac位址是否發生漂移)


配置
##vlan檢視下,兩種配置方式


loop-detect eth-loop alarm-only 


###一旦交換機檢測到該vlan內發生了mac位址漂移,交換機僅僅產生相應的告警資訊(不會阻塞發生mac位址漂移的介面)


loop-detect eth-loop block-mac block-time 10 retry-times 2 


###如果檢測到漂移則將介面堵塞,介面將被阻塞10s,10s之後介面會被放開並重新進行檢測,此時該介面可以正常收發資料;如果20s內沒有再檢測到mac位址漂移,則介面的阻塞將被徹底解除;但是如果20s內再次檢測到mac位址漂移,則再次將該介面阻塞,最大重複次數為2次(用retry-times關鍵字指定),如果交換機依然能檢測到該介面發生mac位址漂移,則永久阻塞該介面。


特殊場景配置關閉特定的vlan的mac位址漂移檢測
 
華為 MAC位址表
mac位址表記錄了交換機學習到的其他裝置的mac位址與介面的對應關係,以及介面所屬vlan等資訊。裝置在 報文時,根據報文的目的mac位址查詢mac位址表,如果mac位址表中包含與報文目的mac位址對應的表項,則直接通過該表項中的出介面 該報文 如果mac位址表中沒有包含報文目的mac位址對應的表項...


網路工程基礎 mac位址以及埠安全
網路工程基礎 mac位址以及埠安全 1.1 mac位址 也稱硬體位址,用於標識網路中裝置的位置的位址 1.2 mac位址共48位,以十六進製制。第1bit為廣播位址 0 多播位址 1 第2bit為廣域位址 0 區域位址。前3 24位由ieee決定如何分給每一家製造商,且不重複,後24位位址由實際生產...


MAC位址IP位址閘道器位址
對於網路上的某一裝置,如一台計算機或一台路由器,其ip位址是基於網路拓撲設計出的,同一臺裝置或計算機上,改動ip位址是很容易的 但必須唯一 而mac則是生產廠商燒錄好的,一般不能改動。我們可以根據需要給一台主機指定任意的ip位址,如我們可以給區域網上的某台計算機分配ip位址為192.168.0.11...