mac位址表記錄了交換機學習到的其他裝置的mac位址與介面的對應關係,以及介面所屬vlan等資訊。裝置在**報文時,根據報文的目的mac位址查詢mac位址表,如果mac位址表中包含與報文目的mac位址對應的表項,則直接通過該表項中的出介面**該報文;如果mac位址表中沒有包含報文目的mac位址對應的表項時,裝置將採取廣播方式在所屬vlan內除接收介面外的所有介面**該報文。
動態表項:
由介面通過報文中的源mac位址學習獲得,表項可老化,預設老化時間為300s。
在系統復位、介面板熱插拔或介面板復位後,動態表項會丟失。
可以通過檢視動態mac位址表項,可以判斷兩台相連裝置之間是否有資料**;也可以通過檢視指定動態mac位址表項的個數,可以獲取介面下通訊的使用者數。
靜態表項:
由使用者手工配置,並下發到各界面板,表項不可老化。
在系統復位、介面板熱插拔或介面板復位後,儲存的表項不會丟失。
一條靜態mac位址表項,只能繫結乙個出介面。乙個介面和mac位址靜態繫結後,不會影響該介面動態mac位址表項的學習。通過繫結靜態mac位址表項,可以保證合法使用者的使用,防止其他使用者使用該mac進行攻擊。
黑洞表項:
由使用者手工配置,並下發到各界面板,表項不可老化。
在系統復位、介面板熱插拔或介面板復位後,儲存的表項不會丟失。
通過配置黑洞mac位址表項,可以過濾掉非法使用者。
可通過:dispaly mac-address 檢視裝置的mac表項。
配置靜態位址表項
[huawei]mac-address static
0011
-2233
-4455 gigabitethernet 0/0
/2 vlan 1
[huawei]mac-address blackhole 00aa-bbcc-ddee[huawei]mac-address aging-time 4001. 安全mac位址分類:
(1). 安全動態mac位址
使能埠安全而未使能sticky mac功能時轉換的mac位址。
(2). 安全靜態mac位址
使能埠安全時手工配置的靜態mac位址。
(3). sticky mac位址
使能埠安全後又同時使能sticky mac功能後轉換到的mac位址。
2. 埠安全說明:
(1)介面使能埠安全功能時,介面上之前學習到的動態mac位址表項將被刪除,之後學習到的mac位址將變為安全動態mac位址。
(2)介面使能sticky mac功能時,介面上的安全動態mac位址表項將轉化為sticky mac位址,之後學習到的mac位址也變為sticky mac位址。
(3)介面去使能埠安全功能時,介面上的安全動態mac位址將被刪除,重新學習動態mac位址。
(4)介面去使能sticky mac功能時,介面上的sticky mac位址,會轉換為安全動態mac位址。
1. 配置安全mac功能
[huawei-gigabitethernet0/0/
2]port-security enable
\\使能埠安全功能
[huawei-gigabitethernet0/0/
2]port-security protect-action shutdown
\\配置埠安全保護動作
[huawei-gigabitethernet0/0/
2]port-security max-mac-num 5
\\配置埠安全動態mac學習限制數量
[huawei-gigabitethernet0/0/
2]port-security aging-time 1000
\\配置介面學習到的安全動態mac位址的老化時間
[huawei-gigabitethernet0/0/
2]port-security enable
[huawei-gigabitethernet0/0/
2]port-security mac-address sticky
\\使能介面sticky mac功能
(2)sticky mac位址表項,儲存後重啟裝置不丟棄。
4. 埠安全的保護動作
(1)restrict:丟棄源mac位址不存在的報文並上報告警。推薦使用restrict動作。
(2)protect:只丟棄源mac位址不存在的報文,不上報告警。
(3)shutdown:介面狀態被置為error-down,並上報告警。
1. 定義
mac位址漂移是指裝置上乙個vlan內有兩個埠學習到同乙個mac位址,後學到的mac位址表項覆蓋原mac位址表項的現象。
如圖所示,mac位址為0011-0022-0034的表項,出介面由ge1/0/1重新整理為ge1/0/2,這就是mac位址漂移。裝置出現mac位址漂移時,裝置cpu佔用率會有不同程度的公升高。正常情況下,網路中不會在短時間內出現大量mac位址漂移的情況。出現這種現象一般都意味著網路中存在環路,可以通過檢視告警資訊和漂移記錄,快速定位和排除環路。
2. mac位址漂移避免機制
(1)提高介面mac位址學習優先順序:當不同介面學到相同的mac位址表項時,高優先順序介面學到的mac位址表項可以覆蓋低優先順序介面學到的mac位址表項,防止mac位址在介面間發生漂移。
(2)不允許相同優先順序的介面發生mac位址表項覆蓋:當偽造網路裝置所連線口的優先順序與安全的網路裝置相同時,後學習到的偽造網路裝置的mac位址表項不會覆蓋之前正確的表項。但如果網路裝置下電,仍會學習到偽造網路裝置的mac位址,當網路裝置再次上電時將無法學習到正確的mac位址。
3. mac位址漂移檢測
mac位址漂移檢測是利用mac位址出介面跳變的現象,檢測mac位址是否發生漂移的功能。
配置mac位址漂移檢測功能後,在發生mac位址漂移時,可以上報包括mac位址、vlan,以及跳變的介面等資訊的告警。其中跳變的介面即為可能出現環路的介面。網路管理員可以根據告警資訊,手工排查網路中環路的源頭,也可以使用mac漂移檢測提供的後續動作,使跳變的埠down或者vlan從埠中退出,實現自動破環。
如圖所示網路中,若switchc和switchd之間誤接網線,則switchb、switchc、switchd之間形成環路。當switcha上port1介面從網路中收到乙個廣播報文後**給switchb,該報文經過環路,會被switcha上port2介面收到。配置mac位址漂移檢測功能,switcha就會感知到mac位址出介面跳變的現象。若連續出現此現象,switcha就會上報mac漂移告警,提醒管理員進行維護。
4. mac位址防漂移配置
(1)配置介面mac位址學習優先順序
[huawei-gigabitethernet0/0/
2]mac-learning priority 3
\\配置介面學習mac位址的優先順序,預設情況下,介面學習mac位址的優先順序為0,數值越大優先順序越高
\\配置不允許相同優先順序的介面發生mac位址漂移
(3)配置全域性mac位址漂移檢測
\\配置全域性mac位址漂移檢測功能
(4)配置基於vlan的mac位址漂移檢測
[huawei]vlan 2
[huawei-vlan2]loop-detect eth-loop block-time 100 retry-times 3
\\配置mac位址漂移檢測功能
MAC位址表 埠安全 MAC位址偏移
4.mac位址表 2.埠安全 mac位址偏移 1.組成 mac位址為48位 6位元組 前24bit是通過向ietf等機構申請用來表示廠商的 後24bit是廠商分配給產品的唯一數值。2.分類 3.交換機對資料幀的三種處理行為 3.常見mac位址 位址用處 01 00 5e 0x xx xx ipv4組...
華為裝置,什麼是MAC位址漂移
首先我們來回憶一下什麼是mac位址漂移?mac位址漂移是指 在同乙個vlan內,乙個mac位址有兩個出介面,並且後學習到的出介面覆蓋原出介面的現象。這是官方定義,通俗的講,mac位址漂移指的是mac位址表項的出介面發生了變更。到底什麼意思呢?看了下圖就明白了。mac位址漂移會有什麼影響呢?1 上網響...
登錄檔修改MAC位址
登錄檔修改mac位址 1 找到登錄檔項hkey local machine system controlset001 control class img 2 找到對應網絡卡的 hkey local machine system controlset001 control class 0009 我機器...