HCIP--以太网交换安全(三)&MAC地址漂移防止与检测

MAC地址漂移防止与检测

一、MAC地址漂移防止与检测知识点

1.1MAC地址漂移的概述

MAC地址漂移是指交换机上一个vlan内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。

1.2.MAC地址漂移的防止方法

(1) 配置接口MAC地址学习优先级:当MAC地址在交换机的两个接口之间发生漂移是,可以将其中的一个接口的MAC地址优先级提高,这样高优先级就覆盖低优先级接口学习到的MAC地址表项。如图所示

(2)配置不允许相同优先级接口MAC地址漂移:当伪造网络设备接口的MAC地址优先级与安全的网络设备相同学习到伪造网络设备MAC地址表项不会覆盖之前正确的表项。如图所示

(3)关闭接口的学习功能:虽然这种方法较为极端,但通过接口的MAC地址学习功能,可以让接口永远学习不到MAC地址,从而防止MAC地址漂移。

1.3MAC地址漂移检测

交换机支持两种MAC地址漂移检测机制:基于VLAN是MAC地址漂移检测和全局MAC地址漂移检测。

  • 基于VLAN的MAC地址漂移检测

①配置VLAN的MAC地址漂移检测功能可以指定VLAN下所有的MAC地址是否发生漂移;

②当MAC地址发生漂移后,可以配置指定的动作,例如告警、阻断接口或阻断MAC地址。

  • 全局MAC地址漂移检测

①该功能可以检测设备上的所有的MAC地址是否发生漂移;

②若发生漂移,设备会上报告警到网关系统;

③用户有可以指定发生漂移后的处理动作,例如将接口关闭或退出vlan。

二、实验拓扑

拓扑:

实验要求:

1.在S1上配置与服务其连接的接口配置优先级为3;

2.开启MAC地址漂移检测功能,实现检测网络中是否存在MAC地址漂移;

3.配置老化时间;

4.配置接口MAC地址漂移后的处理动作,实现破除环路。

交换级的配置和命令

(1)在S1上配置与服务其连接的接口配置优先级为3

<Huawei>system

[Huawei]undo info-center enable

[Huawei]sysname S1

[S1]int g0/0/1

[S1-GigabitEthernet0/0/1]mac-learning priority 3

(2)开启MAC地址漂移检测功能

<Huawei>system

[Huawei]undo info-center enable

[Huawei]sysname S2

[S2]mac-address flapping detection

(3)配置MAC地址漂移表项的老化时间为500秒

[S2]mac-address flapping aging-time 500

(4)配置G0/0/1和G0/0/2接口MAC地址漂移后关闭

[S2]int g0/0/1

[S2-GigabitEthernet0/0/1]portswitch

[S2-GigabitEthernet0/0/1]mac-address flapping trigger error-down

[S2-GigabitEthernet0/0/1]q

[S2]int g0/0/2

[S2-GigabitEthernet0/0/2]portswitch

[S2-GigabitEthernet0/0/2]mac-address flapping trigger error-down

[S2-GigabitEthernet0/0/2]q

(5)配置被shutdown接口的自动恢复功能、自动恢复时间为60秒

[S2]error-down auto-recovery cause mac-address-flapping interval 60

检测配置结果

使用这条命令查看MAC地址漂移相关的配置

用PC1和PC2访问服务器,就发现G0/0/2接口关闭了 。

如果还是不行的话就多访问几次就OK了。

PC1

PC2

访问完之后就看到,G0/0/2接口是关闭了

接口关闭后,再使用display mac-address flapping record 可查看到漂移记录

三、总结

总之,MAC地址漂移防止与检测对于维护网络的稳定性和安全性至关重要。通过合理的配置和策略,可以有效预防和应对MAC地址漂移带来的问题。

相关推荐
独行soc23 分钟前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍06-基于子查询的SQL注入(Subquery-Based SQL Injection)
数据库·sql·安全·web安全·漏洞挖掘·hw
独行soc2 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍08-基于时间延迟的SQL注入(Time-Based SQL Injection)
数据库·sql·安全·渗透测试·漏洞挖掘
fantasy_arch2 小时前
CPU性能优化-磁盘空间和解析时间
网络·性能优化
Clockwiseee3 小时前
php伪协议
windows·安全·web安全·网络安全
AORO_BEIDOU3 小时前
单北斗+鸿蒙系统+国产芯片,遨游防爆手机自主可控“三保险”
华为·智能手机·harmonyos
黑客Ash4 小时前
安全算法基础(一)
算法·安全
云云3214 小时前
搭建云手机平台的技术要求?
服务器·线性代数·安全·智能手机·矩阵
云云3214 小时前
云手机有哪些用途?云手机选择推荐
服务器·线性代数·安全·智能手机·矩阵
是Dream呀4 小时前
Python从0到100(七十八):神经网络--从0开始搭建全连接网络和CNN网络
网络·python·神经网络
xcLeigh4 小时前
网络安全 | 防火墙的工作原理及配置指南
安全·web安全