MAC地址漂移防止与检测
一、MAC地址漂移防止与检测知识点
1.1MAC地址漂移的概述
MAC地址漂移是指交换机上一个vlan内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。
1.2.MAC地址漂移的防止方法
(1) 配置接口MAC地址学习优先级:当MAC地址在交换机的两个接口之间发生漂移是,可以将其中的一个接口的MAC地址优先级提高,这样高优先级就覆盖低优先级接口学习到的MAC地址表项。如图所示
(2)配置不允许相同优先级接口MAC地址漂移:当伪造网络设备接口的MAC地址优先级与安全的网络设备相同学习到伪造网络设备MAC地址表项不会覆盖之前正确的表项。如图所示
(3)关闭接口的学习功能:虽然这种方法较为极端,但通过接口的MAC地址学习功能,可以让接口永远学习不到MAC地址,从而防止MAC地址漂移。
1.3MAC地址漂移检测
交换机支持两种MAC地址漂移检测机制:基于VLAN是MAC地址漂移检测和全局MAC地址漂移检测。
- 基于VLAN的MAC地址漂移检测
①配置VLAN的MAC地址漂移检测功能可以指定VLAN下所有的MAC地址是否发生漂移;
②当MAC地址发生漂移后,可以配置指定的动作,例如告警、阻断接口或阻断MAC地址。
- 全局MAC地址漂移检测
①该功能可以检测设备上的所有的MAC地址是否发生漂移;
②若发生漂移,设备会上报告警到网关系统;
③用户有可以指定发生漂移后的处理动作,例如将接口关闭或退出vlan。
二、实验拓扑
拓扑:
实验要求:
1.在S1上配置与服务其连接的接口配置优先级为3;
2.开启MAC地址漂移检测功能,实现检测网络中是否存在MAC地址漂移;
3.配置老化时间;
4.配置接口MAC地址漂移后的处理动作,实现破除环路。
交换级的配置和命令
(1)在S1上配置与服务其连接的接口配置优先级为3
<Huawei>system
Huaweiundo info-center enable
Huaweisysname S1
S1int g0/0/1
S1-GigabitEthernet0/0/1mac-learning priority 3
(2)开启MAC地址漂移检测功能
<Huawei>system
Huaweiundo info-center enable
Huaweisysname S2
S2mac-address flapping detection
(3)配置MAC地址漂移表项的老化时间为500秒
S2mac-address flapping aging-time 500
(4)配置G0/0/1和G0/0/2接口MAC地址漂移后关闭
S2int g0/0/1
S2-GigabitEthernet0/0/1portswitch
S2-GigabitEthernet0/0/1mac-address flapping trigger error-down
S2-GigabitEthernet0/0/1q
S2int g0/0/2
S2-GigabitEthernet0/0/2portswitch
S2-GigabitEthernet0/0/2mac-address flapping trigger error-down
S2-GigabitEthernet0/0/2q
(5)配置被shutdown接口的自动恢复功能、自动恢复时间为60秒
S2error-down auto-recovery cause mac-address-flapping interval 60
检测配置结果
使用这条命令查看MAC地址漂移相关的配置
用PC1和PC2访问服务器,就发现G0/0/2接口关闭了 。
如果还是不行的话就多访问几次就OK了。
PC1
PC2
访问完之后就看到,G0/0/2接口是关闭了
接口关闭后,再使用display mac-address flapping record 可查看到漂移记录
三、总结
总之,MAC地址漂移防止与检测对于维护网络的稳定性和安全性至关重要。通过合理的配置和策略,可以有效预防和应对MAC地址漂移带来的问题。