HCIP--以太网交换安全(三)&MAC地址漂移防止与检测

MAC地址漂移防止与检测

一、MAC地址漂移防止与检测知识点

1.1MAC地址漂移的概述

MAC地址漂移是指交换机上一个vlan内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。

1.2.MAC地址漂移的防止方法

(1) 配置接口MAC地址学习优先级:当MAC地址在交换机的两个接口之间发生漂移是,可以将其中的一个接口的MAC地址优先级提高,这样高优先级就覆盖低优先级接口学习到的MAC地址表项。如图所示

(2)配置不允许相同优先级接口MAC地址漂移:当伪造网络设备接口的MAC地址优先级与安全的网络设备相同学习到伪造网络设备MAC地址表项不会覆盖之前正确的表项。如图所示

(3)关闭接口的学习功能:虽然这种方法较为极端,但通过接口的MAC地址学习功能,可以让接口永远学习不到MAC地址,从而防止MAC地址漂移。

1.3MAC地址漂移检测

交换机支持两种MAC地址漂移检测机制:基于VLAN是MAC地址漂移检测和全局MAC地址漂移检测。

  • 基于VLAN的MAC地址漂移检测

①配置VLAN的MAC地址漂移检测功能可以指定VLAN下所有的MAC地址是否发生漂移;

②当MAC地址发生漂移后,可以配置指定的动作,例如告警、阻断接口或阻断MAC地址。

  • 全局MAC地址漂移检测

①该功能可以检测设备上的所有的MAC地址是否发生漂移;

②若发生漂移,设备会上报告警到网关系统;

③用户有可以指定发生漂移后的处理动作,例如将接口关闭或退出vlan。

二、实验拓扑

拓扑:

实验要求:

1.在S1上配置与服务其连接的接口配置优先级为3;

2.开启MAC地址漂移检测功能,实现检测网络中是否存在MAC地址漂移;

3.配置老化时间;

4.配置接口MAC地址漂移后的处理动作,实现破除环路。

交换级的配置和命令

(1)在S1上配置与服务其连接的接口配置优先级为3

<Huawei>system

[Huawei]undo info-center enable

[Huawei]sysname S1

[S1]int g0/0/1

[S1-GigabitEthernet0/0/1]mac-learning priority 3

(2)开启MAC地址漂移检测功能

<Huawei>system

[Huawei]undo info-center enable

[Huawei]sysname S2

[S2]mac-address flapping detection

(3)配置MAC地址漂移表项的老化时间为500秒

[S2]mac-address flapping aging-time 500

(4)配置G0/0/1和G0/0/2接口MAC地址漂移后关闭

[S2]int g0/0/1

[S2-GigabitEthernet0/0/1]portswitch

[S2-GigabitEthernet0/0/1]mac-address flapping trigger error-down

[S2-GigabitEthernet0/0/1]q

[S2]int g0/0/2

[S2-GigabitEthernet0/0/2]portswitch

[S2-GigabitEthernet0/0/2]mac-address flapping trigger error-down

[S2-GigabitEthernet0/0/2]q

(5)配置被shutdown接口的自动恢复功能、自动恢复时间为60秒

[S2]error-down auto-recovery cause mac-address-flapping interval 60

检测配置结果

使用这条命令查看MAC地址漂移相关的配置

用PC1和PC2访问服务器,就发现G0/0/2接口关闭了 。

如果还是不行的话就多访问几次就OK了。

PC1

PC2

访问完之后就看到,G0/0/2接口是关闭了

接口关闭后,再使用display mac-address flapping record 可查看到漂移记录

三、总结

总之,MAC地址漂移防止与检测对于维护网络的稳定性和安全性至关重要。通过合理的配置和策略,可以有效预防和应对MAC地址漂移带来的问题。

相关推荐
东林知识库21 分钟前
2024年10月HarmonyOS应用开发者基础认证全新题库
学习·华为·harmonyos
余~1853816280022 分钟前
矩阵系统源码搭建,OEM贴牌技术
网络·人工智能·线性代数·算法·矩阵
小麦黑客笔记1 小时前
2024年最新自学手册 -网络安全(黑客技术)
开发语言·网络·安全·web安全·网络安全
安科瑞武陈燕WX172696036551 小时前
智慧用电监控装置:引领0.4kV安全用电新时代
大数据·人工智能·安全
独行soc1 小时前
#渗透测试#SRC漏洞挖掘# 信息收集-Shodan进阶之Jenkins组件
安全·jenkins·安全威胁分析·1024程序员节·shodan
沫夕残雪2 小时前
网络编程及回显服务器
网络·tcp/ip·java-ee·intellij-idea·信息与通信
ZVAyIVqt0UFji2 小时前
云舟观测:基于eBPF监控主机的TCP网络连接
网络·网络协议·tcp/ip·web安全·php
AI原吾3 小时前
构建灵活、高效的HTTP/1.1应用:探索h11库
网络·python·网络协议·http·ai·h11
看山还是山,看水还是。3 小时前
Nginx 的 Http 模块介绍(中)
android·运维·网络·nginx·http