以太网交换安全：MAC地址漂移与检测（实验：二层环路+网络攻击）

23zhgjx-zgx2024-10-19 23:23

一、什么是MAC地址漂移？

MAC地址漂移是指网络中设备的MAC地址在运行过程中发生变化的现象。

MAC地址是用于唯一标识网络中的设备。

MAC地址漂移是指交换机上一个VLAN内有两个端口学习到同一个MAC地址，后学习到的MAC地址表项覆盖原MAC地址表项的现象。

当一个MAC地址在两个端口之间频繁发生迁移时，即会产生MAC地址漂移现象:正常情况下，网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路，或者存在网络攻击行为。

二、MAC地址漂移如何防止？

如果是环路引发的MAC地址漂移，解决的方法是部署防环技术，如STP，消除二层环路，假如是网络攻击等其他因素引起的MAC地址漂移可以配置接口MAC地址的学习优先级和配置不允许相同优先级接口MAC地址漂移

（1）在默认时接口MAC地址学习的优先级均为0，数值越大优先级越高。当同一个MAC地址被两个个接口学习到后，接口MAC地址学习优先级高的会被保留，MAC地址学习优先级低的被覆盖。

（2）在配置不允许相同优先级接口MAC地址漂移时，如果安全网络设备下电，则交换机仍会学习到伪造网络设备的MAC地址，当网络设备再次上电时将无法学习到正确的MAC地址。因此该特性需谨慎使用，如果交换机的接口连接的网络设备是服务器，当服务器下电后，另外的接口学习到与服务器相同的MAC地址，当服务器再次上电后就不能学习到正确的MAC地址。

三、MAC地址漂移如何进行检测？

交换机支持MAC地址漂移检测机制，分为以下两种方式:

。基于VLAN的MAC地址漂移检测

。配置VLAN的MAC地址漂移检测功能可以检测指定VLAN下的所有的MAC地址是否发生漂移。。当MAC地址发生漂移后，可以配置指定的动作，例如告警、阻断接口或阻断MAC地址。全局MAC地址漂移检测

。该功能可以检测设备上的所有的MAC地址是否发生了漂移。

·若发生漂移，设备会上报告警到网管系统。

。用户也可以指定发生漂移后的处理动作，例如将接口关闭或退出VLAN。

四、实验

由环路引起的MAC地址漂移

由于华为交换机默认打开STP所以实验开始我们要用undo stp enable将交换机的STP关闭

LSW2和LSW4交换机都是一样的操作

实验配置

LSW1命令

LSW1-GigabitEthernet0/0/2\]mac-learning priority 3 //配置接口的优先级为3 LSW2命令 \[LSW2\]mac-address flapping detection \[LSW2\]mac-address flapping aging-time 500 \[LSW2int g0/0/2 \[LSW2-GigabitEthernet0/0/2\]mac-address flapping trigger error-down //配置检测到mac地址漂移的动作为关闭接口 \[LSW2\]int g0/0/3 \[LSW2-GigabitEthernet0/0/3\]mac-address flapping trigger error-down \[LSW2\]error-down auto-recovery cause mac-address-flapping interval 500 //自动恢复接口的时间为500秒 #### **注：在教材中配置检测发生漂移动作的处理动作时这个action（有些交换机）没法使用，我们可以用trigger来代替它** 测试 用终端去连通server，可以发现连不通，因为当前的网络处于二层环路状态，所以连不通。 ![](https://i-blog.csdnimg.cn/direct/a6d09af0f94d4b1f84d80fbcb5da55c3.png) ![](https://i-blog.csdnimg.cn/direct/b14e2fad82a44638b1f44aa46384ac41.png) 当交换机检测到MAC地址漂移后就会进行配置动作（关闭接口），配置动作完成后终端就能连通server ![](https://i-blog.csdnimg.cn/direct/09a369680d87466589744da3bdb09a44.png) 下面可以看到接口已经关闭 ![](https://i-blog.csdnimg.cn/direct/9665f92fc21546568859c2be246b2476.png) \[LSW2\]dis mac-address flapping record //查看mac地址漂移日志 ![](https://i-blog.csdnimg.cn/direct/fd9d57297a1a419ebe5ee133d217202c.png) ##### 由网络攻击引起的MAC地址漂移 ![](https://i-blog.csdnimg.cn/direct/6c0dd11b95154359a9c80851852a8b7c.png) 在配置上与上面的配置差不多，只是不需要关闭stp，且要将两个终端的MAC地址改为一样的 其中一个是伪装的攻击者 ![](https://i-blog.csdnimg.cn/direct/8efeba8bf8aa45ba88f9c000b6688fc9.png) ![](https://i-blog.csdnimg.cn/direct/8be31901386c498d855c1af44c299b9f.png) LSW5命令 \[LSW5-GigabitEthernet0/0/1\]mac-learning priority 3 LSW6命令 \[LSW6\]mac-address flapping detection \[LSW6\]mac-address flapping aging-time 60 \[LSW6\]int g0/0/2 \[LSW6-GigabitEthernet0/0/2\]mac-address flapping trigger error-down \[LSW6-GigabitEthernet0/0/2\]int g0/0/3 \[LSW6-GigabitEthernet0/0/3\]mac-address flapping trigger error-down \[LSW6\]error-down auto-recovery cause mac-address-flapping interval 60 测试 与上面的实验一样也是终端去pingserver，不过在上面的实验是要设备之间能够连通，这个实验是要攻击者ping不到server ![](https://i-blog.csdnimg.cn/direct/154ef0e942a44adbbc5ba9731e3bd32c.png) ![](https://i-blog.csdnimg.cn/direct/decb12cb054e48a5a2f34c33986fde05.png) 当交换机检测到MAC地址漂移后启用动作，PC4连通不了了 ![](https://i-blog.csdnimg.cn/direct/81692d8da50748eeb41c623b76523ab7.png) ![](https://i-blog.csdnimg.cn/direct/ffa5225634c241f08a281447c1be652d.png) \[LSW6\]dis mac-address flapping record //查看mac地址漂移日志 ![](https://i-blog.csdnimg.cn/direct/31fa5006b3be4306bd170bb031aaca51.png) 至此，实验结束 ### 五、总结 总的来说，MAC地址漂移是一种需要及时检测和处理的网络现象，它可能由多种因素引起，对网络的稳定性和性能产生负面影响。通过配置MAC地址漂移检测功能、查看告警信息、分析漂移记录以及采取适当的防止措施，可以有效地管理和解决MAC地址漂移问题。

上一篇：VUE传递字符串显示二维码

下一篇：2024年-2025年Java毕业设计怎样选题？1000个计算机毕业热门选题推荐

热门推荐

01HTML项目一键打包工具：HTML2EXE 最新版 02RAG 实践- Ollama+RagFlow 部署本地知识库 03DeepSeek各版本说明与优缺点分析 04PyTorch量化技术教程：第四章 PyTorch在量化交易中的应用 05本地化部署AI知识库：基于Ollama+DeepSeek+AnythingLLM保姆级教程 06从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑 07RAG生成中的多文档动态融合及去重加权策略探讨 08苍穹外卖面试总结 09如何在WPS和Word/Excel中直接使用DeepSeek功能 10前端使用WPS WebOffice 做在线文档预览与编辑