以太网交换安全：MAC地址漂移与检测（实验：二层环路+网络攻击）

一、什么是MAC地址漂移？

MAC地址漂移是指网络中设备的MAC地址在运行过程中发生变化的现象。

MAC地址是用于唯一标识网络中的设备。

MAC地址漂移是指交换机上一个VLAN内有两个端口学习到同一个MAC地址，后学习到的MAC地址表项覆盖原MAC地址表项的现象。

当一个MAC地址在两个端口之间频繁发生迁移时，即会产生MAC地址漂移现象:正常情况下，网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路，或者存在网络攻击行为。

二、MAC地址漂移如何防止？

如果是环路引发的MAC地址漂移，解决的方法是部署防环技术，如STP，消除二层环路，假如是网络攻击等其他因素引起的MAC地址漂移可以配置接口MAC地址的学习优先级和配置不允许相同优先级接口MAC地址漂移

（1）在默认时接口MAC地址学习的优先级均为0，数值越大优先级越高。当同一个MAC地址被两个个接口学习到后，接口MAC地址学习优先级高的会被保留，MAC地址学习优先级低的被覆盖。

（2）在配置不允许相同优先级接口MAC地址漂移时，如果安全网络设备下电，则交换机仍会学习到伪造网络设备的MAC地址，当网络设备再次上电时将无法学习到正确的MAC地址。因此该特性需谨慎使用，如果交换机的接口连接的网络设备是服务器，当服务器下电后，另外的接口学习到与服务器相同的MAC地址，当服务器再次上电后就不能学习到正确的MAC地址。

三、MAC地址漂移如何进行检测 ？

交换机支持MAC地址漂移检测机制，分为以下两种方式:

。基于VLAN的MAC地址漂移检测

。配置VLAN的MAC地址漂移检测功能可以检测指定VLAN下的所有的MAC地址是否发生漂移。。当MAC地址发生漂移后，可以配置指定的动作，例如告警、阻断接口或阻断MAC地址。全局MAC地址漂移检测

。该功能可以检测设备上的所有的MAC地址是否发生了漂移。

·若发生漂移，设备会上报告警到网管系统。

。用户也可以指定发生漂移后的处理动作，例如将接口关闭或退出VLAN。

四、实验

由环路引起的MAC地址漂移

由于华为交换机默认打开STP所以实验开始我们要用undo stp enable将交换机的STP关闭

LSW2和LSW4交换机都是一样的操作

实验配置

LSW1命令

[LSW1-GigabitEthernet0/0/2]mac-learning priority 3 //配置接口的优先级为3

LSW2命令

[LSW2]mac-address flapping detection

[LSW2]mac-address flapping aging-time 500

[LSW2int g0/0/2

[LSW2-GigabitEthernet0/0/2]mac-address flapping trigger error-down

//配置检测到mac地址漂移的动作为关闭接口

[LSW2]int g0/0/3

[LSW2-GigabitEthernet0/0/3]mac-address flapping trigger error-down

[LSW2]error-down auto-recovery cause mac-address-flapping interval 500

//自动恢复接口的时间为500秒

注：在教材中配置检测发生漂移动作的处理动作时这个action（有些交换机）没法使用，我们可以用trigger来代替它

测试

用终端去连通server，可以发现连不通，因为当前的网络处于二层环路状态，所以连不通。

当交换机检测到MAC地址漂移后就会进行配置动作（关闭接口），配置动作完成后终端就能连通server

下面可以看到接口已经关闭

[LSW2]dis mac-address flapping record //查看mac地址漂移日志

由网络攻击引起的MAC地址漂移

在配置上与上面的配置差不多，只是不需要关闭stp，且要将两个终端的MAC地址改为一样的

其中一个是伪装的攻击者

LSW5命令

[LSW5-GigabitEthernet0/0/1]mac-learning priority 3

LSW6命令

[LSW6]mac-address flapping detection

[LSW6]mac-address flapping aging-time 60

[LSW6]int g0/0/2

[LSW6-GigabitEthernet0/0/2]mac-address flapping trigger error-down

[LSW6-GigabitEthernet0/0/2]int g0/0/3

[LSW6-GigabitEthernet0/0/3]mac-address flapping trigger error-down

[LSW6]error-down auto-recovery cause mac-address-flapping interval 60

测试

与上面的实验一样也是终端去pingserver，不过在上面的实验是要设备之间能够连通，这个实验是要攻击者ping不到server

当交换机检测到MAC地址漂移后启用动作，PC4连通不了了

[LSW6]dis mac-address flapping record //查看mac地址漂移日志

至此，实验结束

五、总结

总的来说，MAC地址漂移是一种需要及时检测和处理的网络现象，它可能由多种因素引起，对网络的稳定性和性能产生负面影响。通过配置MAC地址漂移检测功能、查看告警信息、分析漂移记录以及采取适当的防止措施，可以有效地管理和解决MAC地址漂移问题。