亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

公告:魔扣目錄網(wǎng)為廣大站長(zhǎng)提供免費(fèi)收錄網(wǎng)站服務(wù),提交前請(qǐng)做好本站友鏈:【 網(wǎng)站目錄:http://www.430618.com 】, 免友鏈快審服務(wù)(50元/站),

點(diǎn)擊這里在線咨詢客服
新站提交
  • 網(wǎng)站:51998
  • 待審:31
  • 小程序:12
  • 文章:1030137
  • 會(huì)員:747

別讓MAC地址漂移成為你的噩夢(mèng):實(shí)用防護(hù)與檢測(cè)方法

發(fā)布時(shí)間:2023-09-30 21:04:29 作者:網(wǎng)友整理

mac地址漂移概述

  • MAC地址漂移是指交換機(jī)上一個(gè)VLAN內(nèi)有兩個(gè)端口學(xué)習(xí)到同一個(gè)MAC地址,后學(xué)習(xí)到的MAC地址表項(xiàng)覆蓋原MAC地址表項(xiàng)的現(xiàn)象。
  • 當(dāng)一個(gè)MAC地址在兩個(gè)端口之間頻繁發(fā)生遷移時(shí),即會(huì)產(chǎn)生MAC地址漂移現(xiàn)象。
  • 正常情況下,網(wǎng)絡(luò)中不會(huì)在短時(shí)間內(nèi)出現(xiàn)大量MAC地址漂移的情況。出現(xiàn)這種現(xiàn)象一般都意味著網(wǎng)絡(luò)中存在環(huán)路,或者存在網(wǎng)絡(luò)攻擊行為。

防止MAC地址漂移

如果是環(huán)路引發(fā)MAC地址漂移,治本的方法是部署防環(huán)技術(shù),例如STP,消除二層環(huán)路。如果由于網(wǎng)絡(luò)攻擊等其他原因引起,則可使用如下MAC地址防漂移特性:

配置接口MAC地址學(xué)習(xí)優(yōu)先級(jí)

當(dāng)MAC地址在交換機(jī)的兩個(gè)接口之間發(fā)生漂移時(shí),可以將其中一個(gè)接口的MAC地址學(xué)習(xí)優(yōu)先級(jí)提高。高優(yōu)先級(jí)的接口學(xué)習(xí)到的MAC地址表項(xiàng)將覆蓋低優(yōu)先級(jí)接口學(xué)習(xí)到的MAC地址表項(xiàng)。

配置不允許相同優(yōu)先級(jí)接口MAC地址漂移

當(dāng)偽造網(wǎng)絡(luò)設(shè)備所連接口的MAC地址優(yōu)先級(jí)與安全的網(wǎng)絡(luò)設(shè)備相同時(shí),后學(xué)習(xí)到的偽造網(wǎng)絡(luò)設(shè)備MAC地址表項(xiàng)不會(huì)覆蓋之前正確的表項(xiàng)。

?
  • 缺省時(shí)接口MAC地址學(xué)習(xí)的優(yōu)先級(jí)均為0,數(shù)值越大優(yōu)先級(jí)越高。當(dāng)同一個(gè)MAC地址被兩個(gè)接口學(xué)習(xí)到后,接口MAC地址學(xué)習(xí)優(yōu)先級(jí)高的會(huì)被保留,MAC地址學(xué)習(xí)優(yōu)先級(jí)低的被覆蓋。
  • 在配置不允許相同優(yōu)先級(jí)接口MAC地址漂移時(shí),如果安全網(wǎng)絡(luò)設(shè)備下電,則交換機(jī)仍會(huì)學(xué)習(xí)到偽造網(wǎng)絡(luò)設(shè)備的MAC地址,當(dāng)網(wǎng)絡(luò)設(shè)備再次上電時(shí)將無(wú)法學(xué)習(xí)到正確的MAC地址。因此該特性需謹(jǐn)慎使用,如果交換機(jī)的接口連接的網(wǎng)絡(luò)設(shè)備是服務(wù)器,當(dāng)服務(wù)器下電后,另外的接口學(xué)習(xí)到與服務(wù)器相同的MAC地址,當(dāng)服務(wù)器再次上電后就不能學(xué)習(xí)到正確的MAC地址。

MAC地址漂移檢測(cè)

交換機(jī)支持MAC地址漂移檢測(cè)機(jī)制,分為以下兩種方式:

  • 基于VLAN的MAC地址漂移檢測(cè)
    • 配置VLAN的MAC地址漂移檢測(cè)功能可以檢測(cè)指定VLAN下的所有的MAC地址是否發(fā)生漂移。
    • 當(dāng)MAC地址發(fā)生漂移后,可以配置指定的動(dòng)作,例如告警、阻斷接口或阻斷MAC地址。
  • 全局MAC地址漂移檢測(cè)
    • 該功能可以檢測(cè)設(shè)備上的所有的MAC地址是否發(fā)生了漂移。
    • 若發(fā)生漂移,設(shè)備會(huì)上報(bào)告警到網(wǎng)管系統(tǒng)。
    • 用戶也可以指定發(fā)生漂移后的處理動(dòng)作,例如將接口關(guān)閉或退出VLAN。

基于VLAN的MAC地址漂移檢測(cè)

在配置基于VLAN的MAC地址漂移檢測(cè)功能后,如果MAC地址發(fā)生漂移時(shí),則可根據(jù)需求配置接口做出的動(dòng)作有以下三種:

  1. 發(fā)送告警,當(dāng)檢測(cè)到MAC地址發(fā)生漂移時(shí)只給網(wǎng)管發(fā)送告警。
  2. 接口阻斷,當(dāng)檢測(cè)到MAC地址發(fā)生漂移時(shí),根據(jù)設(shè)置的阻塞時(shí)間對(duì)接口進(jìn)行阻塞,并關(guān)閉接口收發(fā)報(bào)文的能力。
  3. MAC地址阻斷,當(dāng)檢測(cè)到MAC地址發(fā)生漂移時(shí),只阻塞當(dāng)前MAC地址,而不對(duì)物理接口進(jìn)行阻塞,當(dāng)前接口下的其他MAC的通信不受影響。
?

當(dāng)配置接口阻塞時(shí):

  • 檢測(cè)到VLAN2內(nèi)產(chǎn)生MAC地址漂移時(shí),將產(chǎn)生漂移后的接口直接阻塞。
  • 接口將被阻塞10秒(該時(shí)長(zhǎng)使用block-time關(guān)鍵字指定),接口被阻塞時(shí)是無(wú)法正常收發(fā)數(shù)據(jù)的。
  • 10秒之后接口會(huì)被放開(kāi)并重新進(jìn)行檢測(cè),此時(shí)該接口可以正常收發(fā)數(shù)據(jù),如果20秒內(nèi)沒(méi)有再檢測(cè)到MAC地址漂移,則接口的阻塞將被徹底解除;而如果20秒內(nèi)再次檢測(cè)到MAC地址漂移,則再次將該接口阻塞,如此重復(fù)2次(該次數(shù)使用retry-times關(guān)鍵字指定),如果交換機(jī)依然能檢測(cè)到該接口發(fā)生MAC地址漂移,則永久阻塞該接口。

全局MAC地址漂移檢測(cè)

當(dāng)交換機(jī)檢測(cè)到MAC地址漂移,在缺省情況下,它只是簡(jiǎn)單地上報(bào)告警,并不會(huì)采取其他動(dòng)作。在實(shí)際網(wǎng)絡(luò)部署中,可以根據(jù)網(wǎng)絡(luò)需求,對(duì)檢測(cè)到MAC地址漂移之后定義以下動(dòng)作:

  • error-down
    • 當(dāng)配置了MAC地址漂移檢測(cè)的端口檢測(cè)到有MAC地址漂移時(shí),將對(duì)應(yīng)接口狀態(tài)置為error-down,不再轉(zhuǎn)發(fā)數(shù)據(jù)。
  • quit-vlan
    • 當(dāng)配置了MAC地址漂移檢測(cè)的端口檢測(cè)到有MAC地址漂移時(shí),將退出當(dāng)前接口所屬的VLAN。
?
  • 華為交換機(jī)默認(rèn)開(kāi)啟全局MAC地址漂移檢測(cè)功能,因此缺省時(shí)交換機(jī)便會(huì)對(duì)設(shè)備上的所有VLAN進(jìn)行MAC地址漂移檢測(cè)。
  • 在某些場(chǎng)景下,需要對(duì)某些VLAN不進(jìn)行MAC地址漂移檢測(cè),可以通過(guò)配置MAC地址漂移檢測(cè)的VLAN白名單來(lái)實(shí)現(xiàn)。
  • 如果接口由于發(fā)生了MAC地址漂移從而被設(shè)置為Error-Down,默認(rèn)情況下是不會(huì)自動(dòng)恢復(fù)的。
  • 如果希望Error-Down的接口能夠自動(dòng)恢復(fù),在系統(tǒng)視圖下配置如下命令:error-down auto-recovery cause mac-address-flApping interval time-value
  • 如果接口由于發(fā)生了MAC地址漂移,被設(shè)置為離開(kāi)VLAN,如要實(shí)現(xiàn)接口自動(dòng)恢復(fù),可以在系統(tǒng)視圖下配置如下命令:mac-address flapping quit-vlan recover-time time-value

MAC地址漂移配置命令介紹 

  1. 配置接口學(xué)習(xí)MAC地址的優(yōu)先級(jí)
[Huawei-GigabitEthe.NET0/0/1] mac-learning priority priority-id
?

缺省情況下,接口學(xué)習(xí)MAC地址的優(yōu)先級(jí)為0,數(shù)值越大優(yōu)先級(jí)越高。

  1. 配置禁止MAC地址漂移時(shí)報(bào)文的處理動(dòng)作為丟棄
[Huawei-GigabitEthernet0/0/1] mac-learning priority flapping-defend action discard
?

缺省情況下,禁止MAC地址漂移時(shí)報(bào)文的處理動(dòng)作是轉(zhuǎn)發(fā)

  1. 配置不允許相同優(yōu)先級(jí)的接口發(fā)生MAC地址漂移
[Huawei] undo mac-learning priority priority-id allow-flapping
?

缺省情況下,允許相同優(yōu)先級(jí)的接口發(fā)生MAC地址漂移。

  1. 配置MAC地址漂移檢測(cè)功能。
[Huawei-vlan2] mac-address flapping detection
?

缺省情況下,已經(jīng)配置了對(duì)交換機(jī)上所有VLAN進(jìn)行MAC地址漂移檢測(cè)的功能

  1. (可選)配置MAC地址漂移檢測(cè)的VLAN白名單
[Huawei] mac-address flapping detection exclude vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>
?

缺省情況下,沒(méi)有配置MAC地址漂移檢測(cè)的VLAN白名單。

  1. (可選)配置發(fā)生漂移后接口的處理動(dòng)作
[Huawei-GigabitEthernet0/0/1] mac-address flapping action { quit-vlan | error-down }
?

缺省情況下,對(duì)超過(guò)MAC地址學(xué)習(xí)數(shù)限制的報(bào)文采取丟棄動(dòng)作。

  1. (可選)配置MAC地址漂移表項(xiàng)的老化時(shí)間
[Huawei] mac-address flapping aging-time aging-time
?

缺省情況下,MAC地址漂移表項(xiàng)的老化時(shí)間為300秒。

  1. 配置MAC地址漂移檢測(cè)功能
[Huawei-vlan2] loop-detect eth-loop { [ block-mac ] block-time block-time retry-times retry-times | alarm-only }

MAC地址漂移配置舉例

?

實(shí)驗(yàn)介紹:

  • 網(wǎng)絡(luò)基礎(chǔ)配置已完成,Switch3與Switch4之間誤接網(wǎng)線導(dǎo)致網(wǎng)絡(luò)出現(xiàn)環(huán)路;
  • 在Switch1的接口GE0/0/1上配置MAC地址防漂移功能,防止被非法用戶攻擊;
  • 在Switch2上配置MAC地址漂移檢測(cè)功能,判斷網(wǎng)絡(luò)中存在的環(huán)路,排除故障。
  1. 在Switch1與Server相連的接口GE0/0/1上配置MAC地址學(xué)習(xí)優(yōu)先級(jí)高于其他接口,此優(yōu)先級(jí)默認(rèn)值為0。
[Switch1] interface GigabitEthernet 0/0/1
[Switch1-GigabitEthernet 0/0/1] mac-leaning priority 3
  1. 在Switch2上配置MAC地址漂移檢測(cè)功能,并配置接口MAC地址漂移后的處理動(dòng)作
[Switch2] mac-address flapping detection
[Switch2] mac-address flapping aging-time 500
[Switch2-GigabitEthernet0/0/1] mac-address flapping action error-down
[Switch2-GigabitEthernet0/0/2] mac-address flapping action error-down
[Switch2] error-down auto-recovery cause mac-address-flapping interval 500
?
  • 當(dāng)Switch3與Switch4之間誤連接之后,Switch2的接口GE0/0/1的MAC地址漂移到接口GE0/0/2后,觸發(fā)接口error-down,接口GE0/0/2關(guān)閉。
  • 使用display mac-address flapping record可查看到漂移記錄。

配置驗(yàn)證配置完成后,當(dāng)Switch2的接口GE0/0/1的MAC地址漂移到接口GE0/0/2后,接口GE0/0/2關(guān)閉;使用display mac-address flapping record可查看到漂移記錄。

[Switch2] display mac-address flapping record
 S  : start time                                                                
 E  : end time                                                                  
(Q) : quit vlan                                                                 
(D) : error down 
---------------------------------------------------------------------------------------------------
Move-Time                 VLAN MAC-Address     Original-Port    Move-Ports   MoveNum
---------------------------------------------------------------------------------------------------
S:2020-06-22 17:22:36     1    5489-9815-662b  GE0/0/1         GE0/0/2(D)   83
E:2020-06-22 17:22:44
---------------------------------------------------------------------------------------------------
Total items on slot 0: 1

 

分享到:
標(biāo)簽:地址 MAC
用戶無(wú)頭像

網(wǎng)友整理

注冊(cè)時(shí)間:

網(wǎng)站:5 個(gè)   小程序:0 個(gè)  文章:12 篇

  • 51998

    網(wǎng)站

  • 12

    小程序

  • 1030137

    文章

  • 747

    會(huì)員

趕快注冊(cè)賬號(hào),推廣您的網(wǎng)站吧!
最新入駐小程序

數(shù)獨(dú)大挑戰(zhàn)2018-06-03

數(shù)獨(dú)一種數(shù)學(xué)游戲,玩家需要根據(jù)9

答題星2018-06-03

您可以通過(guò)答題星輕松地創(chuàng)建試卷

全階人生考試2018-06-03

各種考試題,題庫(kù),初中,高中,大學(xué)四六

運(yùn)動(dòng)步數(shù)有氧達(dá)人2018-06-03

記錄運(yùn)動(dòng)步數(shù),積累氧氣值。還可偷

每日養(yǎng)生app2018-06-03

每日養(yǎng)生,天天健康

體育訓(xùn)練成績(jī)?cè)u(píng)定2018-06-03

通用課目體育訓(xùn)練成績(jī)?cè)u(píng)定