一、MAC地址表的组成(决定了数据帧如何转发)
从集线器 到工业级交换机两个跨越:
(1)通用计算机+cup+软件+I/O接口 的基本思路实现所谓的软交换,通过内存的方式避免数据冲突。
(2)进化现在第三代,用矩阵芯片(矩阵算法)。
注:交换机有两个表:由cpu制作出来MAC,数据进入查看CIM表,CIM在专用芯片上并与MAC实时同步。(CIM芯片二元运算,能在非常时间能进行上亿次匹配)。
单播帧洪泛指:如果一个帧没有在MAC表未知单播帧洪泛指
广播帧 :任何时都会洪泛
组播帧 :任何时都会洪泛 在开启IG/IP 会部分洪泛
通过"display mac-address"命令,可以查看设备的mac表项
1、动态表项(自学习)
①由接口通过报文中的源MAC地址学习获得,表项课老化,默认老化时间 300s
②在系统复位、接口板热拔或接口板复位后,动态表项会丢失。
2、静态表项(人工)
①由用户手工配置,并下发到各接口板,表项不可老化
②在系统复位、接口板热插拔或者接口板复位后,保存的表项不会丢失
3、黑洞表项(处理某些病毒、黑洞处理比拒绝快)
①由用户手工配置,并下发到各接口板,表项不可老化
②配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会 被丢弃
4、MAC地址表配置
· 配置静态MAC表项
[r1]mac-address static aaaa-aaaa-aaaa GigabitEthernet 0/0/1 vlan 1
· 配置黑洞MAC表项
[r1]mac-address blackhole 00aa-bbcc-ddee
· 配置动态MAC表项老化时间(在没人查是就会老化,一般不会调,只会在公共场合使用频率将老化时间调短,固定场景老化长。生成树也会强制老化接口MAC老化时间)
[r1]mac-address aging-time 200
二、端口安全
1、端口安全:通过接口学习到的动态MAC地址转化为安全MAC地址(包括动态安全)
两种安全场景:
①、伪造大量MAC打瘫MAC地址表进行位置单播洪泛可进行监听。
②、伪造别人MAC。
接口安全
开启边缘端口
[sw1-GigabitEthernet0/0/1]stp edged-port enable //边缘端口收敛时间为0
配置安全MAC功能:
[sw1-GigabitEthernet0/0/1]Port-security enable //使用端口安全功能
[sw1-GigabitEthernet0/0/1]port-security protect-action shutdown //配置端安全保护动作
[sw1-GigabitEthernet0/0/1]port-security max-mac-num 5//配置端口动态 MAC学习限制数量
[sw1-GigabitEthernet0/0/1]port-security aging-time 1000//配置接口学习到的安全动态MAC地址的老化时间
配置Sticky MAC功能,记录第一个进来的源MAC
[sw1-GigabitEthernet0/0/1]port-security mac-address sticky
凡是违背的会有惩罚,有三种惩罚机制。
1、protect 把非绑定MAC的包丢弃
2、restrict 把非绑定MAC的包丢弃,并且弹出警告日志
3、shutdown 关闭接口
三、MAC地址漂移
1、MAC地址表漂移是设备上一个VLAN内有两个端口学习到同一个MAC地址,后学习到MAC地址表覆盖原MAC地址表项的现象
什么场景出现漂移现象:
1:正常漂移,插错接口
2、不自觉漂移,交换机形成环路产生会伴随MAC地址漂移。
2、MAC地址漂移避免机制:
· 提高接口MAC地址学习优先级,当不同接口学习到相同的MAC地址表项时,高优先级接口可覆盖低优先级。
· 不允许相同优先级的接口发生MAC地址表项覆盖。优先级一样的情况下先到先得,提高网络的安全性。
3、MAC地址防漂移配置
· 配置接口MAC地址学习优先级(默认优先级为0)
[sw1-GigabitEthernet0/0/1]mac-learning priority
//配置接口学习MAC地址优先级,缺省情况下,接口学习MAC地址的优先级为0,数值越大优先级越高
· 配置不允许相同优先级接口MAC地址漂移
[sw1-GigabitEthernet0/0/1]undo mac-learning priority 2 allow-flapping
· 配置全局MAC地址漂移检测
[sw1]mac-address flapping detection
· 配置基于VLAN的MAC地址漂移检测
[sw1-vlan2]loop-detect eth-loop block-time 100 retry-times 3
四、免费ARP(自我介绍)
设备主动使用自己的IP地址作为目的IP地址发送ARP请求,此种方式称免费ARP。(中高端交换机会加速ARP表收敛)
免费ARP两个目的:
1、防止IP冲突
2、减少ARP洪泛
3、每次ARP在做触发是会牺牲一个更新包,所以免费ARP减少牺牲。
4、在VRRP备份组中来通告准备发生变换。
网络❀MAC地址表
最新推荐文章于 2023-11-24 08:43:21 发布