以太网交换安全(二)----MAC地址表安全&MAC地址漂移防止与检测

最新推荐文章于 2024-09-29 00:38:04 发布
最新推荐文章于 2024-09-29 00:38:04 发布
阅读量3k 收藏 11
点赞数 1
文章标签: macos 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bjh23/article/details/132691576
版权
本文详细介绍了以太网交换机中MAC地址表的安全管理,包括静态与动态MAC地址、黑洞MAC地址的配置与作用。此外,还探讨了MAC地址漂移的概念及其解决方案,如优先级部署、防止相同优先级漂移以及MAC地址漂移检测策略,以提升网络安全性。
摘要由CSDN通过智能技术生成

目录

一、MAC地址表安全

MAC地址表项类型包括:

MAC地址表安全功能:​

实验部分:

黑洞MAC地址表:

更改动态MAC地址老化时间:​

交换机MAC学习功能切换:

静态MAC地址:

限制接口的MAC地址学习数量:

二、MAC地址漂移

什么是MAC地址漂移?

解决方法:(实验部分:)

1、优先级部署:

​2、还可以拒绝相同的优先级:

3、MAC地址漂移检测

(1)基于VLAN的MAC地址漂移检测

(2)基于全局的MAC地址漂移检测

一、MAC地址表安全

MAC地址表项类型包括:

  • 动态MAC地址表项:由接口通过报文中的源MAC地址学习获得,表项可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失。#无流量无人维护5分钟300s后自动老化
  • 静态MAC地址表项:由用户手工配置并下发到各接口板,表项不老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。接口和MAC地址静态绑定后,其他接口收到源MAC是该MAC地址的报文将会被丢弃。
  • 黑洞MAC地址表项:由用户手工配置,并下发到各接口板,表项不可老化。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。#只要匹配到手动配置指定的mac地址就丢弃,用于封掉某些出故障中毒的主机,防止一直出故障占用cpu,解决故障后可恢复。

MAC地址表安全功能:

  • 为了防止一些关键设备(如各种服务器或上行设备)被非法用户恶意修改其MAC地址表项,可将这些设备的MAC地址配置为静态MAC地址表项,因为静态MAC地址表项优先于动态MAC地址表项,不易被非法修改。
  • 为了防止无用MAC地址表项占用MAC地址表,同时为了防止黑客通过MAC地址攻击用户设备或网络,可将那些有着恶意历史的非信任MAC地址配置为黑洞MAC地址,使设备在收到目的MAC或源MAC地址为这些黑洞MAC地址的报文时,直接予以丢弃,不修改原有的MAC地址表项,也不增加新的MAC地址表项。
  • 为了减轻手工配置静态MAC地址表项,华为S系列交换机缺省已使能了动态MAC地址表项学习功能。但为了避免MAC地址表项爆炸式增长,可合理配置动态MAC表项的老化时间,以便及时删除MAC地址表中的废弃MAC地址表项。
  • 为了提高网络的安全性,防止设备学习到非法的MAC地址,错误地修改MAC地址表中的原MAC地址表项,可以选择关闭设备上指定接口或指定VLAN中所有接口的MAC地址学习功能,这样设备将不再从这些接口上学习新的MAC地址。
  • 配置限制MAC地址学习数,当超过限制数时不再学习MAC地址,同时可以配置当MAC地址数达到限制后对报文采取的动作,从而防止MAC地址表资源耗尽,提高网络安全性。
     

实验部分:

拓扑:

配好所有地址任意主机产生通信则产生mac-add表:这个表就是动态的表自动生成的

黑洞MAC地址表:

#SW1
mac-address  blackhole  aabb-cc00-0010  vlan  1  (没配vlan,默认vlan)
这里把PC1设置成了黑洞mac-address,于是现象为PC1ping谁也不通,谁也ping不通PC1,黑洞这一词很形象。 
现象如图:

更改动态MAC地址老化时间:

最低0.47元/天 解锁文章
HUAWEI@123
关注
05 以太网交换安全.pptx
01-25
本资源将主要介绍常见的以太网交换安全技术,包括端口隔离、端口安全MAC地址漂移检测、风暴控制、端口限速、MAC地址安全、DHCP Snooping及IP Source Guard等常见技术,以提高对以太网交换安全的理解和认识。...
MAC地址漂移和应对(一)
mn3321的博客
06-12 9085
对于一个园区网络来说,交换机是一个非常重要且常见的设备。然而在交换网 络的组建过程巾很容易引发各种问题,网络设计者和建设者需要格外留意并设法解决它 们。MAC地址漂移(MAC address flapping)是在交换网络中常见的问题之一。同 一个MAC地址交换机的某个接口上被学习到之后,又在相同ULAN的另一个接口上 学习到,这种现象被称为MAC地址迁移,少数的几次MAC地址迁移往往并不被认为是MAC地址漂移,例如运行了VRRP ( Virtual Router Redundancy Proto
HCNP Routing&Switching之MAC地址漂移
「 虚幻私塾」
08-28 974
1、我们知道默认情况下交换机的所有端口学习MAC地址的优先级是相同的(优先级为0),同时默认情况下交换机也是允许相同优先级学习到的MAC地址漂移;所以我们想要防止某个端口下学习到的MAC不会漂移到其他接口下,我们可以提高该端口学习到MAC地址的优先级,这样一来交换机如果再从其他端口学习到相同MAC地址,会对比优先级;这样一来,在信任端口下学习到的MAC地址在其他非信任端口下就不能够被学习;提示:可以看到交换机mac地址项没有发生变化,对应pc1的mac对应g0/0/1,pc2的mac对应g0/0/2;.
以太网交换安全MAC地址安全
最新发布
fanshizhiren的博客
09-29 1107
总的来说,MAC地址安全通过多种方式来确保网络安全性和稳定性。这些措施共同构成了一个强大的安全防护体系,有效地防止网络攻击和非法访问,保障了网络的正常运行和数据传输的安全
MAC地址漂移
weixin_49782381的博客
12-15 2691
产生原因: mac地址漂移是指设备上一个vlan内有两个端口学习到同一mac地址(环路、mac地址冲突),最后学习到的mac地址项会覆盖原来学习到的mac地址象的现象。 解决方法: 1. 提高mac地址学习优先级。 2. 不允许具有相同优先级接口mac地址漂移。 配置: 1. 提高mac地址学习优先级。 配置示例:设置int g0/0/0的mac地址学习优先级为3 int g0/0/0 mac-learni...
网络稳定性之路:深度解析MAC地址漂移、广播风暴及防范策略
网络技术联盟站
03-01 2352
MAC地址漂移是指网络中设备的MAC地址在运行过程中发生变化的现象。通常情况下,设备的MAC地址是固定的,用于唯一标识网络中的设备。然而,由于一些特定的情况,设备的MAC地址可能会发生漂移,导致网络管理和运维方面的问题。在虚拟局域网(VLAN)中,不同VLAN的设备通常是隔离的,它们彼此之间不应该直接通信。因此,当一个设备从一个VLAN移动到另一个VLAN时,其MAC地址的变化可以被认为是MAC地址漂移的一种形式。这种情况下,网络管理员需要注意跨VLAN的设备移动,以确保网络安全性和正常运行。
端口隔离、MAC地址项、MAC地址漂移防止检测
weixin_45059947的博客
05-16 1907
接口和MAC地址静态绑定后,其他接口收到源MAC是该MAC地址的报文将会被丢弃。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。由接口通过报文中的源MAC地址学习获得,项可老化。指定的VLAN必须以及创建并且已经加入绑定的端口,指定的MAC地址必须是单播MAC地址,不能是组播或广播地址。在接口A上配置与接口B之间的单向隔离后,接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。配置完成后,当Switch的接口GE0/0/1的MAC地址漂移到GE0/0/2后。
华为设备,什么是MAC地址漂移
mogexiuluo的博客
12-30 5376
首先我们来回忆一下什么是MAC地址漂移MAC地址漂移是指:在同一个VLAN内,一个MAC地址有两个出接口,并且后学习到的出接口覆盖原出接口的现象。这是官方定义,通俗的讲,MAC地址漂移指的是MAC地址项的出接口发生了变更。到底什么意思呢?看了下图就明白了。 MAC地址漂移会有什么影响呢? 1、上网响应慢!! 2、上网无响应!! 3、视频卡着不能动!! 以上这些都可能是MAC地址漂移,组网设备成环导致的。只要解决MAC地址漂移,破除组网中的环路,这些讨厌的画面就会自动消失的。...
B50610-DS07-RDS(博通千兆以太网手册)
08-17
3. **兼容性**:该芯片设计完全符合RGMII(Reduced Gigabit Media Independent Interface)标准,与行业标准的以太网媒体访问控制器(MACs)和交换控制器兼容。 4. **自动诊断功能**:内置的CableChecker™诊断工具...
stm32f107在rt-thread上实现1588协议 ptpv2
08-15
需要利用到的外设可能包括以太网MAC、DMA和多个定时器,以实现高效的时钟同步和数据传输。 2. **RT-Thread操作系统**:RT-Thread提供了良好的实时性和多任务调度,支持网络协议栈,如lwIP或TCP/IP,是实现PTPv2的...
故障处理-层环路.pdf
02-09
层环路是网络维护中的一个重要概念,它通常发生在以太网交换网络中,特别是使用了冗余设备和链路时。为了提高网络可靠性,网络设计师会引入额外的设备和链路,从而形成了环路。然而,在缺乏适当环路保护机制的情况...
网络技术MAC地址学习.doc
11-01
在本实验“以太网交换基础”中,我们将探讨MAC地址学习及其在交换机操作中的应用。 首先,实验的第一步是通过超级终端和Console线连接并初始化交换机。确保设备软件版本匹配且配置为初始状态。如果需要,可以通过...
[网络工程师]-huawei交换机MAC漂移
m0_58983558的博客
01-09 5783
介绍了交换机mac漂移的原理和一些解决办法
交换机MAC地址漂移--检测方法总结
tating0的博客
10-26 3233
MAC地址漂移交换机环路,端口镜像,python实时抓包,python实施巡检
配置黑洞MAC项(从而禁止mac设备上网)
一个懒鬼的博客
03-14 4001
为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址,过滤掉非法MAC地址。当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃。
mac地址漂移查看与解决
热门推荐
qq_38996170的博客
12-14 1万+
mac地址漂移MAC地址漂移是指一个MAC地址有俩个出接口,后学习到的出接口覆盖了原有的出接口,使MAC地址象的出接口发生了变更 一、 现象:MAC地址飘移 关于mac地址飘移,在网上查找并总结后,归纳可能为以下七种情况: 1、可能存在环路; 2、可能VRRP、HSRP等协议不正常引起。比如设备主备频繁切换,导致交换机学习同一mac地址飘移; 3、可能至少两台终端MAC地址相同,这样的情况不影响其他用户端; 4、是用户端换了网线,而两个网线接口不在同一台交换机上,mac会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值