MAC地址攻击:攻击者不断修改自己的MAC地址,交换机大量学习,导致交换机MAC地址表缓存溢出,不能再学习其它的MAC地址信息,交换机工作在HUB状态,从而浪费带宽资源
原有现象交换机各学习各的MAC地址,互不冲突,将PC1MAC修改为PC2,现象MAC地址漂移
修改MAC学习时间:[Huawei]mac-address aging-time 10
1、解决方案:静态配置MAC地址
特点:不会老化,保存后设备重启不会消失,只能手动删除
2、MAC地址黑洞
手动将MAC地址加入黑洞,直接丢弃此MAC地址
3、基于Vlan或端口关闭MAC学习功能
[Huawei-GigabitEthernet0/0/1]mac-address learning disable action【若不加action后动作默认Forward】
[Huawei-vlan1]mac-address learning disable【Vlan修改默认只有转发】
4、基于接口或Vlan限制MAC地址数量,超过则丢弃
[Huawei-GigabitEthernet0/0/1]mac-limit maximum 1
基于Vlan
5、防止MAC地址漂移:
接口配置不同的MAC地址学习优先级后,如果不同接口学到相同的MAC地址表项,那么高优先级接口学 到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项,防止MAC地址发生漂移。 修改优先级,默认为0,越大越优(不启用STP,数据由SW3G0/0/2转发)
6、配置防漂移检测:
可以检测到设备所有MAC地址是否发生漂移
配置防漂移检测,默认开启
也可以针对某些vlan进行白名单设置(比如交换机的两个接口连接服务器双网卡(bond)部署负载均衡,学习的MAC地址是一致的)
发生MAC地址漂移接口的处理动作及优先级
PC1和PC2同时PING PC3 PC1 MAC地址动荡直接接口down掉
处理动作为error-down时,默认情况下,接口关闭后不会自动恢复,只能由网络管理人员先执行 shutdown命令再执行undo shutdown命令手动恢复 希望被关闭的接口可以自动恢复
当此接口Down30S后自动恢复