第九章：以太网安全

9.1 MAC地址表的配置及管理

1. 查看MAC地址表

每个交换机都会维护一个MAC地址表，使用命令 “display mac-address” 查看，示例如下：

通过这个MAC地址表，可以看到的信息依次是所连接设备的MAC地址、所属VLAN、连接的接口、MAC等信息。当数据帧到达交换机时，交换机会动态地学习数据帧中源MAC地址，此时在MAC地址表的Type字段表示为dynamic（动态），也可以通过交换机给下连设备指定MAC地址，命令为“mac-address static ac1f-ccab-ea88 g0/0/3 vlan 30”，但是如果指定的IP地址和设备真实的IP地址不符时，会导致通信中断。

2.配置动态MAC表项的老化时间

当Type类型为dynamic，交换机会在各个接口上学习MAC地址，用以动态的维护自己的MAC地址表。当学习到一个新的MAC地址时，交换机会给这个MAC地址分配一个老化计时器，并开始倒计时，每当交换机收到的数据帧中源MAC地址为此地址时，老化计时器会被重置，如果老化计时器计数到0，此MAC表项将会被删除，华为交换机动态MAC地址表项的老化时间为300s，可以在系统视图下使用 “mac-address aging-time” 命令修改老化时间，但是在实际的网络中不建议随意修改这个老化时间。

3.配置静态MAC表项

假设交换机下有两台设备PC1和Server1，PC1 对应交换机接口和MAC地址为G 0/0/1、“MAC-PC”，Server 对应交换机接口和MAC地址为G0/0/2、“MAC-SE”。如果攻击者接入交换机，接入接口为G0/0/3，他将MAC地址设置为“MAC-SE”，然后持续不断的向交换机发送非法数据帧，这时交换机的MAC地址表中与”MAC-SE“关联的接口会在G0/0/2和G0/0/3直连反复横跳，在被关联到G0/0/3的时候，发往Server的数据帧时无法准确到达目的地的，可以通过配置静态MAC表项解决这个问题。

4.限制MAC地址学习数量

交换机默认对接口能学习到的地址数不作限制，但MAC地址表的规模是有限的。遇到MAC地址泛洪攻击时，交换机的MAC地址表可能会在短时间内被填满，导致无法学习新的MAC地址，已有的MAC地址也会因为无法再次更新而在老化计时器为0后被删除。为了解决这个问题，可以限制交换机每个接口可学习到的MAC地址数量。

在交换机的特定接口的配置视图下，运行命令“mac-limit maximum max-mum”。或者“mac-limit action { discard | forward }”，这个命令有两个字段可以选择，当为 discard 时，当接口学习到的MAC地址数达到限制后，会丢弃源MAC地址为新MAC地址的数据帧，这也是缺省操作；当为 forward 时，当接口学习到的MAC地址数达到限制后，会转发源MAC地址为新MAC地址的数据帧，但不学习这些新MAC地址。

在交换机的特定接口的配置视图下，执行命令“mac-limit alarm { enable | disable }”，可以选择在接口学习到的MAC地址数量到达限制后是否发出告警，默认是发出告警的。

9.2 接口安全

在交换机的接口开启接口安全（Port Security），可以限制交换机接口可学习的最大MAC地址数量，并且在开启接口安全后，交换机学习到的MAC地址会被转换为安全MAC地址，安全MAC地址不会被老化，当学习到的安全MAC地址到达上限时，不会学习新的MAC地址并且源MAC地址为新MAC地址的数据帧丢弃掉，但是交换机重启后所有的安全MAC地址都会被清空。另一种安全MAC地址表项是Sticky MAC表项，这种表项也不会被老化，而且当交换机保存配置后重启时不会丢失这个表项的。

9.3 MAC地址漂移与应对（下个文章）

9.4 DHCP Snooping

DHCP协议的一些漏洞可能会被攻击者利用，例如攻击者接入网络后，伪装成DHCP服务器，就有可能导致网络中的终端获取到错误的IP地址，导致中断无法正常通信甚至是信息泄露。DHCP Snooping可以保证DHCP客户端从合法的DHCP服务器中获取到IP地址，交换机激活了DHCP Snooping后，所有的接口有两种角色，信任接口和非信任接口，交换机只会接收来自信任接口的DHCP Offer报文，对于非信任接口，只会接收DHCP Discover报文，丢弃DHCP Offer、DHCP ACK、DHCP NAK报文。

除此之外，DHCP Snooping还支持攻击防范功能，例如可以防止 DHCP Server拒绝服务攻击、DHCP报文洪范攻击、仿冒DHCP报文攻击等。