MAC地址漂移:
MAC地址飘逸也就是我们经常说的拓扑地址翻摆,交换机的不同接口可能在很短的时间内反复学习到同一个MAC地址,例如交换网络中交换机网线被误接或配置错误形成了环网;网络中某些非法用户仿冒合法的MAC地址进行MAC地址攻击。
MAC地址防漂移功能:
配置了MAC地址防漂移的功能后,可以保证一个MAC地址的表项仅可在一个正确的接口上学习到,防止仿冒合法主机的MAC地址的入侵而改变该MAC地址原来正确的MAC地址表项。当然我们也可以通过把接口的学习功能关闭,让接口永远学习不到MAC地址,但是太过极端,不建议采用。(mac-address learning disable)
方法1:优先级判断是否学习对应的MAC地址
原理:
- 配置接口MAC地址学习优先级,优先级越高的接口学习到的MAC地址可以覆盖优先级低接口学习到的MAC地址。
- 配置不允许相同优先级接口MAC地址漂移,这样是为了提高网段的安全性,例如设备上行接口连接服务器,下行接口连接用户。如果相同优先级的情况下,可以MAC地址漂移,那么用户可以伪装服务器的MAC地址发送到交换机,下行接口被伪造的服务器MAC地址进行攻击后,MAC地址表的绑定就在下行的接口上了,这样就会出现其他用户无法正常访问服务器的情况。但是这个功能默认是没有开启的,也就是默认情况下是可以漂移,我们需要将其漂移功能关掉。
实验拓扑:
具体配置:在SW上
interface Ethernet0/0/1 //进入各个接口,划分到access接口里面
port link-type access
port default vlan 10
interface Ethernet0/0/2
port link-type access
interface Ethernet0/0/3
port link-type access
port default vlan 10
mac-learning priority 2 //不允许服务器的接口MAC地址被优先级低的抢占,这里设置为2
undo mac-learning priority 2 allow-flapping //关闭掉等级2的同级地址漂移功能
方法2:MAC地址防漂移的检测警告功能
1.基于VLAN的MAC地址漂移检测
原理:
基于VLAN的MAC地址漂移检测后,系统将检测该VLAN内所有MAC地址是否发生了漂移,若出现MAC地址漂移则执行阻断操作,阻断时间到达放开并重新进行检查。若20s内没有再次检测到MAC地址漂移,则接口阻塞被完全解除,重新开始一轮的检测循环;若在20s内再次检测到MAC地址漂移,再见开启阻塞,反复如此,直到达到设定的重试次数,若依然能够检测到MAC地址漂移,则永远阻断该端口,解除需要手工配置。(时间可以具体设定)
配置:
Block-mac指定根据MAC地址阻断。当没有指定此选项的时候,如果发现MAC地址漂移则阻断整个接口
Block-time指定阻断的时间,取值范围为10-65535的整数秒
Alarm-only指示当系统检测到MAC地址漂移时不阻断接口的或MAC地址,只给网管发送警告
etry-times:指定阻断的重试次数,取值范围为1-5次
查看vlan下的MAC地址漂移检测信息:可以查看全部vlan或者单独一个vlan
2.基于全局的MAC地址检查,会检查所有MAC地址是否发生了漂移,当我们收到了报警的信息怎么消除MAC地址漂移的办法有三种:
第一种:人工把发生漂移的接口shutdown:
优点:最简单可靠。
缺点:需要人工参与,整个接口的流量都会中断。
第二种:通过在接口上配置漂移检测动作为error-dwon,自动down掉漂移的端口。
优点:及时快捷,还可以通过配置自动恢复时间定时恢复端口。
缺点:整个接口的流量都会中断。
第三种:通过在接口上配置漂移检测动作为quit-vlan,使发生漂移的接口指定VLAN域内退出,从而消除MAC地址漂移,破除环路。
优点:只解决存在环路的VLAN域,不会使其他正常VLAN域的流量中断。
缺点:指定老化周期内,只能使一个接口从VLAN中退出。如果存在多个环路,破环会比较慢。
交换机实现全局MAC地址漂移告警功能有什么亮点呢?
亮点1:在同一个VLAN内,只会记录一个MAC地址漂移记录。
即同一个VLAN内,如果有多个MAC地址都在发生漂移,只记录第一个上报漂移的MAC地址。为什么呢?因为只要一个VLAN域内存在环路,该VLAN内所有的MAC地址都会发生漂移的。
亮点2:只有一次或两次MAC地址漂移,不会上报MAC地址漂移告警。
默认情况下,在漂移记录老化时间300秒内, MAC地址表项出接口变更10次,才认为发生了MAC地址漂移,才会上报MAC地址漂移告警。
亮点3:可以指定某个VLAN不进行MAC地址漂移的检测。指定某个VLAN不进行MAC地址漂移的检测后,该VLAN内的MAC地址发生漂移时,不会记录信息,也不会上报告警信息。
注意:所有的MAC地址漂移告警都需要处理吗?其实不是的,只有MAC地址漂移告警在短时间多次出现的情况才需要处理,偶尔出现的可以不用关注,类似于下面2种情况就可以不用关注的
1.因为环路或VRRP切换,导致的MAC地址漂移告警。
2.因为无线用户漫游,导致的MAC地址漂移告警。
实验拓扑:
具体配置:
由于sw2和sw3之间误介入了链路,我们在sw1上配置全局的MAC地址防漂移的检测功能,做相应的防护:
mac-address flapping detection //首先全局检测mac地址是否漂移
mac-address flapping aging-time 500 //设置mac地址漂移表的老化时间,在一个MAC地址老化时间内只能关闭其中一个接口,并且只有在老化时间内收到了超过10次变更才会进行报警
interface Ethernet0/0/2 //进入相应的接口
mac-address flapping trigger error-down //这里设置如果得到了报警的信息就关掉接口
interface Ethernet0/0/3
mac-address flapping trigger quit-vlan //这里设置如果得到了报警的信息就退出现在的vlan
error-down auto-recovery cause mac-address-flapping interval 500 //全局配置模式下设置error-down后自动恢复(原因是地址漂移),时间为500s。
参考资料:《华为交换机学习指南》
扫一扫
1226
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
