目的:通过配置静态mac表项控制网络设备伪造mac地址非法操作
拓扑图:
流程:正常pc1和pc3通信,但是入侵者pc2伪造pc3的mac地址与pc1通信,导致lsw1内的一个mac地址表在接口2和3之间来回切换,导致数据帧无法准确到达目的地,或信息泄露等危险行为,通过配置静态mac地址表阻断pc2的数据报文。
1.未配置之前,设备入侵,查看各个设备互ping情况
2.查看lsw1内的mac地址表
我们这里讨论是二层转发,通过mac地址转发,可以看到交换机内同一个mac地址,在多个接口都有绑定,那么如果二层转发,根据目的mac地址,数据报文无法准确到达目的地。
3.设置静态mac地址,重复以上测试,查看lsw1内的mac地址表状态
可以看出,pc1和pc3可以正常通信,pc2无法交互报文了,通过设置静态mac地址表控制mac地址漂移问题
总结:静态mac优先级有优先于动态mac,所以接口3设置静态mac地址表后,即使有相同的mac地址,数据报文最终也会发送到配置静态mac地址接口的下联设备了
配制命令:mac-address static 5489-98D6-6bee Ethernet 0/0/3 vlan 1