日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

公告:魔扣目錄網為廣大站長提供免費收錄網站服務,提交前請做好本站友鏈:【 網站目錄:http://www.ylptlb.cn 】, 免友鏈快審服務(50元/站),

點擊這里在線咨詢客服
新站提交
  • 網站:51998
  • 待審:31
  • 小程序:12
  • 文章:1030137
  • 會員:747

別讓MAC地址漂移成為你的噩夢:實用防護與檢測方法

發布時間:2023-09-30 21:04:29 作者:網友整理

mac地址漂移概述

  • MAC地址漂移是指交換機上一個VLAN內有兩個端口學習到同一個MAC地址,后學習到的MAC地址表項覆蓋原MAC地址表項的現象。
  • 當一個MAC地址在兩個端口之間頻繁發生遷移時,即會產生MAC地址漂移現象。
  • 正常情況下,網絡中不會在短時間內出現大量MAC地址漂移的情況。出現這種現象一般都意味著網絡中存在環路,或者存在網絡攻擊行為。

防止MAC地址漂移

如果是環路引發MAC地址漂移,治本的方法是部署防環技術,例如STP,消除二層環路。如果由于網絡攻擊等其他原因引起,則可使用如下MAC地址防漂移特性:

配置接口MAC地址學習優先級

當MAC地址在交換機的兩個接口之間發生漂移時,可以將其中一個接口的MAC地址學習優先級提高。高優先級的接口學習到的MAC地址表項將覆蓋低優先級接口學習到的MAC地址表項。

配置不允許相同優先級接口MAC地址漂移

當偽造網絡設備所連接口的MAC地址優先級與安全的網絡設備相同時,后學習到的偽造網絡設備MAC地址表項不會覆蓋之前正確的表項。

?
  • 缺省時接口MAC地址學習的優先級均為0,數值越大優先級越高。當同一個MAC地址被兩個接口學習到后,接口MAC地址學習優先級高的會被保留,MAC地址學習優先級低的被覆蓋。
  • 在配置不允許相同優先級接口MAC地址漂移時,如果安全網絡設備下電,則交換機仍會學習到偽造網絡設備的MAC地址,當網絡設備再次上電時將無法學習到正確的MAC地址。因此該特性需謹慎使用,如果交換機的接口連接的網絡設備是服務器,當服務器下電后,另外的接口學習到與服務器相同的MAC地址,當服務器再次上電后就不能學習到正確的MAC地址。

MAC地址漂移檢測

交換機支持MAC地址漂移檢測機制,分為以下兩種方式:

  • 基于VLAN的MAC地址漂移檢測
    • 配置VLAN的MAC地址漂移檢測功能可以檢測指定VLAN下的所有的MAC地址是否發生漂移。
    • 當MAC地址發生漂移后,可以配置指定的動作,例如告警、阻斷接口或阻斷MAC地址。
  • 全局MAC地址漂移檢測
    • 該功能可以檢測設備上的所有的MAC地址是否發生了漂移。
    • 若發生漂移,設備會上報告警到網管系統。
    • 用戶也可以指定發生漂移后的處理動作,例如將接口關閉或退出VLAN。

基于VLAN的MAC地址漂移檢測

在配置基于VLAN的MAC地址漂移檢測功能后,如果MAC地址發生漂移時,則可根據需求配置接口做出的動作有以下三種:

  1. 發送告警,當檢測到MAC地址發生漂移時只給網管發送告警。
  2. 接口阻斷,當檢測到MAC地址發生漂移時,根據設置的阻塞時間對接口進行阻塞,并關閉接口收發報文的能力。
  3. MAC地址阻斷,當檢測到MAC地址發生漂移時,只阻塞當前MAC地址,而不對物理接口進行阻塞,當前接口下的其他MAC的通信不受影響。
?

當配置接口阻塞時:

  • 檢測到VLAN2內產生MAC地址漂移時,將產生漂移后的接口直接阻塞。
  • 接口將被阻塞10秒(該時長使用block-time關鍵字指定),接口被阻塞時是無法正常收發數據的。
  • 10秒之后接口會被放開并重新進行檢測,此時該接口可以正常收發數據,如果20秒內沒有再檢測到MAC地址漂移,則接口的阻塞將被徹底解除;而如果20秒內再次檢測到MAC地址漂移,則再次將該接口阻塞,如此重復2次(該次數使用retry-times關鍵字指定),如果交換機依然能檢測到該接口發生MAC地址漂移,則永久阻塞該接口。

全局MAC地址漂移檢測

當交換機檢測到MAC地址漂移,在缺省情況下,它只是簡單地上報告警,并不會采取其他動作。在實際網絡部署中,可以根據網絡需求,對檢測到MAC地址漂移之后定義以下動作:

  • error-down
    • 當配置了MAC地址漂移檢測的端口檢測到有MAC地址漂移時,將對應接口狀態置為error-down,不再轉發數據。
  • quit-vlan
    • 當配置了MAC地址漂移檢測的端口檢測到有MAC地址漂移時,將退出當前接口所屬的VLAN。
?
  • 華為交換機默認開啟全局MAC地址漂移檢測功能,因此缺省時交換機便會對設備上的所有VLAN進行MAC地址漂移檢測。
  • 在某些場景下,需要對某些VLAN不進行MAC地址漂移檢測,可以通過配置MAC地址漂移檢測的VLAN白名單來實現。
  • 如果接口由于發生了MAC地址漂移從而被設置為Error-Down,默認情況下是不會自動恢復的。
  • 如果希望Error-Down的接口能夠自動恢復,在系統視圖下配置如下命令:error-down auto-recovery cause mac-address-flApping interval time-value
  • 如果接口由于發生了MAC地址漂移,被設置為離開VLAN,如要實現接口自動恢復,可以在系統視圖下配置如下命令:mac-address flapping quit-vlan recover-time time-value

MAC地址漂移配置命令介紹 

  1. 配置接口學習MAC地址的優先級
[Huawei-GigabitEthe.NET0/0/1] mac-learning priority priority-id
?

缺省情況下,接口學習MAC地址的優先級為0,數值越大優先級越高。

  1. 配置禁止MAC地址漂移時報文的處理動作為丟棄
[Huawei-GigabitEthernet0/0/1] mac-learning priority flapping-defend action discard
?

缺省情況下,禁止MAC地址漂移時報文的處理動作是轉發

  1. 配置不允許相同優先級的接口發生MAC地址漂移
[Huawei] undo mac-learning priority priority-id allow-flapping
?

缺省情況下,允許相同優先級的接口發生MAC地址漂移。

  1. 配置MAC地址漂移檢測功能。
[Huawei-vlan2] mac-address flapping detection
?

缺省情況下,已經配置了對交換機上所有VLAN進行MAC地址漂移檢測的功能

  1. (可選)配置MAC地址漂移檢測的VLAN白名單
[Huawei] mac-address flapping detection exclude vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>
?

缺省情況下,沒有配置MAC地址漂移檢測的VLAN白名單。

  1. (可選)配置發生漂移后接口的處理動作
[Huawei-GigabitEthernet0/0/1] mac-address flapping action { quit-vlan | error-down }
?

缺省情況下,對超過MAC地址學習數限制的報文采取丟棄動作。

  1. (可選)配置MAC地址漂移表項的老化時間
[Huawei] mac-address flapping aging-time aging-time
?

缺省情況下,MAC地址漂移表項的老化時間為300秒。

  1. 配置MAC地址漂移檢測功能
[Huawei-vlan2] loop-detect eth-loop { [ block-mac ] block-time block-time retry-times retry-times | alarm-only }

MAC地址漂移配置舉例

?

實驗介紹:

  • 網絡基礎配置已完成,Switch3與Switch4之間誤接網線導致網絡出現環路;
  • 在Switch1的接口GE0/0/1上配置MAC地址防漂移功能,防止被非法用戶攻擊;
  • 在Switch2上配置MAC地址漂移檢測功能,判斷網絡中存在的環路,排除故障。
  1. 在Switch1與Server相連的接口GE0/0/1上配置MAC地址學習優先級高于其他接口,此優先級默認值為0。
[Switch1] interface GigabitEthernet 0/0/1
[Switch1-GigabitEthernet 0/0/1] mac-leaning priority 3
  1. 在Switch2上配置MAC地址漂移檢測功能,并配置接口MAC地址漂移后的處理動作
[Switch2] mac-address flapping detection
[Switch2] mac-address flapping aging-time 500
[Switch2-GigabitEthernet0/0/1] mac-address flapping action error-down
[Switch2-GigabitEthernet0/0/2] mac-address flapping action error-down
[Switch2] error-down auto-recovery cause mac-address-flapping interval 500
?
  • 當Switch3與Switch4之間誤連接之后,Switch2的接口GE0/0/1的MAC地址漂移到接口GE0/0/2后,觸發接口error-down,接口GE0/0/2關閉。
  • 使用display mac-address flapping record可查看到漂移記錄。

配置驗證配置完成后,當Switch2的接口GE0/0/1的MAC地址漂移到接口GE0/0/2后,接口GE0/0/2關閉;使用display mac-address flapping record可查看到漂移記錄。

[Switch2] display mac-address flapping record
 S  : start time                                                                
 E  : end time                                                                  
(Q) : quit vlan                                                                 
(D) : error down 
---------------------------------------------------------------------------------------------------
Move-Time                 VLAN MAC-Address     Original-Port    Move-Ports   MoveNum
---------------------------------------------------------------------------------------------------
S:2020-06-22 17:22:36     1    5489-9815-662b  GE0/0/1         GE0/0/2(D)   83
E:2020-06-22 17:22:44
---------------------------------------------------------------------------------------------------
Total items on slot 0: 1

 

分享到:
標簽:地址 MAC
用戶無頭像

網友整理

注冊時間:

網站:5 個   小程序:0 個  文章:12 篇

  • 51998

    網站

  • 12

    小程序

  • 1030137

    文章

  • 747

    會員

趕快注冊賬號,推廣您的網站吧!
最新入駐小程序

數獨大挑戰2018-06-03

數獨一種數學游戲,玩家需要根據9

答題星2018-06-03

您可以通過答題星輕松地創建試卷

全階人生考試2018-06-03

各種考試題,題庫,初中,高中,大學四六

運動步數有氧達人2018-06-03

記錄運動步數,積累氧氣值。還可偷

每日養生app2018-06-03

每日養生,天天健康

體育訓練成績評定2018-06-03

通用課目體育訓練成績評定