端口安全和MAC地址
Mac地址表的组成
MAC地址表的定义
- MAC地址表记录了交换机学习到的其他设备的MAC地址与接口的对应关系,以及接口所属VLAN等信息。设备在转发报文时,根据报文的目的MAC地址查询MAC地址表,如果MAC地址表中包含与报文目的MAC地址对应的表项,则直接通过该表项中的出接口转发该报文;如果MAC地址表中没有包含报文目的MAC地址对应的表项时,设备将采取广播方式在所属VLAN内除接收接口外的所有接口转发该报文。
MAC地址表中的表项分为:动态表项、静态表项和黑洞表项。
- 动态表项:由接口通过报文中的源MAC地址学习获得,表项可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失。可以通过查看动态MAC地址表项,可以判断两台相连设备之间是否有数据转发;也可以通过查看指定动态MAC地址表项的个数,可以获取接口下通信的用户数。
- 静态表项:由用户手工配置,并下发到各接口板,表项不可老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。一条静态MAC地址表项,只能绑定一个出接口。一个接口和MAC地址静态绑定后,不会影响该接口动态MAC地址表项的学习。通过绑定静态MAC地址表项,可以保证合法用户的使用,防止其他用户使用该MAC进行攻击。
- 黑洞表项:由用户手工配置,并下发到各接口板,表项不可老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。通过配置黑洞MAC地址表项,可以过滤掉非法用户。
通过“display mac-address”命令,可以查看设备的mac表项,如图所示,mac表的组成可以分为动态、静态和黑洞。从表项中也可以看出,mac地址所对应的VLAN以及VSI。
端口安全
- 接口使能端口安全功能时,接口上之前学习到的动态MAC地址表项将被删除,之后学习到的MAC
地址将变为安全动态MAC地址。 - 接口使能Sticky MAC功能时,接口上的安全动态MAC地址表项将转化为Sticky MAC地址,之后
学习到的MAC地址也变为Sticky MAC地址。 - 接口去使能端口安全功能时,接口上的安全动态MAC地址将被删除,重新学习动态MAC地址。
- 接口去使能Sticky MAC功能时,接口上的Sticky MAC地址,会转换为安全动态MAC地址。
- 如图所示,MAC地址为0011-0022-0034的表项,出接口由GE1/0/1刷新为GE1/0/2,这就是MAC地址漂移。设备出现MAC地址漂移时,设备CPU占用率会有不同程度的升高。正常情况下,网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路,可以通过查看告警信息和漂移记录,快速定位和排除环路。
- 网络中产生环路或非法用户进行网络攻击都会造成MAC地址发生漂移,导致MAC地址不稳定。在规划网络时,可以通过下面两种方式来避免这种情况:
- 提高接口MAC地址学习优先级。当不同接口学到相同的MAC地址表项时,高优先级接口学到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项,防止MAC地址在接口间发生漂移。
- 不允许相同优先级的接口发生MAC地址表项覆盖。当伪造网络设备所连接口的优先级与安全的网络设备相同时,后学习到的造网络设备的MAC地址表项不会覆盖之前正确的表项。但如果网络设备下电,仍会学习到伪造网络设备的MAC地址,当网络设备再次上电时将无法学习到正确的MAC地址。
- 配置MAC地址漂移检测功能后,在发生MAC地址漂移时,可以上报包括MAC地址、VLAN,以及跳变的接口等信息的告警。其中跳变的接口即为可能出现环路的接口。网络管理员可以根据告警信息,手工排查网络中环路的源头,也可以使用MAC漂移检测提供的后续动作,使跳变的端口down或者VLAN从端口中退出,实现自动破环。
- 如图所示网络中,若SwitchC和SwitchD之间误接网线,则SwitchB、SwitchC、SwitchD之间形成环路。当SwitchA上Port1接口从网络中收到一个广播报文后转发给SwitchB,该报文经过环路,会被SwitchA上Port2接口收到。配置MAC地址漂移检测功能,SwitchA就会感知到MAC地址出接口跳变的现象。若连续出现此现象,SwitchA就会上报MAC漂移告警,提醒管理员进行维护。
- 接口配置不同的MAC地址学习优先级后,如果不同接口学到相同的MAC地址表项,那么高优先级接口学到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项,防止MAC地址发生漂移。
- 配置不允许相同优先级的接口发生MAC地址表项覆盖,也可以防止MAC地址漂移,提高网络的安全性。
端口安全和MAC地址相关推荐
- 华为ensp模拟器实验:端口安全绑定MAC地址ip地址
端口安全,交换机会通过MAC地址表记录连接到交换机端口的以太网MAC地址,并只允许某个MAC地址通过本端口通信.使用端口安全特性可以防止未经允许的设备访问网络,并增强安全性.另外,端口安全特性也可用于 ...
- mac 查看端口_交换机端口对应的mac地址与IP地址
1.MAC地址表 通俗的讲,没太交换机都有一个MAC地址表,该表记录了交换机每个端口与终端设备的MAC地址的映射关系,交换机的工作原理就是跟据MAC表中的端口与主机地址的映射关系来选择目的端口,进行二 ...
- 2022-09-07 网工进阶(三十)以太网交换安全-端口隔离、MAC地址表安全、端口安全、MAC地址漂移防止与检测、链路层安全、流量抑制、风暴控制、IPSG(IP Source Guard)
概述 目前网络中以太网技术的应用非常广泛.然而,各种网络攻击的存在,不仅造成了网络合法用户无法正常访问网络资源,而且对网络信息安全构成严重威胁,因此以太网交换的安全性越来越重要. 端口隔离 大型网络中 ...
- MAC地址、MAC地址表、端口安全、MAC地址漂移
一.MAC地址 mac地址主要工作在数据链路层,主要用于单个广播域内的数据传输 1.组成 总共48Bit,前24bit是通过向IETF等机构申请用来标识厂商的代码,后24bit由是厂商分配给产品的唯一 ...
- 说说ESXi虚拟交换机和端口组的“MAC地址更改”和“伪传输”
在说说ESXi虚拟交换机和端口组的"混杂模式"文章中提到过"MAC地址更改"和"伪传输"安全策略.作用范围和"混杂模式" ...
- 以太网 VLAN的5种划分方式(基于端口、基于MAC地址、基于IP子网、基于协议、基于策略)介绍与基础配置命令
2.8.3 以太网 VLAN(VLAN划分方式) VLAN的划分方式有 2.8.3 以太网 VLAN(VLAN划分方式) 一.基于端口划分 二.基于MAC地址划分 三.基于IP子网划分 四.基于协议划 ...
- 网络工程基础- -mac地址以及端口安全
网络工程基础-mac地址以及端口安全 前言 MAC地址(英语:Media Access Control Address),直译为媒体存取控制位址,也称为局域网地址(LAN Address)物理地址(P ...
- 华为交换机ssh思科交换机_思科交换机交换机中ip、mac地址绑定
在思科交换机中为了防止ip被盗用或员工乱改ip,可以做以下措施,既ip与mac地址的绑定,和ip与交换机端口的绑定. 一.通过IP查端口 先查MAC地址,再根据MAC地址查端口: bangonglou ...
- 37张图详解MAC地址、以太网、二层转发、VLAN
目录 MAC 地址 每个网卡或三层网口都有一个 MAC 地址, MAC 地址是烧录到硬件上,因此也称为硬件地址.MAC 地址作为数据链路设备的地址标识符,需要保证网络中的每个 MAC 地址都是唯一的, ...
最新文章
- 用WebBrowser实现HTML界面的应用和交互
- wxpython菜单栏嵌套窗口_如何在wxpython中使嵌套的Panel和Sizer工作
- 超级计算机应用领域的概括,超级计算机进展的相关研究
- springmvc+json 前后台数据交互
- 在服务器托管中asp***的防范注意些什么?
- php解析torrent文件,PHP基于闭包思想实现的BT(torrent)文件解析工具实例详解
- NDK-r17c编译FFmpeg4.3(支持硬编解码与neon)(七)
- 成都信息工程大学2019级概率论c类试题
- 基于DOI码的批量文献下载脚本
- 程序员的奋斗史(三十四)——人在囧途之应聘篇(四)
- 阅读这篇文章,假设你不知道的傅里叶变换,然后来掐死我
- 详解开关电源RCD钳位电路工作过程
- 脖子上长痘痘吃什么好
- smb1文件共享不安全不能连接文件共享
- 大学专业课真题(百度拷贝过来的)
- 【LeGO-LOAM论文阅读(二)--特征提取(二)】
- 乌克兰启动国家政策使加密货币合法化
- [英语]凡是倒装都有表“强调“之意
- EXCEL 同一标签内容求和
- CAD图库,别墅设计图纸免费资源分享