以太网交换安全(二)----MAC地址表安全&MAC地址漂移防止与检测

这篇具有很好参考价值的文章主要介绍了以太网交换安全(二)----MAC地址表安全&MAC地址漂移防止与检测。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

一、MAC地址表安全

MAC地址表项类型包括:

MAC地址表安全功能:​

实验部分:

黑洞MAC地址表:

更改动态MAC地址老化时间:​

交换机MAC学习功能切换:

静态MAC地址:

限制接口的MAC地址学习数量:

二、MAC地址漂移

什么是MAC地址漂移?

解决方法:(实验部分:)

1、优先级部署:

​2、还可以拒绝相同的优先级:

3、MAC地址漂移检测

(1)基于VLAN的MAC地址漂移检测

(2)基于全局的MAC地址漂移检测


一、MAC地址表安全

MAC地址表项类型包括:

  • 动态MAC地址表项:由接口通过报文中的源MAC地址学习获得,表项可老化。在系统复位、接口板热插拔或接口板复位后,动态表项会丢失。#无流量无人维护5分钟300s后自动老化
  • 静态MAC地址表项:由用户手工配置并下发到各接口板,表项不老化。在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。接口和MAC地址静态绑定后,其他接口收到源MAC是该MAC地址的报文将会被丢弃。
  • 黑洞MAC地址表项:由用户手工配置,并下发到各接口板,表项不可老化。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。#只要匹配到手动配置指定的mac地址就丢弃,用于封掉某些出故障中毒的主机,防止一直出故障占用cpu,解决故障后可恢复。

MAC地址表安全功能:

  • 为了防止一些关键设备(如各种服务器或上行设备)被非法用户恶意修改其MAC地址表项,可将这些设备的MAC地址配置为静态MAC地址表项,因为静态MAC地址表项优先于动态MAC地址表项,不易被非法修改。
  • 为了防止无用MAC地址表项占用MAC地址表,同时为了防止黑客通过MAC地址攻击用户设备或网络,可将那些有着恶意历史的非信任MAC地址配置为黑洞MAC地址,使设备在收到目的MAC或源MAC地址为这些黑洞MAC地址的报文时,直接予以丢弃,不修改原有的MAC地址表项,也不增加新的MAC地址表项。
  • 为了减轻手工配置静态MAC地址表项,华为S系列交换机缺省已使能了动态MAC地址表项学习功能。但为了避免MAC地址表项爆炸式增长,可合理配置动态MAC表项的老化时间,以便及时删除MAC地址表中的废弃MAC地址表项。
  • 为了提高网络的安全性,防止设备学习到非法的MAC地址,错误地修改MAC地址表中的原MAC地址表项,可以选择关闭设备上指定接口或指定VLAN中所有接口的MAC地址学习功能,这样设备将不再从这些接口上学习新的MAC地址。
  • 配置限制MAC地址学习数,当超过限制数时不再学习MAC地址,同时可以配置当MAC地址数达到限制后对报文采取的动作,从而防止MAC地址表资源耗尽,提高网络安全性。
     

实验部分:

拓扑:
mac地址漂移,macos,网络
配好所有地址任意主机产生通信则产生mac-add表:这个表就是动态的表自动生成的
mac地址漂移,macos,网络

黑洞MAC地址表:

#SW1
mac-address  blackhole  aabb-cc00-0010  vlan  1  (没配vlan,默认vlan)
这里把PC1设置成了黑洞mac-address,于是现象为PC1ping谁也不通,谁也ping不通PC1,黑洞这一词很形象。 
现象如图:
mac地址漂移,macos,网络mac地址漂移,macos,网络mac地址漂移,macos,网络

更改动态MAC地址老化时间:
mac地址漂移,macos,网络

mac地址漂移,macos,网络

备注:时间一般就默认的即可,现网基本没人动这个,太长更新不及时,太短占用CPU也不太好。

交换机MAC学习功能切换:

控制是否学习MAC地址并指定后续动作:泛洪/丢弃::forward  Forward packets,discard  Discard packets
命令:
#SW1
interface GigabitEthernet0/0/1
mac-address  learning  disable  action   discard 
这里的意思是不学习来自g0/1的源MAC地址并且收到数据包时找不到对应表项不转发泛洪

现象为PC1到PC2/3 不通,交换机也学不到任何mac地址
mac地址漂移,macos,网络mac地址漂移,macos,网络

其他:

mac地址漂移,macos,网络

静态MAC地址:

最安全但是要手写条目多比较烦,就是手写静态MAC地址,不是手写的就丢弃
配置:接上边的禁止学习之后,禁止学习配置还在
#SW1
mac-address static aabb-cc00-0010 GigabitEthernet  0/0/1 vlan  1 
可以看到PC1到PC2/3通了,这样结合上边的禁止学习功能更加安全实用
mac地址漂移,macos,网络

mac地址漂移,macos,网络

限制接口的MAC地址学习数量:

配置:
#SW1
interface  GigabitEthernet  0/0/3 
mac-limit  maximum   3  alarm   enable  
#最多学习3个,超出告警
现象:
3个以内时都是正常:

mac地址漂移,macos,网络
超过三个后:

mac地址漂移,macos,网络
可以看到触发告警:
mac地址漂移,macos,网络
还可以加上动作(模拟器垃圾做不了)
mac地址漂移,macos,网络

还能基于vlan进行控制

mac地址漂移,macos,网络

二、MAC地址漂移

什么是MAC地址漂移?

MAC地址漂移是指:
      在同一个VLAN内,一个MAC地址有两个出接口,并且后学习到的出接口覆盖原出接口的现象。这是官方定义,通俗的讲,MAC地址漂移指的是MAC地址表项的出接口发生了变更

mac地址漂移,macos,网络图文转自:知乎----作者:网工Fox,原链接:

https://zhuanlan.zhihu.com/p/345269149https://zhuanlan.zhihu.com/p/345269149

  • MAC地址漂移是指交换机上一个VLAN内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。同一个mac地址在不同地方学到了
  • 当一个MAC地址在两个端口之间频繁发生迁移时,即会产生MAC地址漂移现象。
  • 正常情况下,网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路,或者存在网络攻击行为。
  • 如图:

mac地址漂移,macos,网络mac地址漂移,macos,网络
但是有的时候漂移是正常的:比如VRRP备设备切换为主设备时发送免费ARP;WLAN的漫游功能也会有漂移。

解决方法: (实验部分:)

1、优先级部署:

       缺省时接口MAC地址学习的优先级均为0,数值越大优先级越高。当同一个MAC地址被两个个接口学习到后,接口MAC地址学习优先级高的会被保留,MAC地址学习优先级低的被覆盖。
拓扑图:mac地址漂移,macos,网络
配置之前可以看到攻击者会把主机顶下去造成网络故障:
mac地址漂移,macos,网络
ping同一个地址都能ping通
配置:
interface  g 0/0/1
mac-learning   priority   3 
可以看到PC2开始不通了,PC1通信正常
mac地址漂移,macos,网络mac地址漂移,macos,网络

mac-address地址表也正常:

mac地址漂移,macos,网络
2、还可以拒绝相同的优先级:

相同优先级不准漂移,后来的不能覆盖之前的
配置:
#SW1
undo mac-learning  priority  0  allow-flapping   
现象:
先让PC1上线,再让攻击者:PC2上线,可以看到:
地址表正常:

mac地址漂移,macos,网络
PC1依然正常,PC2失败:

mac地址漂移,macos,网络
TEST----PC1
mac地址漂移,macos,网络
TEST----PC2

3、MAC地址漂移检测

(1)基于VLAN的MAC地址漂移检测

根据检测做出相应动作:

  • 发送告警,当检测到MAC地址发生漂移时只给网管发送告警。
  • 接口阻断,当检测到MAC地址发生漂移时,根据设置的阻塞时间对接口进行阻塞,并关闭接口收发报文的能力。
  • MAC地址阻断,当检测到MAC地址发生漂移时,只阻塞当前MAC地址,而不对物理接口进行阻塞,当前接口下的其他MAC的通信不受影响。
(2)基于全局的MAC地址漂移检测

mac-address flapping detection----#默认配置,华为交换机默认开启全局MAC地址漂移检测功能,因此缺省时交换机便会对设备上的所有VLAN进行MAC地址漂移检测。
当交换机检测到MAC地址漂移,在缺省情况下,它只是简单地上报告警,并不会采取其他动作。在实际网络部署中,可以根据网络需求,对检测到MAC地址漂移之后定义以下动作:

  • error-down 当配置了MAC地址漂移检测的端口检测到有MAC地址漂移时,将对应接口状态置为error-down,不再转发数据。
  • quit-vlan 当配置了MAC地址漂移检测的端口检测到有MAC地址漂移时,将退出当前接口所属的VLAN。 
     

    其他:
    eNSP上是这个:好像有现象但是我这里做实验的时候bug了

    ​​​​mac地址漂移,macos,网络

    还是以PPT上为准吧:
    [Switch2-GigabitEthernet0/0/1] mac-address flapping action error-down

在某些场景下,需要对某些VLAN不进行MAC地址漂移检测,可以通过配置MAC地址漂移检测的VLAN白名单来实现。
如果接口由于发生了MAC地址漂移从而被设置为Error-Down,默认情况下是不会自动恢复的。
如果希望Error-Down的接口能够自动恢复,

  • 在系统视图下配置如下命令: error-down auto-recovery cause mac-address-flapping interval time-value

如果接口由于发生了MAC地址漂移,被设置为离开VLAN,
如要实现接口自动恢复,

  • 可以在系统视图下配置如下命令: mac-address flapping quit-vlan recover-time time-value

配置命令:由于eNSP有的都不支持,就只放截图了看看就好。

mac地址漂移,macos,网络

display mac-address flapping record 可查看到漂移记录 文章来源地址https://www.toymoban.com/news/detail-762961.html

到了这里,关于以太网交换安全(二)----MAC地址表安全&MAC地址漂移防止与检测的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 以太网交换机——稳定安全,构筑数据之桥

    交换机,起源于集线器和网桥等网络通信设备,它在性能和功能上有了很大的发展,因此逐渐成为搭建网络环境的常用的设备。 随着ChatGPT爆发,因为用户量激增而宕机事件频频发生,云计算应用催生超大规模算力需求,交换机作为关键数据交互的基础支撑,将加速向高带宽

    2024年01月22日
    浏览(50)
  • 华为认证网络工程师学习笔记——以太网交换安全

    常见的以太网交换安全技术,包括端口隔离、端口安全、MAC地址漂移检测、风暴控制、端口限速、MAC地址表安全、DHCP Snooping及IP Source Guard等。 目录 1、端口隔离 2、MAC地址表安全 3、端口安全 4、MAC地址漂移防止与检测 5、MACsec 6、交换机流量控制——风暴控制 7、DHCP Snooping

    2024年04月27日
    浏览(48)
  • 从零开始 verilog 以太网交换机(二)MAC接收控制器的设计与实现

    🔈声明: 😃博主主页:王_嘻嘻的CSDN主页 🧨 从零开始 verilog 以太网交换机系列专栏:点击这里 🔑未经作者允许,禁止转载,侵权必删 🚩关注本专题的朋友们可以收获一个经典交换机设计的全流程,包括设计与验证(FPGA);以太网MAC的基础知识。新手朋友们还将获得一个

    2024年01月19日
    浏览(56)
  • 【以太网交换安全】--- 端口隔离运行原理及二层隔离三层通信实例配置讲解

    一般在 以太网交换网络 中为了 隔绝广播域 通常使用不同的vlan进行报文之间的二层隔离,但是网络随着网络规模不断扩大,业务种类也是百花齐放,我们如果还是使用之前的传统vlan那么会使用大量的vlan id并且运维工作也是十分繁重,为了满足种类如此繁多的需求,产生了

    2024年02月05日
    浏览(39)
  • 以太网链路聚合与交换机堆叠,集群

    目录 以太网链路聚合 一.链路聚合的基本概念 二.链路聚合的配置 1.手工模式 2.LACP模式 系统优先级 接口优先级 最大活动接口数 活动链路选举 负载分担 负载分担模式 三.典型使用场景 交换机之间 交换机和服务器之间 交换机和堆叠系统 防火墙双机热备心跳线 四.聚合链路的

    2024年02月08日
    浏览(56)
  • 以太网交换机的生成树协议STP

    广播风暴 广播帧在各个交换机之间反复转发,分别按顺时针和逆时针方向不停的同时兜圈。广播风暴会大量消耗网络资源,使得网络无法正常转发其他数据帧。 主机收到反复的广播帧,会大量消耗主机的资源。 交换机的帧交换表震荡:同一个MAC地址的记录在其他错误记录直

    2024年02月14日
    浏览(48)
  • 华为AR路由器 典型配置案例——以太网交换

    目录 Eth-Trunk 例:配置三层链路聚合 组网需求 操作步骤 检查配置结果 配置脚本 VLAN 举例:配置基于接口划分VLAN,实现同一VLAN内的互通(同设备) 组网需求 操作步骤 检查配置结果 配置脚本 举例:配置三层子接口实现不同VLAN间的互通 组网需求 操作步骤 检查配置结果 配置

    2024年02月11日
    浏览(39)
  • 3.9、以太网交换机自学习和转发帧的流程

    1.以太网交换机工作在 数据链路层 (也包括 物理层 ) 说明:目前市场上也有包含 网络层 部分功能的交换机,称为 三层交换机 2.以太网交换机收到帧后,在帧交换表中查找 的 目 的 M A C 地 址 所 对 应 的 接 口 号 color{red}的目的MAC地址所对应的接口号 的 目 的 M A C 地 址

    2024年02月09日
    浏览(87)
  • wireshark以太网 MAC 帧分析

    注 1 : 正文区的目录结构。一级标题用阿拉伯数字大写,二级以下 ( 含 ) 用点分式阿拉伯数字。 注 2 :实验介绍及回答部分,均可图文并用;如用图,建议居中显示,并附上图标题 ( 编好图号 ) 一、 实验 目的 1.理解以太网 MAC 地址 2.学习并分析以太网 MAC 帧格式的结构、含

    2024年02月04日
    浏览(53)
  • 【MAC+IP】以太网帧格式

    图片出自:https://info.support.huawei.com/info-finder/encyclopedia/zh/MTU.html

    2024年02月05日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包