MAC(Media Access Control,媒体访问控制)地址表记录了 MAC 地址与接口的对应关系,以及接口所属的 VLAN 等信息。设备在转发报文时,根据报文的目的 MAC 地址查询 MAC 地址表,如果MAC地址表中包含与报文目的MAC地址对应的表项,则直接通过该表项中的出接口转发该报文;如果 MAC 地址表中没有包含报文目的 MAC 地址对应的表项时,设备将采取广播方式通过对应VLAN 内除接收接口外的所有接口转发该报文。
MAC地址表记录了目的MAC地址、MAC地址对应的出接口以及所属的VLAN ID。在转发数据时,设备根据报文中的目的MAC地址查询MAC地址表,快速定位出接口,从而减少广播。
MAC 地址表项的分类
- 静态 MAC 地址表项:由用户手工配置,用于目的是某个 MAC 地址的报文从对应接口转发出去,表项不老化。静态 MAC 地址表项优先级高于自动生成的 MAC 地址表项。
- 动态 MAC 地址表项:可以由用户手工配置,也可以由设备通过源 MAC 地址学习自动生成,用于目的是某个 MAC 地址的报文从对应接口转发出去,表项有老化时间。手工配置的动态MAC 地址表项优先级等于自动生成的 MAC 地址表项。
- 黑洞 MAC 地址表项:由用户手工配置,用于丢弃源 MAC 地址或目的 MAC 地址为指定 MAC地址的报文(例如,出于安全考虑,可以禁止某个用户发送和接收报文),表项不老化。黑洞MAC 地址表项优先级高于自动生成的 MAC 地址表项。
一、示例:静态MAC地址表项及MAC黑洞
# 增加一个静态 MAC 地址表项,目的地址为 000f-e235-dc71,出接口为 GE1/0/1,且该接口属于 VLAN 2
<H3C> system-view
[H3C] mac-address static 000f-e235-dc71 interface GigabitEthernet 1/0/1 vlan 2
# 增加一个黑洞 MAC 地址表项,地址为 000f-e235-abcd,MAC地址或端口属于 VLAN 10
[H3C] mac-address blackhole 000f-e235-abcd vlan 10
# 配置动态 MAC 地址表项的老化时间为 500 秒
[H3C] mac-address timer aging 500
二、步骤:封禁MAC地址(MAC地址黑洞)
示例1:查找并封禁网络中私接路由器
说明:局域网中发现IP为192.168.1.1的TP-Link设备,此可能存在私接网络设备,通过IP地址查找对应MAC地址,然后在交换机中从上到下逐级查找该MAC所连接的接口。
1. 在PC的cmd命令行,使用arp -a命令查询IP对应的MAC地址,假设所得MAC为8C-16-45-F1-EB-A6
# 显示(所有)IP到MAC地址的地址转换表;也即在自动缓存中读取IP地址和mac地址的对应表
C:\>arp -a
# 显示指定IP地址192.168.1.1的对应MAC地址
C:\>arp -a 192.168.1.1
注:ARP是地址解析协议,通过IP地址找到设备的MAC地址。
2. 在交换机上逐级查询该MAC地址对应的接口,假设对应接口为接入交换机SW1中的G1/0/10口,VLAN为50
# 显示所有MAC地址信息(状态、接口、VLAN、Aging等)
<H3C> display mac-address
# 显示某一MAC为8C-16-45-F1-EB-A6的MAC地址信息(状态、接口、VLAN、Aging等)
<H3C> display mac-address 8C16-45F1-EBA6
3. 在对应交换机SW1中,将该MAC加入MAC地址黑洞,从而禁用该MAC地址
# 将8C-16-45-F1-EB-A6(所属vlan为50)加入MAC地址黑洞禁用该MAC
[SW1] mac-address blackhole 8C16-45F1-EBA6 vlan 50
注:通过display mac-address查看该MAC地址状态变化,State由Learned变为Blackhole。
4. 若需要禁用该MAC的对应接口,可直接关闭该接口
# 将交换机SW1接口G1/0/10关闭,禁用该接口
[SW1] interface GigabitEthernet 1/0/10
[SW1] shutdown
示例2:封禁中病毒IP地址对应PC机
说明:安全设备发现网络中感染病毒的PC的IP地址为10.131.102.72,封禁这台IP地址的PC。
1. 通过ping该IP地址测试PC是否在线:
A. 若PC在线,在交换机中通过arp命令显示IP地址对应的MAC地址及交换机接口,根据该IP对应的接口信息逐级查找该IP的接入交换机及其MAC地址,假设MAC地址为8C-16-45-F1-EB-A6
<H3C> display arp 10.131.102.72
B. 若PC不在线,则无法通过arp命令显示IP地址的MAC地址及交换机接口,此时可以通过查看DHCP服务器为客户端分配的IP地址信息,来获取该IP对应的MAC地址,假设得到的MAC地址为8C-16-45-F1-EB-A6
<H3C> display dhcp server ip-in-use
# 显示DHCP服务器为客户端分配的某一IP地址的信息
<H3C> display dhcp server ip-in-use ip 10.131.102.72
2. 在对应接入交换机SW1中,查找该IP对应的MAC和vlan,假设vlan为50,将该MAC加入MAC地址黑洞,从而禁用该MAC地址
[SW1] mac-address blackhole 8C16-45F1-EBA6 vlan 50
3. 在交换机SW1中,查看该MAC地址的状态,Blackhole为封禁状态,Learned为正常学习状态
[SW1] display mac-address 8C16-45F1-EBA6
三、命令格式
3.1 配置MAC地址表
# 全局配置静态/动态MAC地址表项
[H3C] mac-address { dynamic | static } mac-address interface interface-type interface-number vlan vlan-id
# 接口配置静态/动态MAC地址表项
[H3C-GigabitEthernet1/0/1] mac-address { dynamic | static } mac-address vlan vlan-id
# 配置目的黑洞MAC地址表项
[H3C] mac-address blackhole mac-address vlan vlan-id
# 关闭接口的MAC地址学习功能。注,关闭MAC地址学习功能可以有效防止这种攻击:黑客使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽,造成设备无法根据网络的变化更新MAC地址表。
[H3C-GigabitEthernet1/0/1] undo mac-address mac-learning enable
# 配置动态 MAC 地址表项的老化时间,缺省时间为为300秒
[H3C] mac-address timer { aging seconds | no-aging }
3.2 MAC地址表显示和维护
# 查看MAC地址表信息
<H3C> display mac-address [ mac-address [ vlan vlan-id ] | [ [ dynamic | static ] [ interface interface-type interface-number ] | blackhole ] [ vlan vlan-id ] [ count ] ]
# 显示MAC地址表动态表项的老化时间
<H3C> display mac-address aging-time
# 显示MAC地址学习功能的使能状态文章来源:https://www.toymoban.com/news/detail-786982.html
<H3C> display mac-address mac-learning [ interface interface-type interface-number ]文章来源地址https://www.toymoban.com/news/detail-786982.html
到了这里,关于[H3C]配置命令之MAC地址表项应用:封禁MAC地址的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
