HCIP--以太网交换安全（三）MAC地址漂移防止与检测

MAC地址漂移防止与检测

一、MAC地址漂移防止与检测知识点

1.1MAC地址漂移的概述

MAC地址漂移是指交换机上一个vlan内有两个端口学习到同一个MAC地址，后学习到的MAC地址表项覆盖原MAC地址表项的现象。

1.2.MAC地址漂移的防止方法

（1）配置接口MAC地址学习优先级：当MAC地址在交换机的两个接口之间发生漂移是，可以将其中的一个接口的MAC地址优先级提高，这样高优先级就覆盖低优先级接口学习到的MAC地址表项。如图所示

（2）配置不允许相同优先级接口MAC地址漂移：当伪造网络设备接口的MAC地址优先级与安全的网络设备相同学习到伪造网络设备MAC地址表项不会覆盖之前正确的表项。如图所示

（3）关闭接口的学习功能：虽然这种方法较为极端，但通过接口的MAC地址学习功能，可以让接口永远学习不到MAC地址，从而防止MAC地址漂移。

1.3MAC地址漂移检测

交换机支持两种MAC地址漂移检测机制：基于VLAN是MAC地址漂移检测和全局MAC地址漂移检测。    

• 基于VLAN的MAC地址漂移检测

①配置VLAN的MAC地址漂移检测功能可以指定VLAN下所有的MAC地址是否发生漂移；

②当MAC地址发生漂移后，可以配置指定的动作，例如告警、阻断接口或阻断MAC地址。

• 全局MAC地址漂移检测

①该功能可以检测设备上的所有的MAC地址是否发生漂移；

②若发生漂移，设备会上报告警到网关系统；

③用户有可以指定发生漂移后的处理动作，例如将接口关闭或退出vlan。

二、实验拓扑

拓扑：

 

实验要求：

1.在S1上配置与服务其连接的接口配置优先级为3；

2.开启MAC地址漂移检测功能，实现检测网络中是否存在MAC地址漂移；

3.配置老化时间；

4.配置接口MAC地址漂移后的处理动作，实现破除环路。

交换级的配置和命令 

（1）在S1上配置与服务其连接的接口配置优先级为3

<Huawei>system

[Huawei]undo info-center enable

[Huawei]sysname S1

[S1]int g0/0/1

[S1-GigabitEthernet0/0/1]mac-learning priority 3

（2）开启MAC地址漂移检测功能

<Huawei>system

[Huawei]undo info-center enable

[Huawei]sysname S2

[S2]mac-address flapping detection

（3）配置MAC地址漂移表项的老化时间为500秒

[S2]mac-address flapping aging-time 500

（4）配置G0/0/1和G0/0/2接口MAC地址漂移后关闭

[S2]int g0/0/1

[S2-GigabitEthernet0/0/1]portswitch

[S2-GigabitEthernet0/0/1]mac-address flapping trigger error-down

[S2-GigabitEthernet0/0/1]q

[S2]int g0/0/2

[S2-GigabitEthernet0/0/2]portswitch

[S2-GigabitEthernet0/0/2]mac-address flapping trigger error-down

[S2-GigabitEthernet0/0/2]q

（5）配置被shutdown接口的自动恢复功能、自动恢复时间为60秒

[S2]error-down auto-recovery cause mac-address-flapping interval 60

检测配置结果

使用这条命令查看MAC地址漂移相关的配置

用PC1和PC2访问服务器，就发现G0/0/2接口关闭了 。

如果还是不行的话就多访问几次就OK了。

 PC1

PC2

访问完之后就看到，G0/0/2接口是关闭了

接口关闭后，再使用display mac-address flapping record 可查看到漂移记录

三、总结 

总之，MAC地址漂移防止与检测对于维护网络的稳定性和安全性至关重要。通过合理的配置和策略，可以有效预防和应对MAC地址漂移带来的问题。