- 1py实战项目进度甘特图绘制_python 甘特图 多个进度
- 2区块链产业研究:物联网+区块链的应用落地_区块链 物联网 落地
- 3Docker 教程_启动docker
- 4【Kubernetes 企业项目实战】06、基于 Jenkins+K8s 构建 DevOps 自动化运维管理平台(中)_devops自动化运维平台
- 5DP-状态压缩DP(解释+典例)
- 6STM32+esp8266实现单片机与服务器的WiFi通信_基于stm32、esp8266及ov7670的无线图传下位机源码
- 7C语言实现面向对象编程 | 干货_c语言对象编程
- 8高效的Http客户端 OkHttp3使用_okhttp3 form 文件二进制
- 9tomcat最大线程数、最大等待数和最大连接数
- 10认识SOAR-安全事件编排自动化响应
LAN---MAC表简介(MAC地址分类、MAC地址表生成方式、MAC表报文转发方式、MAC地址表分类、AC地址老化、端口安全、安全MAC地址分类、MAC地址漂移、MAC地址防漂移)_黑洞静态表向
赞
踩
MAC表简介
介绍MAC表的定义、由来和作用。
MAC(MediaAccessControl)地址用来定义网络设备的位置。MAC地址由48比特长、12位的16进制数字组成,0到23位是厂商向IETF等机构申请用来标识厂商的代码,24到47位由厂商自行分派,是各个厂商制造的所有网卡的一个唯一编号。
MAC地址可以分为3种类型:
- 物理MAC地址:这种类型的MAC地址唯一的标识了以太网上的一个终端,该地址为全球唯一的硬件地址;
- 广播MAC地址:全1的MAC地址为广播地址(FF-FF-FF-FF-FF-FF),用来表示LAN上的所有终端设备;
- 组播MAC地址:除广播地址外,第8bit为1的MAC地址为组播MAC地址(例如01-00-00-00-00-00),用来代表LAN上的一组终端。其中以01-80-c2开头的组播MAC地址叫BPDU MAC,一般作为协议报文的目的MAC地址标示某种协议报文。
MAC地址表(MAC地址、接口号、VLAN ID,因为VLAN ID默认是1,所以默认不显示)
设备内有一张MAC地址表,简称MAC表。MAC表记录了相连设备的MAC地址、接口号以及所属的VLANID之间的对应关系。在转发数据时,交换设备根据报文中的目的MAC地址和VLANID查询MAC地址表,快速定位出接口,从而减少广播。
基于MAC表的报文转发:
设备在转发报文时,根据MAC地址表项信息,会采取以下两种转发方式:
- 单播方式:当MAC地址表中包含与报文目的MAC地址对应的表项时,设备直接将报文从该表项中的转发出接口发送。
- 广播方式:当设备收到的报文为广播报文、组播报文或MAC地址表中没有包含对应报文目的MAC地址的表项时(未知单播),设备将采取广播方式将报文向除接收接口外同一VLAN内的所有接口转发。(泛洪)
MAC地址表的分类:
MAC地址表项分为:动态表项、静态表项和黑洞表项。
- 动态表项由接口通过源MAC地址学习获得,表项有老化时间(理论300s,短则300s,多则599s)。
- 静态表项由用户手工配置,并下发到各接口板,表项不老化。
- 黑洞表项用于指示丢弃含有特定源MAC地址或目的MAC地址的数据帧,由用户手工配置,并下发到各接口板,表项不老化。
Mac-address blackhole mac地址 vlan xx 将MAC地址设置为黑洞MAC,交换机收到此MAC发来的信息,直接丢弃
在系统复位、接口板热插拔或接口板复位后,动态表项会丢失,而保存的静态表项和黑洞表项不会丢失。
MAC地址表项的生成方式:
MAC地址表项的生成方式有两种:自动生成、手工配置。
- 自动生成MAC表项
一般情况下,MAC表是设备通过源MAC地址学习过程而自动建立的。例如,当与SwitchA连接的HostB向SwitchA发送数据时,SwitchA从数据帧中解析出源MAC地址(即HostB的MAC地址),连同接口号添加到MAC地址表中。以后SwitchA接收到发送给HostB的数据,通过查询MAC表就可以得到正确的发送接口。
MAC表中自动生成的表项并非永远有效,每一条表项都有一个生存周期,到达生存周期仍得不到刷新的表项将被删除,这个生存周期被称作老化时间。如果在到达生存周期前记录被刷新,则该表项的老化时间重新计算。 - 手工配置MAC表项
设备通过源MAC地址学习自动建立MAC地址表时,无法区分合法用户和黑客用户的报文,带来了安全隐患。如果黑客用户将攻击报文的源MAC地址伪装成合法用户的MAC地址,并从设备的其它接口进入,设备就会学习到错误的MAC表项,于是就会将本应转发给合法用户的报文转发给黑客用户。
为了提高接口安全性,网络管理员可手工在MAC表中加入静态MAC地址表项,将用户与接口绑定,从而防止假冒身份的非法用户骗取数据。
通过手工配置黑洞MAC,可以限制指定用户的流量不能从设备通过,防止非法用户的攻击。
手工配置的MAC表项优先级高于自动生成的表项。
MAC地址老化:(300s-599s之间的一个值)
为适应网络的变化,MAC表需要不断更新。MAC表中自动生成的表项(即动态表项)并非永远有效,每一条表项都有一个生存周期,到达生存周期仍得不到刷新的表项将被删除,这个生存周期被称作老化时间。如果在到达生存周期前记录被刷新,则该表项的老化时间重新计算。
图1MAC地址老化示意图
如上图所示,设备MAC地址老化时间设置为T。在t1时刻有源MAC地址为00e0-fc00-0001、VLAN为1的报文从某接口进入。假定该接口已加入VLAN1。如果之前MAC地址表不存在关于(MAC:00e0-fc00-0001,VLAN:1)的任何种类表项,那么这个地址就会作为动态MAC地址表项学习到地址表里,同时该表项的命中标志位被置1。
设备周期性(每经过T时间)地对所有学习到的动态MAC地址表项进行检查。如在t2时刻,检查到动态表项(MAC:00e0-fc00-0001,VLAN:1)的命中标志位为1,则将该表项的命中标志位置为0,且不删除这条表项。如果在t2时刻和t3时刻之间有源MAC地址为00e0-fc00-0001、VLAN为1的报文进入设备,则将命中标志重新设置为1。如果在t2时刻和t3时刻之间没有这种报文进入设备,那么该表项的命中标志位会一直保持为0。在t3时刻,设备检查到该表项的命中标志位为0,认为该表项的老化时间到达,将删除此条表项。
如上所述,通过自动老化,一条动态表项在MAC地址表中存在的最短时间是设备所配置的老化时间T到2T之间。
设备MAC地址老化时间可设置,通过设置此时间,可以灵活控制动态学习到的MAC表项在MAC地址表中存在的时间。
关闭学习MAC能力,限制MAC地址数
由于MAC表的容量是有限的,当黑客伪造大量源MAC地址不同的报文并发送到设备后,设备上的MAC地址表项资源可能会被耗尽。此时即使它收到正常的报文,也无法学习到报文中的源MAC地址。
为了解决以上问题,设备提供了两种方式对MAC地址学习进行限制:
- 基于VLAN、流行为或接口关闭学习MAC能力
- 基于VLAN或接口进行MAC地址数限制
关闭学习MAC能力后,则接口将不再自动学习到新的动态MAC表项,之前学习到的动态表项可以等待老化时间到达后自动删除,也可以手工执行删除MAC命令,将这些表项删除。
限制学习的MAC地址数,即限制VLAN或接口学习动态MAC表项的最大数目。当VLAN或接口学习到的MAC表项达到最大数目,则该VLAN或接口将不能再学习新的MAC表项,直到它以前学习到的MAC表项老化。
多数情况下,一个黑客发送的攻击报文是从同一个接口进入设备,在这个接口上配置关闭学习MAC能力或配置MAC地址学习限制,可避免攻击报文将整个设备的MAC地址表填满。
端口安全
介绍
端口安全(Port Security)功能将设备接口学习到的MAC地址变为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC),可以阻止非法用户通过本接口和交换机通信,从而增强设备安全性。
端口学习安全MAC地址的方式:
安全MAC地址分为:安全动态MAC、安全静态MAC与Sticky MAC。定义及区别如下:
- 安全动态MAC地址:使能端口安全而未使能Sticky MAC功能时学习到的MAC地址。缺省情况下,安全动态MAC地址不会被老化,设备重启后安全动态MAC地址会丢失,需要重新学习。
- 安全静态MAC地址:使能端口安全时手工配置的静态MAC地址,安全静态MAC地址不会被老化。
- Sticky MAC地址:使能端口安全后又使能Sticky MAC功能后学习到的MAC地址。Sticky MAC地址不会被老化,保存配置后重启设备,Sticky MAC地址不会丢失,无需重新学习。(动态mac配置好以后使能sticky mac功能)
未使能端口安全功能时,设备的MAC地址表项可通过动态学习或静态配置。当某个接口使能端口安全功能后,该接口上之前学习到的动态MAC地址表项会被删除,之后学习到的MAC地址将变为安全动态MAC地址,此时该接口仅允许匹配安全MAC地址或静态MAC地址的报文通过。若接着使能Sticky MAC功能,安全动态MAC地址表项将转化为Sticky MAC表项,之后学习到的MAC地址也变为Sticky MAC地址。直到安全MAC地址数量达到限制,将不再学习MAC地址,并对接口或报文采取配置的保护动作。
MAC地址漂移:
什么是MAC地址漂移?
MAC地址漂移是指设备上一个VLAN内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。图1所示,MAC地址为0011-0022-0034,VLANID为2的表项,出接口由GE0/0/1刷新为GE0/0/2,这就是MAC地址漂移。设备出现MAC地址漂移时,设备CPU会有不同程度的升高。
正常情况下,网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路,可以通过查看告警信息和漂移记录,快速定位和排除环路。
什么情况下会出现MAC地址漂移现象?
- 环路
- 非法用户进行网络攻击
MAC地址防漂移:
网络中产生环路或非法用户进行网络攻击都会造成MAC地址发生漂移,导致MAC地址不稳定。
可以通过两种方式来避免这种情况:
- 提高接口MAC地址学习优先级。当不同接口学到相同的MAC地址表项时,高优先级接口学到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项,防止MAC地址在接口间发生漂移。(将合法用户的优先级升高来避免,默认优先级是0,值越大越优)
- 不允许相同优先级的接口发生MAC地址表项覆盖。当伪造网络设备所连接口的优先级与安全的网络设备相同时,后学习到的伪造网络设备的MAC地址表项不会覆盖之前正确的表项。但如果网络设备下电,此时会学习到伪造网络设备的MAC地址,当网络设备再次上电时将无法学习到正确的MAC地址。
如图1所示,为防止非法用户伪造服务器MAC地址入侵Switch,可以提高服务器侧接口Port1的MAC地址学习优先级。
MAC地址漂移检测:
MAC地址漂移检测是交换机对MAC地址漂移现象进行检测的功能。MAC地址漂移检测是利用MAC地址学习时接口跳变实现的,因此能提供的信息与MAC地址学习相关,包括MAC地址、VLAN,以及跳变的接口等诊断信息。其中跳变的接口即为可能出现环路的接口。网络管理员根据网络中每台设备上出现的跳变接口,以及网络拓扑,判断环路的源头。
如图2网络中,若SwitchC和SwitchD之间误接网线,则SwitchB、SwitchC、SwitchD之间形成环路。当SwitchA上Port1接口从网络中收到一个广播报文后转发给SwitchB,该报文经过环路,会被SwitchA上Port2接口收到。在接口Port2上配置MAC地址漂移检测,此时SwitchA会感知到MAC地址学习接口跳变的现象。若连续出现此现象,则在SwitchA上可以判断出现了MAC地址漂移。
