MAC(Media Access Control,媒体访问控制)地址表记录了 MAC 地址与接口的对应关系,以及接口所属的 VLAN 等信息。设备在转发报文时,根据报文的目的 MAC 地址查询 MAC 地址表,如果MAC地址表中包含与报文目的MAC地址对应的表项,则直接通过该表项中的出接口转发该报文;如果 MAC 地址表中没有包含报文目的 MAC 地址对应的表项时,设备将采取广播方式通过对应VLAN 内除接收接口外的所有接口转发该报文。

MAC地址表记录了目的MAC地址、MAC地址对应的出接口以及所属的VLAN ID。在转发数据时,设备根据报文中的目的MAC地址查询MAC地址表,快速定位出接口,从而减少广播。

MAC 地址表项的分类

  • 静态 MAC 地址表项:由用户手工配置,用于目的是某个 MAC 地址的报文从对应接口转发出去,表项不老化。静态 MAC 地址表项优先级高于自动生成的 MAC 地址表项。
  • 动态 MAC 地址表项:可以由用户手工配置,也可以由设备通过源 MAC 地址学习自动生成,用于目的是某个 MAC 地址的报文从对应接口转发出去,表项有老化时间。手工配置的动态MAC 地址表项优先级等于自动生成的 MAC 地址表项。
  • 黑洞 MAC 地址表项:由用户手工配置,用于丢弃源 MAC 地址或目的 MAC 地址为指定 MAC地址的报文(例如,出于安全考虑,可以禁止某个用户发送和接收报文),表项不老化。黑洞MAC 地址表项优先级高于自动生成的 MAC 地址表项。

一、示例:静态MAC地址表项及MAC黑洞

# 增加一个静态 MAC 地址表项,目的地址为 000f-e235-dc71,出接口为 GE1/0/1,且该接口属于 VLAN 2

<H3C> system-view

[H3C] mac-address static 000f-e235-dc71 interface GigabitEthernet 1/0/1 vlan 2

# 增加一个黑洞 MAC 地址表项,地址为 000f-e235-abcd,MAC地址或端口属于 VLAN 10

[H3C] mac-address blackhole 000f-e235-abcd vlan 10

# 配置动态 MAC 地址表项的老化时间为 500 秒

[H3C] mac-address timer aging 500

二、步骤:封禁MAC地址(MAC地址黑洞)

示例1:查找并封禁网络中私接路由器

说明:局域网中发现IP为192.168.1.1的TP-Link设备,此可能存在私接网络设备,通过IP地址查找对应MAC地址,然后在交换机中从上到下逐级查找该MAC所连接的接口。

1. 在PC的cmd命令行,使用arp -a命令查询IP对应的MAC地址,假设所得MAC为8C-16-45-F1-EB-A6

# 显示(所有)IP到MAC地址的地址转换表;也即在自动缓存中读取IP地址和mac地址的对应表

C:\>arp -a

# 显示指定IP地址192.168.1.1的对应MAC地址

C:\>arp -a 192.168.1.1

注:ARP是地址解析协议,通过IP地址找到设备的MAC地址。

2. 在交换机上逐级查询该MAC地址对应的接口,假设对应接口为接入交换机SW1中的G1/0/10口,VLAN为50

# 显示所有MAC地址信息(状态、接口、VLAN、Aging等)

<H3C> display mac-address

# 显示某一MAC为8C-16-45-F1-EB-A6的MAC地址信息(状态、接口、VLAN、Aging等)

<H3C> display mac-address 8C16-45F1-EBA6

3. 在对应交换机SW1中,将该MAC加入MAC地址黑洞,从而禁用该MAC地址

# 将8C-16-45-F1-EB-A6(所属vlan为50)加入MAC地址黑洞禁用该MAC

[SW1] mac-address blackhole 8C16-45F1-EBA6 vlan 50

注:通过display mac-address查看该MAC地址状态变化,State由Learned变为Blackhole。

4. 若需要禁用该MAC的对应接口,可直接关闭该接口

# 将交换机SW1接口G1/0/10关闭,禁用该接口

[SW1] interface GigabitEthernet 1/0/10

[SW1] shutdown

示例2:封禁中病毒IP地址对应PC机

说明:安全设备发现网络中感染病毒的PC的IP地址为10.131.102.72,封禁这台IP地址的PC。

1. 通过ping该IP地址测试PC是否在线:

A. 若PC在线,在交换机中通过arp命令显示IP地址对应的MAC地址及交换机接口,根据该IP对应的接口信息逐级查找该IP的接入交换机及其MAC地址,假设MAC地址为8C-16-45-F1-EB-A6

<H3C> display arp 10.131.102.72

B. 若PC不在线,则无法通过arp命令显示IP地址的MAC地址及交换机接口,此时可以通过查看DHCP服务器为客户端分配的IP地址信息,来获取该IP对应的MAC地址,假设得到的MAC地址为8C-16-45-F1-EB-A6

<H3C> display dhcp server ip-in-use

# 显示DHCP服务器为客户端分配的某一IP地址的信息

<H3C> display dhcp server ip-in-use ip 10.131.102.72

2. 在对应接入交换机SW1中,查找该IP对应的MAC和vlan,假设vlan为50,将该MAC加入MAC地址黑洞,从而禁用该MAC地址

[SW1] mac-address blackhole 8C16-45F1-EBA6 vlan 50

3. 在交换机SW1中,查看该MAC地址的状态,Blackhole为封禁状态,Learned为正常学习状态

[SW1] display mac-address 8C16-45F1-EBA6

三、命令格式

3.1 配置MAC地址表

# 全局配置静态/动态MAC地址表项

[H3C] mac-address { dynamic | static } mac-address interface interface-type interface-number vlan vlan-id

# 接口配置静态/动态MAC地址表项

[H3C-GigabitEthernet1/0/1] mac-address { dynamic | static } mac-address vlan vlan-id

# 配置目的黑洞MAC地址表项

[H3C] mac-address blackhole mac-address vlan vlan-id

# 关闭接口的MAC地址学习功能。注,关闭MAC地址学习功能可以有效防止这种攻击:黑客使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽,造成设备无法根据网络的变化更新MAC地址表。

[H3C-GigabitEthernet1/0/1] undo mac-address mac-learning enable

# 配置动态 MAC 地址表项的老化时间,缺省时间为为300秒

[H3C] mac-address timer { aging seconds | no-aging }

3.2 MAC地址表显示和维护

# 查看MAC地址表信息

<H3C> display mac-address [ mac-address [ vlan vlan-id ] | [ [ dynamic | static ] [ interface interface-type interface-number ] | blackhole ] [ vlan vlan-id ] [ count ] ]

# 显示MAC地址表动态表项的老化时间

<H3C> display mac-address aging-time

# 显示MAC地址学习功能的使能状态

<H3C> display mac-address mac-learning [ interface interface-type interface-number ]

[H3C]配置命令之MAC地址表项应用:封禁MAC地址相关推荐

  1. 中兴网络设备交换机路由器查看MAC地址表项命令方法

    描述:中兴网络设备交换机路由器查看MAC地址表项命令方法 命令: show mac

  2. 如何刷新mac、arp地址表项?

    Switch#show mac address-table //查看MAC地址表项 Switch#clear mac address-table dynamic //清除动态MAC地址表项 组网拓扑 ...

  3. 配置基于接口的ARP表项限制和端口安全(限制用户私自接入傻瓜交换机或非法主机接入)

    应用场景:为了防止未授权用户接入网络.用户私自接入交换机.路由器等设备,给公司网络管理带来安全隐患.通过相关技术手段给予禁止,方法有如下二种:配置端口安全和配置基于接口的ARP表项限制 分别介绍二种方 ...

  4. MAC地址、MAC地址表、端口安全、MAC地址漂移

    一.MAC地址 mac地址主要工作在数据链路层,主要用于单个广播域内的数据传输 1.组成 总共48Bit,前24bit是通过向IETF等机构申请用来标识厂商的代码,后24bit由是厂商分配给产品的唯一 ...

  5. 配置黑洞MAC表项(从而禁止mac设备上网)

    背景信息 为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址,过滤掉非法MAC地址.当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃. 操作 ...

  6. mysql分库分表配置命令_mysql分库分表中间件Heisenberg

    "trans_shard"> "trans_online, trans_content, trans_tb "dataNode="transDN ...

  7. 计算机策略中封运行程序,使用组策略封禁IP地址的方法

    在Windows服务器或电脑受到某个IP大量发包攻击时,系统会变得很慢.上网慢,引发一系列的问题,当查到攻击来源IP后,可以通过组策略直接封禁IP.本文以当前Windows系统受到了来自 10.89. ...

  8. 华为交换机MAC地址表以及命令配置

    MAC地址表:记录了交换机学习到的其他设备的MAC地址与接口的对应关系,以及接口所属VLAN等信息 mac地址表的组成 一.三类mac地址表 静态表项:由用户手工配置,并下发到各接口板,表项不可老化, ...

  9. MAC地址表配置与绑定

    MAC地址表分类 ---静态MAC地址表项由用户手工配置,表项不老化: ---黑洞MAC地址表项包括源黑洞MAC地址表项和目的黑洞MAC地址表项,用于丢弃含有特定源MAC地址或目的MAC地址的报文(例 ...

最新文章

  1. TensorRT重磅更新!10亿参数大模型实时运行,GPT推理加速21倍
  2. 练习: C#---函数(篮球弹起高度、等腰三角形)
  3. 程序员在囧途之我是一头牛
  4. kubeadm 部署全过程问题解决记录
  5. 第12秒做视频封面:阿里云视频截帧功能
  6. 【树莓派学习笔记】四、OpenCV的安装与卸载
  7. 星巴克人造肉产品来了,植物牛肉餐品真香?
  8. 使用Python+turtle绘制动画重现龟兔赛跑现场
  9. 大热的麦克风阵列语音识别系统的设计和轻松实现,提供软硬件解决方案
  10. wgan 不理解 损失函数_GAN:「太难的部分我就不生成了,在下告退」
  11. 了解Minimax算法
  12. 2.IDEA修改主题
  13. 46-动态编程语言(python)大作业-记忆翻牌游戏
  14. linux系统1060的显卡驱动打不上,ubuntu14.04+GTX1060 重新安装显卡驱动
  15. 国家信息安全水平考试NISP考试经验分享
  16. java 实现office转换pdf
  17. Java中hasNext()的作用
  18. 西门子采用三井化学的UNISTOLE™作为3D打印医用级面罩的涂层剂
  19. 《创业时代》开播,黄轩杨颖还原热血创业
  20. python安装第三方库方法_Python安装第三方库的4种方法

热门文章

  1. android 气球提示控件,控件Balloons(气球状提示)设计原则
  2. 【python】(1)pyqt、qt-designer、uic、rcc安装
  3. python 正则 re.match_python正则表达式re.match()匹配多个字符方法的实现
  4. 【冰爪编程】LintCode 解码大全 —— 872 终止进程
  5. Word如何实现一级标题汉字,二级标题数字
  6. c语言雷霆战机小游戏
  7. window 11 中 ping不通局域网(设置服务端ip)
  8. C++ 格式化字符串方式总结
  9. 今年软著改革后,软件著作权登记申请中的鉴别材料包括:源程序和文档,源程序就是源代码,文档即说明手册也叫说明书,说明手册不要套模板,一定根据最新的要求来,不要再找以前的老模板了,审核的人一看就看出来了。
  10. XJOI 1145 选班长