MAC地址表项

MAC地址表是交换机进行数据帧转发时所使用的一个非常关键的数据表。

查看MAC地址表

如下图所示的网络拓扑中:


通过命令查看SW1的MAC地址表项信息:

  • 从SW1的MAC地址表可以看出,其GE0/0/1接口连接着一台加入VLAN10的设备,该设备的MAC地址为5489-985b-17af(上图中的PC),
  • SW1的GE0/0/2接口连接着一台加入VLAN20的设备(上图中的Server),该设备MAC地址为5489-987e-10d0。
  • 从上图所示的网络拓扑中,SW1与SW2之间还部署了链路聚合技术(Link Aggregation ),即SW1与SW2之间存在多个互联接口被聚合成一个逻辑接口(Eth-trunk 1)。
  • SW1的Eth-trunkl接口连接着一台加入VLAN200的设备,且该设备的MAC地址为4clf-ccab-ea87,这是SW2的MAC地址。
  • 当这些设备之间需要相互通信时,数据帧在到达SW1后,SW1便可通过查询MAC地址表进行数据帧转发。

动态MAC表项

  • 如上图所示的网络拓扑中,初始时,交换机的MAC地址表是空的(比如SW1),随着网络中的各台设备陆续开始发送数据(一般通过泛洪实现),交换机也在各个接口上学习MAC地址,并持续维护自己的MAC地址表。
  • 当网络稳定后(数据转发不再依靠泛洪,而是通过Mac地址表寻址实现),SW1的MAC地址表中看到PC、Server和SW2的MAC地址,并且这些MAC地址表项都是动态的(类型为dynamic )。

动态MAC表项的老化机制

  • 一个动态的MAC地址表项被加载到交换机的MAC地址表后,其老化计时器也就随即启动,并开始倒计时,当该计时器计数到0时,这个MAC表项将被删除。
  • 在交换机每收到一个数据帧时,MAC地址表中与该数据帧的源MAC地址对应的表项也会被刷新,该表项的老化计时器将被复位并重新开始倒计时。
  • 交换机缺省的动态MAC地址表项老化时间为300s(HW),在系统视图下执行mac-address aging-time命令(HW)可修改动态MAC表项的老化时间。但是在实际的网络中不建议随意修改该老化时间。

动态MAC地址学习数量

问题背景

  • 交换机MAC地址表的容量是有限的,
  • 如果网络中存在MAC地址泛洪攻击时,交换机的MAC地址表可能会瞬间被大量垃圾MAC地址表项填满,在很短的时间内,MAC
    地址表项资源可能就会被耗尽,因此当交换机收到合法的数据帧时,就无法再进行MAC地址学习了,数据帧的转发必将产生问题。

解决方法

  • 可以在交换机特定端口上限制MAC地址学习数量,解决上述问题。
  • 当交换机某个端口MAC地址数量达到所设的上限时,该端口将不再学习MAC地址。(网络发生Mac地址泛洪时,一般指的的某个端口或许某些端口收到大量未知单播、组播或者广播报文,如果在受到Mac地址攻击的端口上配置限制MAC地址学习数量,可以避免该端口无限制的学习Mac地址,减少Mac地址表项资源的浪费,为交换机的其他端口学习合法数据帧的Mac地址表项预留了资源)
  • 在特定接口的配置视图下,执行mac-limit maximum max-num命令(HW),可限制该接口的MAC地址学习数量。
  • 在特定接口的配置视图下,执行mac-limit action { discard | forward}命令(HW),可配置当MAC地址数量达到限制后,交换机对数据帧执行的操作:
    (1)当指定的action为discard时,在MAC地址表项数量达到限制后,若该接口收到的数据帧的源MAC地址为新的MAC地址时,丢弃这些帧。此行为是缺省动作。
    (2)当指定的action为forward时,在MAC地址表项数量达到限制后,若该接口收到的数据帧的源MAC地址为新的MAC地址时,转发这些帧,但是不记录MAC地址表项。
  • 在特定接口的配置视图下,执行mac-limit alarm { disable | enable}命令(HW),可配置当MAC地址数量达到限制后是否进行告警:
    (1)如果指定关键字是enable,则当MAC地址数量达到限制后进行告警,该行为是缺省动作。
    (2)如果指定关键字是disable,则不告警。

静态MAC表项

问题背景——MAC地址漂移

  • 交换机可以动态的学习MAC地址,但是在某种场景下是不可靠的。
  • 在上图所示的网络拓扑中:
    (1)若SW1的GE0/0/3接口连接一台PC,该PC以Server的MAC地址为源进行数据帧伪造,然后持续不断地向交换机发送这些非法的数据帧,
    (2)那么在SW1的MAC地址表中,关于该MAC地址的表项将会不断地在GEO/0/3及GEO/0/2之间来回出现,这种现象被称为“MAC地址漂移”。
    (3)当交换机将这个MAC地址关联到GE0/0/3接口时,所有发往Server的数据帧将无法准确地到达目的地,与Server相关的业务势必会受到影响。

解决方法

  • 通过为SW1配置静态MAC表项可以规避上述问题。

  • SW1的配置如下:[SWl]mac-address staric 5489-987e-10d0 Gigabiet 0/0/2 vlan 20,通过该命令可以配置一条静态Mac地址表项。

  • 配置成功之后,可以通过命令查看Mac地址表项信息:

  • 静态的Mac表项是永远不会被老化的,

  • 并且其优先级比动态表项更高,这意味着当SW1再从GE0/0/3接口收到以Server的MAC地址为源的数据帧时,SW1会将这些数据帧丢弃。因此,通过设置静态MAC表项,可以确保与交换机固定连接的可信任节点的安全通信

动态MAC地址和静态MAC地址相关推荐

  1. linux设置静态ipv6地址,设置静态IPV6地址

    现在联通的家用宽带网络基本上都已经支持 IPV6 了,在光猫下的所有设备都可以获取一个 IPV6 的地址,如果想设置每台设备都有自定义和静态的IPV6地址,需要满足以下条件: 设备连接光猫或者路由器, ...

  2. 苹果电脑Mac如何设置静态IP地址?

    我们在用自己的电脑写项目的时候,有时候会需要修改自己的电脑的Ip,来和自己部署的环境保持一致,这样会更加方便自己研究学习,那么Mac如何修改IP呢? 1.点击Mac左上角的"苹果" ...

  3. 修改ubuntu的IP地址,静态IP地址

    师姐,配置ip地址 当时你给服务器安装系统,然后配置IP地址 sudo ifconfig eth0 172.27.100.110 netmask 255.255.0.0

  4. IP地址分类:静态/动态/公共/私有

    IP地址可以让连接互联网的设备通信.但是IP地址有很多种. IP地址是什么? IP地址代表互联网协议地址.这是一系列用于识别和连接更广泛网络的数字设备.就像邮箱地址一样,它是必要的,这样设备和服务器就 ...

  5. 配置Windows系统的IP地址为静态IP

    一.实现效果 二.实现步骤 2.1.先获取本机自动获取的IP地址 ①同时按下键盘的Windows+R键打开运行窗口 ②在运行窗口中输入[CMD],打开命令行窗口 ③输入查看本机动态IP地址的命令[ip ...

  6. kali Linux隐藏IP教程,Kali Linux 设置动/静态IP地址以及修改DNS

    一. 设置IP地址 动/静态 IP 地址设置路径: vim /etc/network/interfaces 1.1 动态IP 配置文件: # This file describes the netwo ...

  7. 如何设置局域网静态ip地址?

    一.什么是静态ip地址? 静态IP地址即固定IP地址,是长期固定分配给一台计算机使用的IP地址,一般只是作为特殊服务器的电脑才拥有静态IP地址.静态IP地址是手动设置的. 二.设置静态ip地址有什么好 ...

  8. 如何在 Debian11系统上设置静态IP地址 ?

    当我们在安装 Debian Linux 时,在安装过程中它试图从调制解调器(或 DHCP 服务器)获得 DHCP ip 地址(如果可用的话).但是在您的系统上总是建议有一个静态 IP 地址.静态 IP ...

  9. MAC安全(防MAC泛洪攻击)

    一.MAC地址表项分类: 1.1 动态表项:通过对帧内的源MAC进行学习而来,有老化时间 1.2 静态表项:由管理员手工配置,不会老化 1.3 黑洞表项:丢弃特定源MAC或目的MAC,不会老化 静态和 ...

  10. linux配置添加组播mac地址,端口静态添加组播MAC地址如何实现

    端口静态添加组播MAC地址如何实现 组播MAC地址是一类逻辑的MAC地址,该MAC地址代表一个组播组,所有属于该组的成员都接收以该组对应的组播MAC地址为目的地址的'数据帧.下面是YJBYS小编整理的 ...

最新文章

  1. android 布局翻页,安卓APP_ 布局(8) —— 基于 RecyclerView 的 ViewPager2翻页
  2. 《Adobe Illustrator CC经典教程》—第0课0.1节简介
  3. 编译成功但链接失败的原因
  4. 第12章 使用Samba或NFS实现文件共享
  5. javascript 中面向对象实现 如何继承
  6. 唤起那些年你对IDL的记忆(二)
  7. php ext在哪里,PHP Ext API
  8. Action中动态方法的调用 Action中通配符的使用 Result的配置
  9. 工程施工工地进度监控带天气经纬度相机(监理日志不再难写)
  10. HDU 1097 JAVA
  11. android学习笔记-udacity/Sunshine-Version-2出错
  12. 老中医化妆品是品牌吗
  13. 抓不到作弊学生就集体扣分!澳洲国立大学计算机系300多人被降分停课
  14. 数据架构——数据架构
  15. 虚拟机安装 windows xp sp3 原版镜像
  16. IT技术外包公司值得去吗?
  17. Uncaught TypeError: Cannot read property ‘dispatch‘ of undefined
  18. cognos使用流程
  19. python之爬虫神器selenium:猫眼电影榜单并进行数据可视化
  20. K3 WISE 12.3 中间层在虚拟机中注册

热门文章

  1. 一图看懂80年“AI革命”简史
  2. 云上的移动性能测试平台
  3. 【uniapp小程序】uploadFile文件上传
  4. linux下玩三国志游戏,三国志威力无双手游官网版
  5. win2003 R2 SP2 x64 可用密钥
  6. Ubuntu 安装amd 显卡驱动
  7. 服务器打不开网页dns错误是怎么回事,DNS错误原因是什么 如何解决DNS错误【详细介绍】...
  8. IP地址-子网掩码-缺省网关
  9. 2E07-view-lists-Collapsed
  10. ccf 命令行选项 java,DiskPart 命令行选项