MAC地址漂移实验的概述:
MAC地址漂移实验的概述主要围绕网络设备中的MAC地址动态变化及其检测与防护措施。以下是对MAC地址漂移实验的具体介绍:
-
MAC地址漂移的定义:MAC地址漂移是指在同一个VLAN内,一个MAC地址被交换机的两个不同端口学习到,并且后学习到的MAC地址表项覆盖了原先的表项。这种现象通常发生在网络中存在环路或遭受网络攻击时。
-
MAC地址漂移的影响:MAC地址漂移可能导致数据包错误地转发到未经授权的设备上,从而造成信息泄露或拒绝服务攻击。因此,防止和检测MAC地址漂移是维护网络安全的重要措施。
-
MAC地址漂移的检测方法:交换机可以配置基于VLAN的MAC地址漂移检测功能,当检测到MAC地址发生漂移时,可以根据需求配置接口做出的动作,如发送告警、阻断接口或仅阻断MAC地址。此外,还可以配置全局MAC地址漂移检测,该功能可以检测设备上的所有MAC地址是否发生了漂移,并在检测到漂移时上报告警到网管系统。
-
MAC地址漂移的防止措施:如果MAC地址漂移是由环路引起的,可以通过部署防环技术如STP来消除二层环路。如果是由网络攻击等其他原因引起的,则可以使用MAC地址防漂移特性,如提高接口的MAC地址学习优先级,或配置不允许相同优先级接口的MAC地址漂移。
-
MAC地址漂移的实验步骤:实验通常包括配置VLAN信息,启用MAC地址漂移检测功能,并通过PING命令测试网络连接状态,观察交换机的MAC地址表和告警信息。通过这些操作,可以展示MAC地址漂移导致的端口阻塞及恢复过程,以理解网络安全性在防止MAC欺骗和环路问题中的作用。
综上所述,MAC地址漂移实验不仅帮助人们理解MAC地址漂移的现象和影响,还提供了有效的检测和防止手段,以确保网络的稳定性和安全性。对于网络管理员而言,掌握这些知识和技能是维护健康网络环境的关键。
一、网络攻击导致MAC地址漂移实验拓扑:
<Huawei>system-view
[Huawei]undo info-center enable
[Huawei]sysname S1
[S1]interface g0/0/1
[S1-GigabitEthernet0/0/1]mac-learning priority 3 设置LSW1-GigabitEthernet0/0/1上的MAC地址学习优先级为3
Huawei]sysname LSW2
[LSW2]mac-address flapping detection 开启MAC地址漂移检测功能
[LSW2]mac-address flapping aging-time 60 设置MAC地址漂移老化时间为60秒。
[LSW2] interface GigabitEthernet 0/0/1 进入GigabitEthernet 0/0/1接口配置模式。
LSW2-GigabitEthernet0/0/1]mac-address flapping trigger error-down 设置当MAC地址漂移触发时,将接口状态设置为error-down。
[LSW2-GigabitEthernet0/0/1]q
[LSW2]int g0/0/2 进入GigabitEthernet 0/0/2接口配置模式。
[LSW2-GigabitEthernet0/0/2]mac-address flapping trigger error-down 同样设置当MAC地址漂移触发时,将接口状态设置为error-down。
[LSW2]error-down auto-recovery cause mac-address-flapping i
nterval 60 设置自动恢复错误状态的条件为MAC地址漂移,间隔时间为60秒。
[LSW2]display mac-address flapping record 显示MAC地址漂移记录。
S : start time
E : end time
(Q) : quit vlan
(D) : error down
-------------------------------------------------------------------------------
Move-Time VLAN MAC-Address Original-Port Move-Ports MoveNum
-------------------------------------------------------------------------------
S:2024-10-11 11:03:41 1 5489-9868-68b9 GE0/0/1 GE0/0/2 5
E:2024-10-11 11:04:08
-------------------------------------------------------------------------------
Total items on slot 0: 1
1.PC1和PC2的的MAC地址一样,PC2为攻击者。
用pc1和pc2去访问服务器,可以发现MAC地址发生漂移,接口阻塞,攻击者访问服务器的接口关闭,因为原MAC地址优先级为3,不会被攻击者的伪MAC地址覆盖,可以继续访问服务器
可以看出接口已被关闭,但接口阻断有时间限制,过段时间会恢复
二、环路导致的MAC地址漂移的实验拓扑
PC3和PC4的配置
PC3和PC4访问服务器
-
现在因为接口阻塞,环路消失,可以ping通服务器
<Huawei>system-view
[Huawei]undo info-center enable
[Huawei]sysname S1
[S6]interface g0/0/1
[S6-GigabitEthernet0/0/1]mac-learning priority 3
<Huawei>system-view
[Huawei]undo info-center enable
[Huawei]sysname S2
[S7]mac-address flapping detection
[S7]mac-address flapping aging-time 500
[S7]interface g0/0/1
[S7-GigabitEthernet0/0/1]mac-address flapping trigger error-down
[S7-GigabitEthernet0/0/1]interface g0/0/2
[S7-GigabitEthernet0/0/2]mac-address flapping trigger error-down
[S7-GigabitEthernet0/0/2]q
[S7]error-down auto-recovery cause mac-address-flapping interval 500
[S7]undo stp enable
Warning: The global STP state will be changed. Continue? [Y/N]y
[S7] User interface con0 is available
[S7]dis mac-address flapping record
S : start time
E : end time
(Q) : quit vlan
(D) : error down
-------------------------------------------------------------------------------
Move-Time VLAN MAC-Address Original-Port Move-Ports MoveNum
-------------------------------------------------------------------------------
S:2024-10-11 15:00:11 1 5489-98d2-6ca2 GE0/0/1 GE0/0/2 5074
E:2024-10-11 15:00:40
-------------------------------------------------------------------------------
Total items on slot 0: 1
[LSW7]undo stp enable 禁用生成树协议
[LSW8]undo stp enable
[LSW9]undo stp enable
实验总结:通过MAC地址漂移实验,可以深入了解MAC地址漂移的原理及其对网络性能的潜在威胁。实验表明,通过合理配置MAC地址漂移检测功能,可以有效预防和控制MAC地址漂移引发的网络问题,保障网络的稳定性和安全性。此外,实验也强调了网络安全的重要性,指出需要持续关注网络动态,及时更新安全策略和技术以应对不断变化的网络威胁环境
