以太网安全-----MAC地址漂移

Posted 2021-06-14 大大大S

以太网安全-----MAC地址漂移

• 实验拓扑图
  

• 实验要求
  1、根据图示配置VLAN信息，E0/0/3为Trunk端口，放行所有VLAN。
  2、在S2上配置VLAN10的MAC漂移检测，将产生漂移的MAC地址阻塞，阻塞30秒，允许重复2次。
  3、在S2上配置VLAN111的MAC漂移检测，将产生MAC地址漂移的端口阻塞，阻塞30秒，允许重复2次。
  4、从PC1上分别PING PC2、PC9，查看S1、S2的MAC地址表，截图。
  5、从PC4上ping PC1，查看S1、S2的MAC地址表，查看VLAN10的MAC地址漂移检测详情（display loop-detect eth-loop vlan 10），观察交换机上的告警信息，截图，与操作4的截图对比。
  6、继续不断地从PC1上ping PC4，查看S1、S2的MAC地址表变化，查看VLAN10的MAC地址漂移检测详情（display loop-detect eth-loop vlan 10），观察交换机上的告警信息，截图与操作5对比。
  7、当5489-9826-6b11 被阻塞后，从PC1上ping PC2、PC9，能否ping通？（2no 9yes why？） 从PC9上ping PC2，能否通？（YES）
  8、从PC5上交替PING PC6、PC7，查看S1、S2的MAC地址表，能否PING通？（YES）在这一步多操作几次，直到S1上也出现告警信息为止。
  9、先从PC5上ping PC3（YES），然后从PC6上ping PC7，查看S1、S2 MAC地址表，查看 VLAN111 的MAC地址漂移检测详情（display loop-detect eth-loop vlan 111），观察交换机上的告警信息，截图与操作8作对比。
  10、继续不断地从PC6上ping PC7，查看 S1、S2 的MAC地址表变化，查看VLAN111的MAC地址漂移检测详情（display loop-detect eth-loop vlan 111），观察交换机上的告警信息，截图与操作9对比。
  11、在S2上查看MAC地址漂移检测详情（display loop-detect eth-loop），当VLAN111上的Ethernet0/0/3端口被阻塞后，从PC5上PING PC3，能否ping通？（NO）从PC9上ping PC2，能否ping通？（yes）why？
  12、在S2上查看MAC地址漂移历史记录（display mac-address flapping record）总结以上的操作心得。

• 过程
  1.根据拓扑图信息配置各个接口类型及VLAN，其中E0/0/3为Trunk端口，放行所有VLAN。
  交换机SW1：

<Huawei>system-view 
[Huawei]int e0/0/1
[Huawei-Ethernet0/0/1]port link-type access 
[Huawei-Ethernet0/0/1]port default  vlan 10
[Huawei-Ethernet0/0/1]int e0/0/2
[Huawei-Ethernet0/0/2]port link-type access 
[Huawei-Ethernet0/0/2]port default vlan 111
[Huawei-Ethernet0/0/2]int e0/0/3	
[Huawei-Ethernet0/0/3]port link-type trunk 	
[Huawei-Ethernet0/0/3]port trunk allow-pass vlan all 
[Huawei-Ethernet0/0/3]int e0/0/4
[Huawei-Ethernet0/0/4]port link-type access 
[Huawei-Ethernet0/0/4]port default vlan 111
[Huawei-Ethernet0/0/4]int e0/0/5	
[Huawei-Ethernet0/0/5]port link-type access 	
[Huawei-Ethernet0/0/5]port default vlan 10

交换机SW2：

<Huawei>system-view 
[Huawei]vlan batch 10 111
[Huawei]int e0/0/1	
[Huawei-Ethernet0/0/1]port link-type access 
[Huawei-Ethernet0/0/1]port default vlan 111
[Huawei-Ethernet0/0/1]int e0/0/2
[Huawei-Ethernet0/0/2]port link-type access 
[Huawei-Ethernet0/0/2]port default vlan 10
[Huawei-Ethernet0/0/2]int e0/0/3
[Huawei-Ethernet0/0/3]port link-type trunk 
[Huawei-Ethernet0/0/3]port trunk allow-pass vlan all 
[Huawei-Ethernet0/0/3]int e0/0/4
[Huawei-Ethernet0/0/4]port link-type access 
[Huawei-Ethernet0/0/4]port default vlan 111
[Huawei-Ethernet0/0/4]int e0/0/5	
[Huawei-Ethernet0/0/5]port link-type access 
[Huawei-Ethernet0/0/5]port default vlan 10

2.在S2上配置VLAN10的MAC漂移检测，将产生漂移的MAC地址阻塞，阻塞30秒，允许重复2次。

[Huawei]vlan 10
[Huawei-vlan10]loop-detect eth-loop block-mac block-time 30 retry-times 2

3.在S2上配置VLAN111的MAC漂移检测，将产生MAC地址漂移的端口阻塞，阻塞30秒，允许重复2次。（注意这里是端口阻塞欧~别像我一样配错了做到后面会出问题，搞半天才发现哭唧唧···）

[Huawei]vlan 111
[Huawei-vlan111]loop-detect eth-loop block-time 30 retry-times 2

4.从PC1上分别ping PC2、PC9

查看S1、S2的MAC地址表:


5.从PC4上ping PC1，

查看S1、S2的MAC地址表，查看VLAN10的MAC地址漂移检测详情（display loop-detect eth-loop vlan 10），观察交换机上的告警信息，截图，与操作4的截图对比。


（与操作4对比：MAC地址5489-9826-6b11在SW2的E0/0/3与E0/0/5接口之间发生了迁移）

6.继续不断地从PC1上ping PC4：
命令：ping 192.168.1.4 -t

查看S1、S2的MAC地址表变化，查看VLAN10的MAC地址漂移检测详情（display loop-detect eth-loop vlan 10），观察交换机上的告警信息，截图与操作5对比。

如上图：MAC地址5489-9826-6b11目前处于阻塞状态，阻塞剩余时间还有15s，Leave times表示MAC地址从本次阻塞恢复后，允许再次MAC漂移的次数。阻塞30s之后，SW2会把MAC地址恢复。
如果Leave times为0后，在新一轮检测中依然伪造MAC地址发送数据帧，SW2永久阻塞该MAC地址，

(告警信息)

9.当5489-9826-6b11被阻塞后，从PC1上ping PC2、PC9，能否ping通？（2no 9yes why？）从PC9上 ping PC2，能否通？（yes）

（因为SW2将MAC地址5489-9826-6b11阻塞后，拥有该MAC地址的合法PC以及伪造者PC都无法使用该MAC地址通信，所以该MAC地址不能在SW2上通信，故PC1无法与SW2上的PC2通信）

10.从PC5上交替ping PC6、PC7，查看S1、S2的MAC地址表，能否ping通？（yes）在这一步多操作几次，直到S1上也出现告警信息为止。


(MAC地址5489-98c4-3b77在SW1的E0/0/3与E0/0/2接口之间不断迁移)


（SW1上告警信息）

11.先从PC5上ping PC3（yes），然后从PC6上ping PC7，查看S1、S2 MAC地址表，查看VLAN111的MAC地址漂移检测详情（display loop-detect eth-loop vlan 111），观察交换机上的告警信息，截图与操作8作对比。



(与操作8对比：MAC地址5489-98c4-3b77在SW2的E0/0/1与E0/0/3接口之间发生了迁移，当PC6上ping PC7，也就是当PC6伪造PC7的MAC地址发送数据帧时，因为SW2在VLAN111内开启了MAC地址漂移检测功能，所以会被发现，SW2将该接口阻塞30s，允许再次出现MAC漂移的次数为1，接口无法正常收发数据帧，并弹出如上图告警通知管理员)

12.继续不断地从PC6上ping PC7，查看 S1、S2 的MAC地址表变化，查看VLAN111的MAC地址漂移检测详情（display loop-detect eth-loop vlan 111），观察交换机上的告警信息，截图与操作9对比。




(Leave times为0意味着在接下来60s内若SW2再检测到PC6还在伪造PC7的MAC地址发送数据帧，将会永久阻塞E0/0/1接口)

（永久阻塞E0/0/1接口）

(SW2告警信息)

13.在S2上查看MAC地址漂移检测详情（display loop-detect eth-loop），当VLAN111上的Ethernet0/0/3端口被阻塞后，从PC5上ping PC3，能否ping通？（no）从PC9上PING PC2，能否PING通？（yes）why？


（因为SW2 VLAN111上E0/0/3接口已经被永久阻塞，将会影响SW同在VLAN111上其他合法设备与SW1上设备的通信，故PC5的数据帧无法进入SW2到达PC3完成通信）

（SW2 VLAN111上E0/0/3接口被永久阻塞不影响VLAN10上的设备，故PC9能与PC2实现通信）

14.在S2上查看MAC地址漂移历史记录（display mac-address flapping record）总结以上的操作心得。

完成全部步骤之后，使用命令display mac-address flapping record查看SW2上MAC地址漂移记录，共有两个记录，一是PC7伪造PC6的MAC地址发送数据帧，使得PC6的MAC地址在SW2的E0/0/1与E0/0/3上不断迁移，二是PC4伪造PC1的MAC地址发送数据帧,使得PC1的MAC地址在SW2上的E0/0/3与E0/0/5接口短时间内发生大量的迁移，即漂移。