以太网安全-----MAC地址漂移

Posted 大大大S

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了以太网安全-----MAC地址漂移相关的知识,希望对你有一定的参考价值。

以太网安全-----MAC地址漂移

  • 实验拓扑图
    在这里插入图片描述

  • 实验要求
    1、根据图示配置VLAN信息,E0/0/3为Trunk端口,放行所有VLAN。
    2、在S2上配置VLAN10的MAC漂移检测,将产生漂移的MAC地址阻塞,阻塞30秒,允许重复2次。
    3、在S2上配置VLAN111的MAC漂移检测,将产生MAC地址漂移的端口阻塞,阻塞30秒,允许重复2次。
    4、从PC1上分别PING PC2、PC9,查看S1、S2的MAC地址表,截图。
    5、从PC4上ping PC1,查看S1、S2的MAC地址表,查看VLAN10的MAC地址漂移检测详情(display loop-detect eth-loop vlan 10),观察交换机上的告警信息,截图,与操作4的截图对比。
    6、继续不断地从PC1上ping PC4,查看S1、S2的MAC地址表变化,查看VLAN10的MAC地址漂移检测详情(display loop-detect eth-loop vlan 10),观察交换机上的告警信息,截图与操作5对比。
    7、当5489-9826-6b11 被阻塞后,从PC1上ping PC2、PC9,能否ping通?(2no 9yes why?) 从PC9上ping PC2,能否通?(YES)
    8、从PC5上交替PING PC6、PC7,查看S1、S2的MAC地址表,能否PING通?(YES)在这一步多操作几次,直到S1上也出现告警信息为止。
    9、先从PC5上ping PC3(YES),然后从PC6上ping PC7,查看S1、S2 MAC地址表,查看 VLAN111 的MAC地址漂移检测详情(display loop-detect eth-loop vlan 111),观察交换机上的告警信息,截图与操作8作对比。
    10、继续不断地从PC6上ping PC7,查看 S1、S2 的MAC地址表变化,查看VLAN111的MAC地址漂移检测详情(display loop-detect eth-loop vlan 111),观察交换机上的告警信息,截图与操作9对比。
    11、在S2上查看MAC地址漂移检测详情(display loop-detect eth-loop),当VLAN111上的Ethernet0/0/3端口被阻塞后,从PC5上PING PC3,能否ping通?(NO)从PC9上ping PC2,能否ping通?(yes)why?
    12、在S2上查看MAC地址漂移历史记录(display mac-address flapping record)总结以上的操作心得。

  • 过程
    1.根据拓扑图信息配置各个接口类型及VLAN,其中E0/0/3为Trunk端口,放行所有VLAN。
    交换机SW1:

<Huawei>system-view 
[Huawei]int e0/0/1
[Huawei-Ethernet0/0/1]port link-type access 
[Huawei-Ethernet0/0/1]port default  vlan 10
[Huawei-Ethernet0/0/1]int e0/0/2
[Huawei-Ethernet0/0/2]port link-type access 
[Huawei-Ethernet0/0/2]port default vlan 111
[Huawei-Ethernet0/0/2]int e0/0/3	
[Huawei-Ethernet0/0/3]port link-type trunk 	
[Huawei-Ethernet0/0/3]port trunk allow-pass vlan all 
[Huawei-Ethernet0/0/3]int e0/0/4
[Huawei-Ethernet0/0/4]port link-type access 
[Huawei-Ethernet0/0/4]port default vlan 111
[Huawei-Ethernet0/0/4]int e0/0/5	
[Huawei-Ethernet0/0/5]port link-type access 	
[Huawei-Ethernet0/0/5]port default vlan 10

交换机SW2:

<Huawei>system-view 
[Huawei]vlan batch 10 111
[Huawei]int e0/0/1	
[Huawei-Ethernet0/0/1]port link-type access 
[Huawei-Ethernet0/0/1]port default vlan 111
[Huawei-Ethernet0/0/1]int e0/0/2
[Huawei-Ethernet0/0/2]port link-type access 
[Huawei-Ethernet0/0/2]port default vlan 10
[Huawei-Ethernet0/0/2]int e0/0/3
[Huawei-Ethernet0/0/3]port link-type trunk 
[Huawei-Ethernet0/0/3]port trunk allow-pass vlan all 
[Huawei-Ethernet0/0/3]int e0/0/4
[Huawei-Ethernet0/0/4]port link-type access 
[Huawei-Ethernet0/0/4]port default vlan 111
[Huawei-Ethernet0/0/4]int e0/0/5	
[Huawei-Ethernet0/0/5]port link-type access 
[Huawei-Ethernet0/0/5]port default vlan 10

2.在S2上配置VLAN10的MAC漂移检测,将产生漂移的MAC地址阻塞,阻塞30秒,允许重复2次。

[Huawei]vlan 10
[Huawei-vlan10]loop-detect eth-loop block-mac block-time 30 retry-times 2

3.在S2上配置VLAN111的MAC漂移检测,将产生MAC地址漂移的端口阻塞,阻塞30秒,允许重复2次。(注意这里是端口阻塞欧~别像我一样配错了做到后面会出问题,搞半天才发现哭唧唧···)

[Huawei]vlan 111
[Huawei-vlan111]loop-detect eth-loop block-time 30 retry-times 2

4.从PC1上分别ping PC2、PC9
在这里插入图片描述
查看S1、S2的MAC地址表:
在这里插入图片描述
在这里插入图片描述
5.从PC4上ping PC1,
在这里插入图片描述
查看S1、S2的MAC地址表,查看VLAN10的MAC地址漂移检测详情(display loop-detect eth-loop vlan 10),观察交换机上的告警信息,截图,与操作4的截图对比。
在这里插入图片描述
在这里插入图片描述
(与操作4对比:MAC地址5489-9826-6b11在SW2的E0/0/3与E0/0/5接口之间发生了迁移)

6.继续不断地从PC1上ping PC4:
命令:ping 192.168.1.4 -t
在这里插入图片描述
查看S1、S2的MAC地址表变化,查看VLAN10的MAC地址漂移检测详情(display loop-detect eth-loop vlan 10),观察交换机上的告警信息,截图与操作5对比。
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
如上图:MAC地址5489-9826-6b11目前处于阻塞状态,阻塞剩余时间还有15s,Leave times表示MAC地址从本次阻塞恢复后,允许再次MAC漂移的次数。阻塞30s之后,SW2会把MAC地址恢复。
如果Leave times为0后,在新一轮检测中依然伪造MAC地址发送数据帧,SW2永久阻塞该MAC地址,

在这里插入图片描述
(告警信息)

9.当5489-9826-6b11被阻塞后,从PC1上ping PC2、PC9,能否ping通?(2no 9yes why?)从PC9上 ping PC2,能否通?(yes)
在这里插入图片描述
(因为SW2将MAC地址5489-9826-6b11阻塞后,拥有该MAC地址的合法PC以及伪造者PC都无法使用该MAC地址通信,所以该MAC地址不能在SW2上通信,故PC1无法与SW2上的PC2通信)

在这里插入图片描述
10.从PC5上交替ping PC6、PC7,查看S1、S2的MAC地址表,能否ping通?(yes)在这一步多操作几次,直到S1上也出现告警信息为止。
在这里插入图片描述
在这里插入图片描述
(MAC地址5489-98c4-3b77在SW1的E0/0/3与E0/0/2接口之间不断迁移)
在这里插入图片描述
在这里插入图片描述
(SW1上告警信息)

11.先从PC5上ping PC3(yes),然后从PC6上ping PC7,查看S1、S2 MAC地址表,查看VLAN111的MAC地址漂移检测详情(display loop-detect eth-loop vlan 111),观察交换机上的告警信息,截图与操作8作对比。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
(与操作8对比:MAC地址5489-98c4-3b77在SW2的E0/0/1与E0/0/3接口之间发生了迁移,当PC6上ping PC7,也就是当PC6伪造PC7的MAC地址发送数据帧时,因为SW2在VLAN111内开启了MAC地址漂移检测功能,所以会被发现,SW2将该接口阻塞30s,允许再次出现MAC漂移的次数为1,接口无法正常收发数据帧,并弹出如上图告警通知管理员)

12.继续不断地从PC6上ping PC7,查看 S1、S2 的MAC地址表变化,查看VLAN111的MAC地址漂移检测详情(display loop-detect eth-loop vlan 111),观察交换机上的告警信息,截图与操作9对比。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
(Leave times为0意味着在接下来60s内若SW2再检测到PC6还在伪造PC7的MAC地址发送数据帧,将会永久阻塞E0/0/1接口)

在这里插入图片描述
(永久阻塞E0/0/1接口)

在这里插入图片描述
(SW2告警信息)

13.在S2上查看MAC地址漂移检测详情(display loop-detect eth-loop),当VLAN111上的Ethernet0/0/3端口被阻塞后,从PC5上ping PC3,能否ping通?(no)从PC9上PING PC2,能否PING通?(yes)why?
在这里插入图片描述
在这里插入图片描述
因为SW2 VLAN111上E0/0/3接口已经被永久阻塞,将会影响SW同在VLAN111上其他合法设备与SW1上设备的通信,故PC5的数据帧无法进入SW2到达PC3完成通信)

在这里插入图片描述
SW2 VLAN111上E0/0/3接口被永久阻塞不影响VLAN10上的设备,故PC9能与PC2实现通信)

14.在S2上查看MAC地址漂移历史记录(display mac-address flapping record)总结以上的操作心得。
在这里插入图片描述
完成全部步骤之后,使用命令display mac-address flapping record查看SW2上MAC地址漂移记录,共有两个记录,一是PC7伪造PC6的MAC地址发送数据帧,使得PC6的MAC地址在SW2的E0/0/1与E0/0/3上不断迁移,二是PC4伪造PC1的MAC地址发送数据帧,使得PC1的MAC地址在SW2上的E0/0/3与E0/0/5接口短时间内发生大量的迁移,即漂移。

以上是关于以太网安全-----MAC地址漂移的主要内容,如果未能解决你的问题,请参考以下文章

MAC地址表

MAC地址表

数据中心交换机配置教程 | 汇总

HCIE Datacom考试-MAC 地址基础及漂移技术汇总

MAC地址防漂移配置

MAC地址防漂移配置