mac地址***主要有两种,泛洪和欺骗。mac地址泛洪会让交换机mac地址表爆表,老的地址表会被新的替代,因为交换机学到的mac地址是有限的。欺骗是伪造mac。
mac地址表分类
类型 | 备注 |
动态表项 |
通过对帧内的mac地址学习而来,有老化时间 |
静态表项 | 管理员手工配置,不会老化 |
黑洞表项 | 丢弃特定源mac目的mac,不会老化 |
静态和黑洞不会被动态覆盖,动态会被静态和黑洞覆盖。
mac地址表安全功能
功能 |
备注 |
禁止mac地址学习功能 | 限制非信任用户接入 |
限制mac地址学习数量 | 防止变化mac地址*** |
端口安全 | 阻止其他非信任的主机通过本端口与设备通信 |
mac-spoofing-defend | 一个端口学习到的mac地址不会被其他端口学习 |
mac地址防漂移 | 对于固定的上行设备,通过提高端口优先级,可防止伪造mac地址*** |
mac地址漂移检测功能 | 减少网络环路对设备的影响 |
丢弃全0非法mac地址报文 | 主机故障可能产生源mac或目的mac为0的地址 |
mac地址刷新arp功能 | mac地址表项的端口发生变化刷新arp |
配置命令
命令 | 备注 |
mac-address static 5489-983b-55d8 GigabitEthernet 0/0/1 vlan 1 |
添加静态mac地址表项 |
mac-address blackhole 5489-98df-4804 | 添加黑洞mac地址表项 |
mac-address aging-time 50 | 配置老化时间 |
mac-address learning disable
|
禁止学习mac地址 |
mac-limit maximum 45 | 配置最大学习数量 |
mac-limit alarm enable | 配置告警 |
drop illegal-mac enable | 丢弃全0mac |
drop illegal-mac alarm | 配置告警 |
mac-address update arp | 刷新arp |