1.MAC的基礎(chǔ)

（1）定義：

MAC（Media Access Control）地址用來定義網(wǎng)絡(luò)設(shè)備的位置。

（2）組成：

MAC地址由48比特長(zhǎng)，12位的16進(jìn)制數(shù)字組成，其中從左到右開始，0到23bit是廠商向IETF等機(jī)構(gòu)申請(qǐng)用來表示廠商的代碼，24到47bit由廠商自行分派，是各個(gè)廠商制造的所有網(wǎng)卡的一個(gè)唯一編號(hào)。

（3）MAC地址分類：

單播（物理）MAC地址：MAC地址的第8bit為0，就是單播的MAC地址，這種類型的MAC地址唯一的標(biāo)識(shí)了以太網(wǎng)上的一個(gè)終端，該地址為全球唯一的硬件地址。

廣播MAC地址：全1的MAC地址（FF-FF-FF-FF-FF-FF），用來表示LAN上的所有終端設(shè)備。

組播MAC地址：除廣播地址外，第8bit為1的MAC地址為組播MAC地址（例如：01-00-00-00-00-00），用來代表LAN上的一組終端。

（4）MAC地址表：

記錄了相連設(shè)備的MAC地址、接口號(hào)以及所屬的VLAN ID之間的對(duì)應(yīng)關(guān)系。在轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)，路由設(shè)備根據(jù)報(bào)文中的目的MAC地址和VLAN ID查詢MAC地址表，快速定位出接口，從而減少?gòu)V播。

MAC地址表的分類：

動(dòng)態(tài)表項(xiàng)：由接口通過接收到報(bào)文中的源MAC地址學(xué)習(xí)獲得，表項(xiàng)有老化時(shí)間。

靜態(tài)表項(xiàng)：由用戶手工配置，并下發(fā)到各接口板，表項(xiàng)不老化。

黑洞表項(xiàng)：用于指示丟棄含有特定源MAC地址或目的MAC地址的數(shù)據(jù)幀，由用戶手工配置，并下發(fā)到各接口板，表項(xiàng)不老化。

（5）MAC地址表項(xiàng)的生成方式：

自動(dòng)生成，手工配置。

02MAC地址漂移

?

2.MAC地址漂移

（1）定義：即設(shè)備上一個(gè)接口學(xué)習(xí)到的MAC地址在同一VLAN中另一個(gè)接口上也學(xué)習(xí)到，后學(xué)習(xí)到的MAC地址表項(xiàng)覆蓋原來的表項(xiàng)。

（2）產(chǎn)生原因：

網(wǎng)絡(luò)中產(chǎn)生環(huán)路：正常情況下，網(wǎng)絡(luò)中不會(huì)在短時(shí)間內(nèi)出現(xiàn)大量MAC地址漂移的情況。出現(xiàn)這種現(xiàn)象一般都是意味著網(wǎng)絡(luò)中出現(xiàn)環(huán)路，形成廣播風(fēng)暴，處于風(fēng)暴影響中的每個(gè)交換機(jī)節(jié)點(diǎn)都有MAC地址漂移的現(xiàn)象。

?

非法用戶進(jìn)行網(wǎng)絡(luò)攻擊：

?

（3）影響：

導(dǎo)致數(shù)據(jù)幀無法正常轉(zhuǎn)發(fā)到目的地，出現(xiàn)大量的丟包；

消耗設(shè)備的性能；

（4）MAC地址漂移檢測(cè)：

• 基于VLAN的MAC地址漂移檢測(cè)：可以檢測(cè)指定VLAN下的所有MAC地址是否發(fā)生漂移。

當(dāng)系統(tǒng)檢測(cè)到VLAN內(nèi)有MAC地址發(fā)生漂移時(shí)，可以進(jìn)行以下處理動(dòng)作：

接口阻斷或MAC地址阻斷。當(dāng)檢測(cè)到MAC地址發(fā)生漂移則執(zhí)行接口阻斷或MAC地址阻斷動(dòng)作。

發(fā)送警告，當(dāng)檢測(cè)到MAC地址發(fā)生漂移時(shí)只給網(wǎng)管發(fā)送告警

?

• 全局MAC地址漂移檢測(cè)：可以檢測(cè)到設(shè)備上所有的MAC地址是否發(fā)生了漂移。（默認(rèn)開啟）

缺省情況下，MAC地址漂移檢測(cè)的安全級(jí)別為middle，即MAC地址發(fā)生10次遷移后，系統(tǒng)認(rèn)為發(fā)生了MAC地址漂移。當(dāng)系統(tǒng)檢測(cè)到是該接口學(xué)習(xí)的MAC發(fā)生漂移，可以配置漂移后處理動(dòng)作為將該接口關(guān)閉或者退出VLAN，默認(rèn)情況可以發(fā)出告警。某些特定場(chǎng)景下，如交換機(jī)連接雙網(wǎng)卡的負(fù)載分擔(dān)服務(wù)器時(shí)，可能會(huì)出現(xiàn)服務(wù)器的MAC地址在兩個(gè)接口上學(xué)習(xí)到，而這種情況不需要作為MAC地址漂移被檢測(cè)出來，可以將服務(wù)器所在的VLAN假如MAC地址漂移檢測(cè)白名單，不對(duì)該VLAN進(jìn)行檢測(cè)。

• MAC地址防漂移：

配置接口MAC地址學(xué)習(xí)優(yōu)先級(jí)：

不同接口學(xué)到相同的MAC地址表項(xiàng)，那么高優(yōu)先級(jí)接口學(xué)到的MAC地址表項(xiàng)可以覆蓋低優(yōu)先級(jí)接口學(xué)到的MAC地址表項(xiàng)。

配置不允許相同優(yōu)先級(jí)接口MAC地址覆蓋

配置MAC-spoofing-defend功能：

將網(wǎng)絡(luò)側(cè)接口配置為信任接口，該接口學(xué)習(xí)到的MAC地址在其他接口將不會(huì)再學(xué)習(xí)到，可以防止用戶側(cè)仿冒網(wǎng)絡(luò)側(cè)服務(wù)器MAC地址發(fā)送報(bào)文。

配置STP、smart-link等二層破壞協(xié)議。

配置IPSG功能

基于綁定表（DHCP動(dòng)態(tài)和靜態(tài)綁定表）對(duì)IP報(bào)文和源MAC地址進(jìn)行匹配檢查。當(dāng)設(shè)備在轉(zhuǎn)發(fā)IP報(bào)文時(shí)，將此IP報(bào)文中的源ip、源MAC、接口、VLAN信息和綁定表的信息進(jìn)行比較，如果信息匹配，表明是合法用戶，則允許報(bào)文正常轉(zhuǎn)發(fā)，否則認(rèn)為是攻擊報(bào)文，并丟棄該IP報(bào)文。

以上就是今日的分享，小老虎并在今天給大家推出“網(wǎng)工啟航計(jì)劃”，并且為大家備齊了網(wǎng)工必備的所有材料包哦