MAC地址表安全，如何確保你的網絡環境不受攻擊？

作者：didpius 2023-09-21 23:52:50

數據庫安全

MAC地址表是一個存儲網絡設備中MAC地址（媒體訪問控制地址）與相關設備的映射關系的數據庫。

什么MAC地址表

MAC地址表（Media Access Control Address Table）是一個存儲網絡設備中MAC地址（媒體訪問控制地址）與相關設備的映射關系的數據庫。MAC地址是網絡設備的唯一標識符，用于在局域網中唯一標識每個設備。

MAC地址表的主要作用如下：

MAC地址表記錄了交換機學習到的MAC地址與接口的對應關系，以及接口所屬VLAN等信息。
設備在執行二層交換操作時，根據報文的目的MAC地址查詢MAC地址表，如果MAC地址表中包含與報文目的MAC地址對應的表項，并且收到該報文的接口與對應的表項的接口不相同時，則直接通過該表項中的出接口轉發該報文；如果相同，則丟棄該報文。
如果MAC地址表中沒有包含報文目的MAC地址對應的表項時，設備將采取廣播方式在所屬VLAN內除接收接口外的所有接口轉發該報文。

MAC地址表項類型

(1) 動態MAC地址表項

由接口通過報文中的源MAC地址學習獲得，表項可老化。在系統復位、接口板熱插拔或接口板復位后，動態表項會丟失。

(2) 靜態MAC地址表項

由用戶手工配置并下發到各接口板，表項不老化。在系統復位、接口板熱插拔或接口板復位后，保存的表項不會丟失。接口和MAC地址靜態綁定后，其他接口收到源MAC是該MAC地址的報文將會被丟棄。

(3) 黑洞MAC地址表項

由用戶手工配置，并下發到各接口板，表項不可老化。配置黑洞MAC地址后，源MAC地址或目的MAC地址是該MAC的報文將會被丟棄。

MAC地址表安全功能

MAC地址表項配置

(1) 配置靜態MAC表項

[Huawei] mac-address static mac-address interface-type interface-number vlan vlan-id

指定的VLAN必須已經創建并且已經加入綁定的端口；指定的MAC地址，必須是單播MAC地址，不能是組播和廣播MAC地址。

(2) 配置黑洞MAC表項

[Huawei] mac-address blackhole mac-address [ vlan vlan-id ]

(3) 配置動態MAC表項的老化時間

[Huawei] mac-address aging-time aging-time

禁止MAC地址學習功能

(1) 關閉基于接口的MAC地址學習功能

[Huawei-GigabitEthernet0/0/1] mac-address learning disable [ action { discard | forward } ]

缺省情況下，接口的MAC地址學習功能是使能的：

關閉MAC地址學習功能的缺省動作為forward，即對報文進行轉發。
當配置動作為discard時，會對報文的源MAC地址進行匹配，當接口和MAC地址與MAC地址表項匹配時，則對該報文進行轉發。當接口和MAC地址與MAC地址表項不匹配時，則丟棄該報文。

(2) 關閉基于VLAN的MAC地址學習功能

[Huawei-vlan2] mac-address learning disable

缺省情況下，VLAN的MAC地址學習功能是使能的。當同時配置基于接口和基于VLAN的禁止MAC地址學習功能時，基于VLAN的優先級要高于基于接口的優先級配置。

限制MAC地址學習數量

(1)配置基于接口限制MAC地址學習數

[Huawei-GigabitEthernet0/0/1] mac-limit maximum max-num

缺省情況下，不限制MAC地址學習數。

(2) 配置當MAC地址數達到限制后，對報文應采取的動作

Huawei-GigabitEthernet0/0/1] mac-limit action { discard | forward }

Huawei-GigabitEthernet0/0/1] mac-limit action { discard | forward }

配置當MAC地址數達到限制后是否進行告警

[Huawei-GigabitEthernet0/0/1] mac-limit alarm { disable | enable }

缺省情況下，對超過MAC地址學習數限制的報文進行告警。

(3) 配置基于VLAN限制MAC地址學習數

[Huawei-GigabitEthernet0/0/1] mac-limit alarm { disable | enable }

(4) 缺省情況下，不限制MAC地址學習數

[Huawei-vlan2] mac-limit maximum max-num

缺省情況下，不限制MAC地址學習數。

MAC地址表安全配置舉例

圖片

實驗要求：

網絡拓撲基本配置已完成，用戶網絡1屬于VLAN 10，用戶網絡2屬于VLAN 20。
在Switch3上配置禁止學習來自用戶網絡1的MAC地址。
在Switch3上配置限制用戶網絡2的MAC地址學習數量。

Switch3的配置如下：

配置方式一：在接口視圖下配置

# 在接口GE0/0/1上配置禁止MAC地址學習
[Switch3-GigabitEthernet0/0/1] mac-address learning disable action discard
#在接口GE0/0/2上配置限制MAC地址學習數量，超過閾值策略及告警
[Switch3-GigabitEthernet0/0/2] mac-limit maximum 100 
[Switch3-GigabitEthernet0/0/2] mac-limit alarm enable
[Switch3-GigabitEthernet0/0/2] mac-limit action discard

配置方式二：在VLAN視圖下配置

# 在VLAN 10上配置禁止MAC地址學習
[Switch3-vlan10] mac-address learning disable
#在VLAN 20上配置限制MAC地址學習數量與告警
[Switch3-vlan20] mac-limit maximum 100 alarm enable

配置驗證

執行display mac-limit命令，查看MAC地址學習限制規則是否配置成功。

[Switch3]display mac-limit 
MAC Limit is enabled
Total MAC Limit rule count : 2

PORT                 VLAN/VSI/SI      SLOT  Maximum  Rate(ms)   	Action    	Alarm   
----------------------------------------------------------------------------
GE0/0/2              -              	  -    	100     -        	forward     enable  
-                    20               -    	100     -       forward   	enable

GE0/0/2 ：基于接口的MAC地址學習限制
20: 基于VLAN的MAC地址學習限制

責任編輯：趙寧寧來源：攻城獅成長日記

MAC地址表數據庫網絡攻擊

成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

MAC地址表安全，如何確保你的網絡環境不受攻擊？