Mac(Media Access Control,媒体访问控制)地址表记录了 MAC 地址与接口的对应关系,以及接口所属的 VLAN 等信息。设备在转发报文时,根据报文的目的 MAC 地址查询 MAC 地址表,如果MAC地址表中包含与报文目
Mac(Media Access Control,媒体访问控制)地址表记录了 MAC 地址与接口的对应关系,以及接口所属的 VLAN 等信息。设备在转发报文时,根据报文的目的 MAC 地址查询 MAC 地址表,如果MAC地址表中包含与报文目的MAC地址对应的表项,则直接通过该表项中的出接口转发该报文;如果 MAC 地址表中没有包含报文目的 MAC 地址对应的表项时,设备将采取广播方式通过对应VLAN 内除接收接口外的所有接口转发该报文。
MAC地址表记录了目的MAC地址、MAC地址对应的出接口以及所属的VLAN ID。在转发数据时,设备根据报文中的目的MAC地址查询MAC地址表,快速定位出接口,从而减少广播。
MAC 地址表项的分类
一、示例:静态MAC地址表项及MAC黑洞
# 增加一个静态 MAC 地址表项,目的地址为 000f-e235-dc71,出接口为 GE1/0/1,且该接口属于 VLAN 2
[H3C] mac-address static 000f-e235-dc71 interface GigabitEthernet 1/0/1 vlan 2
# 增加一个黑洞 MAC 地址表项,地址为 000f-e235-abcd,MAC地址或端口属于 VLAN 10
[H3C] mac-address blackhole 000f-e235-abcd vlan 10
# 配置动态 MAC 地址表项的老化时间为 500 秒
[H3C] mac-address timer aging 500
二、步骤:封禁MAC地址(MAC地址黑洞)
示例1:查找并封禁网络中私接路由器
说明:局域网中发现IP为192.168.1.1的TP-Link设备,此可能存在私接网络设备,通过IP地址查找对应MAC地址,然后在交换机中从上到下逐级查找该MAC所连接的接口。
1. 在PC的cmd命令行,使用arp -a命令查询IP对应的MAC地址,假设所得MAC为8C-16-45-F1-EB-A6
# 显示(所有)IP到MAC地址的地址转换表;也即在自动缓存中读取IP地址和mac地址的对应表
C:\>arp -a
# 显示指定IP地址192.168.1.1的对应MAC地址
C:\>arp -a 192.168.1.1
注:ARP是地址解析协议,通过IP地址找到设备的MAC地址。
2. 在交换机上逐级查询该MAC地址对应的接口,假设对应接口为接入交换机SW1中的G1/0/10口,VLAN为50
# 显示所有MAC地址信息(状态、接口、VLAN、Aging等)
# 显示某一MAC为8C-16-45-F1-EB-A6的MAC地址信息(状态、接口、VLAN、Aging等)
3. 在对应交换机SW1中,将该MAC加入MAC地址黑洞,从而禁用该MAC地址
# 将8C-16-45-F1-EB-A6(所属vlan为50)加入MAC地址黑洞禁用该MAC
[SW1] mac-address blackhole 8C16-45F1-EBA6 vlan 50
注:通过display mac-address查看该MAC地址状态变化,State由Learned变为Blackhole。
4. 若需要禁用该MAC的对应接口,可直接关闭该接口
# 将交换机SW1接口G1/0/10关闭,禁用该接口
[SW1] interface GigabitEthernet 1/0/10
[SW1] shutdown
示例2:封禁中病毒IP地址对应PC机
说明:安全设备发现网络中感染病毒的PC的IP地址为10.131.102.72,封禁这台IP地址的PC。
1. 通过ping该IP地址测试PC是否在线:
A. 若PC在线,在交换机中通过arp命令显示IP地址对应的MAC地址及交换机接口,根据该IP对应的接口信息逐级查找该IP的接入交换机及其MAC地址,假设MAC地址为8C-16-45-F1-EB-A6
B. 若PC不在线,则无法通过arp命令显示IP地址的MAC地址及交换机接口,此时可以通过查看DHCP服务器为客户端分配的IP地址信息,来获取该IP对应的MAC地址,假设得到的MAC地址为8C-16-45-F1-EB-A6
# 显示DHCP服务器为客户端分配的某一IP地址的信息
2. 在对应接入交换机SW1中,查找该IP对应的MAC和vlan,假设vlan为50,将该MAC加入MAC地址黑洞,从而禁用该MAC地址
[SW1] mac-address blackhole 8C16-45F1-EBA6 vlan 50
3. 在交换机SW1中,查看该MAC地址的状态,Blackhole为封禁状态,Learned为正常学习状态
[SW1] display mac-address 8C16-45F1-EBA6
三、命令格式
3.1 配置MAC地址表
# 全局配置静态/动态MAC地址表项
[H3C] mac-address { dynamic | static } mac-address interface interface-type interface-number vlan vlan-id
# 接口配置静态/动态MAC地址表项
[H3C-GigabitEthernet1/0/1] mac-address { dynamic | static } mac-address vlan vlan-id
# 配置目的黑洞MAC地址表项
[H3C] mac-address blackhole mac-address vlan vlan-id
# 关闭接口的MAC地址学习功能。注,关闭MAC地址学习功能可以有效防止这种攻击:黑客使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽,造成设备无法根据网络的变化更新MAC地址表。
[H3C-GigabitEthernet1/0/1] undo mac-address mac-learning enable
# 配置动态 MAC 地址表项的老化时间,缺省时间为为300秒
[H3C] mac-address timer { aging seconds | no-aging }
3.2 MAC地址表显示和维护
# 查看MAC地址表信息
# 显示MAC地址表动态表项的老化时间
# 显示MAC地址学习功能的使能状态
--结束END--
本文标题: [H3C]配置命令之MAC地址表项应用:封禁MAC地址
本文链接: https://www.lsjlt.com/news/388007.html(转载时请注明来源链接)
有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
下载Word文档到电脑,方便收藏和打印~
2024-01-21
2023-10-28
2023-10-28
2023-10-27
2023-10-27
2023-10-27
2023-10-27
回答
回答
回答
回答
回答
回答
回答
回答
回答
回答
0