通过此文档,你可以了解什么是静态/动态MAC,如何解决2层MAC 地址欺骗攻击,以及如何解决单播泛洪。
通常,交换机会自动学习 MAC 地址,并记录其从哪里学习到的,如果不知道其目的地将泛洪出去。
此过程容易受到第 2 层 MAC 地址欺骗攻击,攻击者通过欺骗某个 MAC 地址来更改 MAC 地址表中的条目,处理这个问题的一个非常简单的方法是手动配置 MAC 地址表中的条目,静态条目将始终覆盖动态条目,可以指定 MAC 地址所在的接口或告诉交换机丢弃其流量。
看如下案例
为了证明这一点,我们只需要两个设备,生成一些流量的路由器和查看(和配置)MAC 地址表的交换机。配置如下:
R1(config)#interface fastEthernet 0/0
R1(config-if)#no shutdown
R1(config-if)#ip address 192.168.12.1 255.255.255.0
SW1(config)#interface vlan 1
SW1(config-if)#no shutdown
SW1(config-if)#ip address 192.168.12.2 255.255.255.0
我们将执行快速 ping 以生成一些流量,以便 SW1 可以了解 R1 的 FastEthernet 0/0 接口的 mac 地址:
R1#ping 192.168.12.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
我们来看看MAC地址表:
SW1#show mac address-table dynamic vlan 1
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 001d.a18b.36d0 DYNAMIC Fa0/1
Total Mac Addresses for this criterion: 1
这是 R1 的 MAC 地址,动态学习。让我们把它变成一个静态条目:
SW1(config)#mac address-table static 001d.a18b.36d0 vlan 1 interface fastEthernet 0/1
使用 mac address-table static 命令创建静态条目后,下面是 MAC 地址表现在的样子:
SW1#show mac address-table static include Fa0/1
1 001d.a18b.36d0 STATIC Fa0/1
它是一个静态条目,这会阻止我们将 R1 移动到 SW1 上的另一个接口,除非我们更改静态条目,就像之前提到的,我们也可以更改静态条目让它丢弃所有流量。这是如何做到的:
SW1(config)#mac address-table static 001d.a18b.36d0 vlan 1 drop
所有发往 R1 的 MAC 地址的帧将被丢弃:
R1#ping 192.168.12.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
由于我们的静态丢弃条目,我们的 ping 失败。
文章最后列出两台设备的配置:
hostname R1
!
ip cef
!
interface FastEthernet0/0
ip address 192.168.12.1 255.255.255.0
!
End
hostname SW1
!
interface Vlan1
ip address 192.168.12.2 255.255.255.0
!
mac address-table static 001d.a18b.36d0 vlan 1 drop
end
……