mac地址理論知識

　　1、基礎(chǔ)知識

　　如今的網(wǎng)絡(luò)是分層來實現(xiàn)的，就像是搭積木一樣，先設(shè)計某個特定功能的模塊，然后把模塊拼起來組成整個網(wǎng)絡(luò)。局域網(wǎng)也不例外，一般來說，在組網(wǎng)上我們使用的是IEEE802參考模型，從下至上分為：物理層、媒體接入控制層（MAC），邏輯鏈路控制層（LLC）。

　　標(biāo)識網(wǎng)絡(luò)中的一臺計算機，一般至少有三種方法，最常用的是域名地址、IP地址和MAC地址，分別對應(yīng)應(yīng)用層、網(wǎng)絡(luò)層、物理層。網(wǎng)絡(luò)管理一般就是在網(wǎng)絡(luò)層針對IP地址進行管理，但由于一臺計算機的IP地址可以由用戶自行設(shè)定，管理起來相對困難，MAC地址一般不可更改，所以把IP地址同MAC地址組合到一起管理就成為常見的管理方式。

　　2、什么是MAC地址

　　MAC地址就是在媒體接入層上使用的地址，也叫物理地址、硬件地址或鏈路地址，由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時寫在硬件內(nèi)部。MAC地址與網(wǎng)絡(luò)無關(guān)，也即無論將帶有這個地址的硬件（如網(wǎng)卡、集線器、路由器等）接入到網(wǎng)絡(luò)的何處，都有相同的MAC地址，它由廠商寫在網(wǎng)卡的BIOS里。MAC地址可采用6字節(jié)（48比特）或2字節(jié)（16比特）這兩種中的任意一種。但隨著局域網(wǎng)規(guī)模越來越大，一般都采用6字節(jié)的MAC地址。這個48比特都有其規(guī)定的意義，前24位是由生產(chǎn)網(wǎng)卡的廠商向IEEE申請的廠商地址，目前的價格是1000美元買一個地址塊，后24位由廠商自行分配，這樣的分配使得世界上任意一個擁有48位MAC地址的網(wǎng)卡都有唯一的標(biāo)識。另外，2字節(jié)的MAC地址不用網(wǎng)卡廠商申請。

　　MAC地址通常表示為12個16進制數(shù)，每2個16進制數(shù)之間用冒號隔開，如：

　　08:00:20:0A:8C:6D就是一個MAC地址，其中前6位16進制數(shù)08:00:20代表網(wǎng)絡(luò)硬件制造商的編號，它由IEEE分配，而后3位16進制數(shù)0A:8C:6D代表該制造商所制造的某個網(wǎng)絡(luò)產(chǎn)品（如網(wǎng)卡）的系列號。每個網(wǎng)絡(luò)制造商必須確保它所制造的每個以太網(wǎng)設(shè)備都具有相同的前三字節(jié)以及不同的后三個字節(jié)。這樣就可保證世界上每個以太網(wǎng)設(shè)備都具有唯一的MAC地址。

　　MAC地址表基本功能配置

　　具體配置：

　　1、接口、vlan靜態(tài)綁定MAC地址（添加MAC地址表項）

　　［Huawei］mac-address static 5489-98b9-6b46 GigabitEthernet 0/0/10 vlan 10

　　綁定后如果出現(xiàn)自動學(xué)習(xí)的MAC地址與綁定的沖突則丟棄自動學(xué)習(xí)的；防止一些關(guān)鍵設(shè)備（如服務(wù)器、上行設(shè)備）被非法惡意修改MAC攻擊，因為靜態(tài)MAC地址表項高于動態(tài)MAC地址表項。

　　2、使能黑洞MAC地址

　?。跦uawei］mac-address blackhole 5489-98ee-3943 vlan 10

　　將Mac地址添加到黑洞地址后，收到含有這些地址的報文直接被丟棄

　　3、配置動態(tài)MAC地址老化時間（缺省300S）

　?。跦uawei］mac-address aging-time 200

　　防止Mac地址表爆炸式增長

　　4、禁止MAC地址學(xué)習(xí)

　?。跦uawei-GigabitEthernet0/0/2］mac-address learning disable action ？

　　discard Discard packets #與靜態(tài)MAC地址表匹配則通過，否則丟棄

　　forward Forward packets #不與靜態(tài)MAC地址表匹配，直接按照報文中的目的MAC地址轉(zhuǎn)發(fā)（缺省配置）

　?。跦uawei-vlan100］mac-address learning disable

　　有兩種情況，一是禁止添加MAC地址表項（節(jié)省內(nèi)存、防止攻擊等），二是禁止不匹配MAC的數(shù)據(jù)通過

　　5、限制MAC地址學(xué)習(xí)數(shù)量（接口或vlan配置）

　?。跦uawei-GigabitEthernet0/0/10］mac-limit maximum 2

　　［Huawei-GigabitEthernet0/0/10］mac-limit alarm enable # 使能告警功能（缺省使能）

　　配置后新MAC地址的報文繼續(xù)轉(zhuǎn)發(fā)但MAC地址表項不記錄；防止變換MAC攻擊，節(jié)省內(nèi)存容量

　　端口安全

　　將設(shè)備端口學(xué)習(xí)到的MAC地址變成安全MAC地址（動態(tài)Mac地址和sticky Mac地址）以阻止除安全MAC和靜態(tài)Mac之外（設(shè)置學(xué)習(xí)數(shù)量上限）備通信。

　　端口安全與以下配置沖突需先關(guān)閉以下功能：

　　1、VLAN功能基于端口的Mac學(xué)習(xí)限制功能；

　　2、MAC認證功能；

　　3、02.1X認證功能；

　　4、DHCP spooping的Mac安全功能；

　　5、MUX vlan功能。

　　1、安全動態(tài)MAC

　　security是將接口學(xué)習(xí)到的MAC地址轉(zhuǎn)換為安全動態(tài)的Mac或sticky Mac地址，當(dāng)學(xué)習(xí)到的MAC數(shù)量達到上限后不再學(xué)習(xí)【可在一定程度上提供安全性（因為非信任的MAC地址在學(xué)習(xí)到達上限前也可被學(xué)習(xí)到）】，只允許這些MAC和設(shè)備通信。

　　默認情況下安全動態(tài)MAC地址不會被老化（可配置老化時間）；設(shè)備重啟后安全動態(tài)MAC會丟失，需要重新學(xué)習(xí)。

　　具體配置：

　　1、使能端口安全功能（只有使能后才可配置安全保護動作、安全動態(tài)MAC學(xué)習(xí)數(shù)量等）

　?。跦uawei-GigabitEthernet0/0/10］port-security en

　　2、配置端口安全動態(tài)學(xué)習(xí)MAC地址最大數(shù)量（默認為1）

　?。跦uawei-Ethernet0/0/2］port-security max-mac-num ？

　　INTEGER《1-4096》 Maximum mac address can learn

　　3、配置端口的安全保護動作（默認為restrict）

　　［Huawei-Ethernet0/0/2］port-security protect-action ？

　　protect Discard packets #丟棄

　　restrict Discard packets and warning #丟棄并告警

　　shutdown Shutdown # 關(guān)閉接口，需要手動恢復(fù)

　　4、接口學(xué)習(xí)到的安全動態(tài)MAC老化時間（缺省不老化）

　?。跦uawei-GigabitEthernet0/0/10］port-security aging-time 600 type ？

　　absolute Absolute time（絕對老化時間）

　　inactivity Inactivity time（相對老化時間

　　sticky MAC（粘性MAC）功能

　　與安全動態(tài)MAC地址一樣，將接口學(xué)習(xí)到的MAC地址轉(zhuǎn)換為安全動態(tài)的Mac或sticky Mac地址，當(dāng)學(xué)習(xí)到的MAC數(shù)量達到上限后不再學(xué)習(xí)，只允許這些MAC地址和設(shè)備通信；

　　不同點：

　　一、永遠不會被老化；

　　二、MAC地址表項設(shè)備重啟后不會丟失，無需重新學(xué)習(xí)；

　　三、MAC地址表項既可動態(tài)學(xué)習(xí)獲得，也可手工配置；適合于關(guān)鍵設(shè)備服務(wù)器或上行設(shè)備。

　　具體配置：

　　1、使能端口安全功能

　?。跦uawei-GigabitEthernet0/0/10］port-security en

　　2、使能接口sticky MAC功能（將接口學(xué)習(xí)到的動態(tài)MAC轉(zhuǎn)換為靜態(tài)sticky MAC，相當(dāng)于靜態(tài)MAC）

　　［Huawei-GigabitEthernet0/0/11］port-security mac-address sticky

　　3、手動配置sticky MAC地址表項

　　［Huawei-GigabitEthernet0/0/11］port-security mac-address sticky 5489-982c-1632 vlan 20

　　4、其它參數(shù)與安全動態(tài)MAC配置一樣

　　MAC地址防漂移

　　MAC漂移就是一個接口上學(xué)習(xí)到MAC地址在同一vlan中的另一個接口上也被學(xué)習(xí)到，這樣后面學(xué)習(xí)到的MAC地址表項就會覆蓋原來的表項。原因有這幾個：

　　一是網(wǎng)絡(luò)出現(xiàn)環(huán)網(wǎng)；二是仿冒合法MAC攻擊

　　配置后可以保證一個MAC表項僅在一個正確的接口上學(xué)習(xí)到。有兩種方式實現(xiàn)：

　　一是在接口上配置不同MAC學(xué)習(xí)優(yōu)先級，高優(yōu)先級表項會覆蓋低優(yōu)先級MAC表項；

　　二是配置不允許相同優(yōu)先級（默認相同優(yōu)先級）MAC表項發(fā)生漂移（覆蓋），這樣接口將不再學(xué)習(xí)相同的MAC地址。

　　但這樣有個負面影響，一旦設(shè)備如服務(wù)器關(guān)機后，可能有個如偽造的相同MAC被學(xué)習(xí)到導(dǎo)致設(shè)備無法正常上線。

　　具體配置：

　　1、配置MAC地址學(xué)習(xí)優(yōu)先級（數(shù)值越大優(yōu)先級越高，默認為0）

　?。跦uawei-GigabitEthernet0/0/15］mac-learning priority 3

　　2、配置MAC防漂移檢測（基于全局或vlan）

　　Vlan下配置

　?。跦uawei-vlan10］loop-detect eth-loop ？

　　alarm-only Only alarm when the loop occurs

　　block-mac Block the mac when the loop occurs

　　block-time Block time

　　全局配置（有些無法模擬）

　?。跦uawei］mac-address flapping detection # 使能漂移檢測功能

　　［Huawei］mac-address flapping detection exclude vlan 10 #排除需要檢測的vlan

　　Huawei］mac-address flapping detection vlan 5 security-level ［ high middle low ］#漂移檢測安全級別

　?。跦uawei］mac-address flapping action ［quit-vlan ;error-down］ #檢測到發(fā)送漂移后的動作

　　MAC-spoofing-defend功能

　　MAC防欺騙保護功能與MAC防漂移一樣，最終目的是在一個接口上學(xué)習(xí)的MAC地址不允許在其他接口上學(xué)習(xí)到，只是所采用的方法不一樣而已。

　　將接口配置為信任接口，以使信任接口學(xué)習(xí)到的MAC在其他接口上不會在學(xué)習(xí)到。必須在全局和接口同時使能。

　　具體配置：

　?。跦uawei］mac-spoofing-defend enable

　?。跦uawei-GigabitEthernet0/0/12］mac-spoofing-defend enable

　　丟棄全零MAC報文功能

　　網(wǎng)絡(luò)中的一些設(shè)備或主機發(fā)送故障時，往往會向交換機發(fā)送源MAC或目的MAC為0的全0報文

　?。跦uawei］drop illegal-mac enable # 缺省為使能

　　［Huawei］drop illegal-mac alarm # 收到全0報文告警，只告警一次

　MAC刷新ARP功能

　　設(shè)備連接接口發(fā)生變化后立即更新ARP表項，無需等待老化（老化時間內(nèi)是錯誤的arp通信），默認為使能；只對動態(tài)arp生效，靜態(tài)arp不生效

　　［Huawei］mac-address update arp

　　配置端口橋功能

　　缺省情況下設(shè)備收到同源同宿報文判斷為非法報文直接丟棄。但有時又確實存在同源通宿的情況：

　　一、設(shè)備下掛有不具備二層轉(zhuǎn)發(fā)能力的設(shè)備（如集線器），這時候需要將報文上送到二層設(shè)備進行轉(zhuǎn)發(fā)

　　二、設(shè)備連接了啟動多個虛擬機的服務(wù)器，如果在服務(wù)器內(nèi)部完成數(shù)據(jù)轉(zhuǎn)發(fā)會影響服務(wù)器性能和數(shù)據(jù)交換機速度，通常也是上送到二層設(shè)備進行交換。

　?。跦uawei-GigabitEthernet0/0/12］port bridge enable