实验内容有:

  1. 静态MAC地址
  2. 黑洞MAC地址
  3. 安全动态MAC地址
  4. Sticky MAC地址

实验拓扑如下:

拓扑说明:PC1-PC4的IP地址和MAC地址如图,4台终端都属于vlan1;

实验一:静态MAC地址实验

静态MAC地址介绍:

•由用户手工配置,并下发到各接口板,表项不可老化。

•在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。

•接口和MAC地址静态绑定后,其他接口收到源MAC是该MAC地址的报文将会被丢弃。

•一条静态MAC地址表项,只能绑定一个出接口。

•一个接口和MAC地址静态绑定后,不会影响该接口动态MAC地址表项的学习

第一步:新的交换机MAC地址表为空,所以我们需要让交换机学习到终端的MAC地址,用PC1分别取ping其它PC,然后查看交换机的MAC地址表项如下图所示:

  1. 在Type字段我们可以看到MAC的类型是dynamic,也就是动态MAC地址,默认的交换机自己学习到的就是这种类型。
  2. 交换机的Eth0/0/1接口学习到了两个MAC地址,因为该接口下有个Hub,接了两个终端PC1和PC2;

第二步:做静态的MAC地址绑定,这里我们挑选PC3,将PC3的MAC地址绑定在交换机Eth0/0/3口;

在系统视图下执行命令mac-address static mac-address interface-type interface-number vlan vlan-id,添加静态MAC表项。

然后我们重新查看交换机的MAC地址表项:

可以看到Eth0/0/3口的MAC地址类型为static。此时,如果我们把PC3接到交换机的其它接口上,那么PC3将不能与其它设备通信,因为接口和MAC地址静态绑定后,其他接口收到源MAC是该MAC地址的报文将会被丢弃。而如果有新的设备接到了交换机的Eth0/0/3上,则该设备是可以和其它设备进行正常通信的,因为一个接口和MAC地址静态绑定后,不会影响该接口动态MAC地址表项的学习。如果想让其它设备接在

Eth0/0/3口也不能正常通信的话,可以关闭交换机的MAC地址学习功能。命令如下:

进入到接口视图,mac-add learning disable action discard

总结:通过绑定静态MAC地址表项,可以保证合法用户的使用,防止其他用户使用该MAC进行攻击。

实验二:黑洞MAC地址实验

黑洞MAC地址介绍:

•由用户手工配置,并下发到各接口板,表项不可老化。

•在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。

•配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。

黑洞MAC地址的实验比较简单,这里我们把PC4的MAC地址配置为黑洞MAC地址,在系统视图下配置,命令为:

mac-address blackhole mac-address [ vlan vlan-id | vsi vsi-name ],

配置完成后,其它设备都不能和PC4通信。

总结:通过配置黑洞MAC地址表项,可以过滤掉非法用户

实验三:安全动态MAC地址实验

在对接入用户的安全性要求较高的网络中,可以配置端口安全功能及端口安全动态MAC学习的限制数量。此时接口学习到的MAC地址会被转换为安全MAC地址,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,仅允许这些MAC地址和交换机通信。而且接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,无论目的MAC地址是否存在,交换机即认为有非法用户攻击,就会根据配置的动作对接口做保护处理。这样可以阻止其他非信任用户通过本接口和交换机通信,提高交换机与网络的安全性。

这里我们在交换机的Eth0/0/1口下做安全动态MAC地址的实验。

第一步:我们将Eth0/0/1口配置为最大安全动态MAC地址数量为2,则我们在Hub下新增设备将不能和其它的设备通信。配置如下:进入到接口视图

这时我们查看交换机的MAC地址表:

可以看到,此时Eth0/0/1口下的MAC地址为安全MAC地址。

第二步:我们在Hub下新增一台PC,地址为1.1.1.6/24,然后用1.1.1.6去ping PC3(需要将PC3连接至交换机eth0/0/3口,并且不要去ping PC1和PC2,他们三个在同一个Hub下,所以肯定能通信),看是否能够通信。

可以看到是不能够和PC3(1.1.1.3)通信的,并且,交换机上有告警信息:

告诉我们Eth0/0/1口的MAC地址到达限制了,并且端口的动作是restrict;端口安全的保护动作有三个:

动作

说明

restrict

丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。

protect

只丢弃源MAC地址不存在的报文,不上报告警。

Shutdown

接口状态被置为error-down,并上报告警

我们可以在接口下用命令port-security protect-action { protect | restrict | shutdown }来配置端口安全保护动作。缺省情况下,端口安全保护动作为restrict。

实验四:Sticky MAC地址

在接口下执行命令port-security mac-address mac-address vlan vlan-id,可以手工配置安全静态MAC地址表项。如果我们不想用手工配置,并且希望把交换机动态学习到的安全MAC地址进行绑定并不会老化,我们就可以配置Sticky MAC地址。命令为: port-security mac-address sticky。这里实验我就不再做了,你们可以自己敲下这个命令。