以太网安全_第九章

目录

​​前言​​

​​mac表项​​

​​接口安全​​

​​dhcp 安全​​

​mac地址漂移​

​​四种方法概述​​

​​基于vlan的mac地址漂移​​

​​基于全局的mac地址漂移​​

前言

按理说在准备ie的考试，应该看ie相关的书籍，但目前市面上ie好的书籍都是全英文的，中文当中关于ie的书箱真的少之又少，翻译的那种句子都不通顺，真的是看不下去，华为官方也没有出版，华为官方参与出版的、写的比较好的也只有《hcnp路由交换学习指南》，这本书写的非常的诚恳平实，有一种厚重的感觉。中文里面确实有一本泰克教育培训机构出版的《hcie路由交换指南》，但里面的内容像是没有灵魂一般，全都是知识点的罗列，而且很多东西也没有展开来说，看上来就像是老师上课时的教案或是学生的流水账笔记那般，枯燥又无聊。

那怎么不看ie的视频学习呢？视频其实也会看的，但是看视频并不是为了学习什么新的知识，仅仅是为了印证自己在书中学到的东西，这个时代，想学什么就学什么，我认为老师已经不再是知识的传播者，老师对于我的作用，不再是传递知识，而是我想听听老师对某个知识点有什么怎么样的理解，这样的见解，我想对于一个终身学习者是相当重要的，并不是老师讲什么我学什么，而是当我对某件事物有了一定的了解之后，告诉老师：我想听听您的看法！”，这是对老师的尊重，也是对自己的尊重。

工作两年了，从事也是网络相关、linux运维相关的工作，也渐渐发现了一些问题，比如我在工作当中经常使用的、非常好用的技能点，很多书里面竟然没有讲解，比如帮助客户排除网络故障的时候，面对一个不熟悉的网络环境，首先一点肯定是把客户的网络环境搞清楚，像是查看邻居这样的命令非常常用，但是书中要么是没有对这种命令的讲解，要么就是一句话带过。

当你踏踏实实的学习时，在遇到疑问的时候去请教老师或同学，有时候会惊讶的发现，有些老师和同学根本也不会，有的干脆是胡说八道，这其实不是什么怪事，谁能全知全能呢？但怪就怪在，在我看来，我的这种疑问是任何一个学习某个知识点的人都会遇到的，为什么他们没有遇到过呢？为什么不考虑这件事呢？真正可怕的不是自己不知道，而不是不知道自己不知道！

mac表项

这里面主要有两个重要的知识点，就是为什么要绑定静态mac和为什么要限制mac地址学习的数量。

mac地址表老化时间是多少？

300s

mac地址表为什么要老化呢？

动态mac地址表是存储在内存当中的，内存是易失性存储，空间都是有限的，而且交换机的寻址能力也是有限的。

为什么要配置静态表项呢？

一台两层交换机，终端可以插入到任何一个接口上，这本来没什么问题，但是如何有人发起arp欺骗呢，比如a通过mac伪装成b，那这样去往b的流量都会跑到a上，有什么办法可以规避吗？这时候就可以通过在b所接入的接口上绑定b的mac地址 ，这样的话，就相当于告诉交换机，此mac地址只能从该接口当中进来，从别的接口进来就丢弃，这就是mac地址静态绑定的意义。

为什么绑定静态mac地址可以永久保存？

是因为静态mac地址是会写入到硬盘当中的

为什么限制mac地址学习的数量呢？（说出两个原因）

这主要是用来防止有人私接交换机的，假如说对一个接口只限制它学习一个mac地址 ，那么在这个mac地址没有老化之前，源mac与此mac地址不匹配的报文就会被丢弃。

另外还有一点原因，那如果有人发起mac地址泛洪攻击，交换机内存会被打满，会导致因为无法学习mac地址导致交换机无法正常工作。

当违反了数量限制之后，会采取哪两种动作？默认是哪一种？

默认会被丢弃，此外还有一种动作是转发，那这里面的转发和正常的转发有什么不同呢？此处的转发是不学习mac地址的。

接口安全

基本的端口安全功能与限制mac地址数量有什么区别？两点

看着接口安全有点奇怪，接口安全本身具有限制mac地址学习数量的作用，如果超出限制可以规定动作对其进行惩罚，咦！这不就和上一章的限制mac地址学习数量一模一样嘛？有什么区别嘛？区别就是通过mac地址表项做的限制mac地址数量当中学习到的mac地址300秒之后是会老化的，而通过端口安全学到的mac是不会轻易老化的，会一直保持到设备重启的时候。

静态表项只有两个处理动作：丢弃和转发，而端口安全对有三个处理动作：

shutdown，关闭接口并告警

protect：丢弃不报警

restrict：丢弃并报警（默认）

设备重启之后，如果还想让安全的mac继续存在呢？除了开启安全端口之后，还要加上sticky功能就可以了。

dhcp 安全

说一下dhcp的四个交互报文？哪些是广播，哪些是单播？

discover、offer、request、ack，其中discover和request是广播，其它都是单播；

dhcp会不会分配地址会不冲突？

不会，因为在分配之前会地地址冲突检测的。

dhcp server从什么时候就已经准备好分配的ip地址了？

其实就是office当中就已经准备好地址了。

描述一个dhcp的完整的交互过程

pc通过广播发送discover包，dhcp从地址池当中选取没人使用的ip放在offer报文里面，pc会选取是先达到它的offer报文使用，pc通过request广播通告所有的dhcp server自己的选择，dhcp server会通过ack报文告知pc可以使用此地址 ，至此，这个地址才会正式生效。

dhcp snoping的原理

此功能会将接口分为两种类型，信任接口和非信任接口，信任接口连接dhcp server允许dhcp的任意报文通过，而非信任接口不允许dhcp offer报文通过。

mac地址漂移

什么情况会被判定为mac地址漂移？

少数几次的漂移不能完全判定是mac地址漂移，比如运行了vrrp，只有在短时间内发生了大量地址漂移的现象才能被判定是mac地址漂移。

哪些情况会引起mac地址漂移？

环路或攻击行为

3 .mac地址漂移会造成什么影响？

假如交换成环之后，mac地址不断漂移很有可能会造成广播风暴。

5 . 描述一下mac地址优先级是如何防止环路的？

三个招数：

一个是通过将某个接口的优先级调高，低的不允许覆盖高的；

优先级就是通过将一个接口的mac地址学习优先级变高，这个接口以后比如学习了一个mac地址aa，那后续如果别的接口也学到这个mac地址，就不记录，也不会生效，无法覆盖之前学习到的

另一个招数是不允许相同等级的接口mac地址相互覆盖。

默认的接口mac地址 学习优先级是多少？0

那问题来了，不允许别的接口低优先级覆盖高优先级的，那这个生效范围是vlan？整个交换机？整个交换机，全局配置

最后一个基于vlan的mac地址漂移检测+动作（默认仅报警、阻塞mac、阻塞接口）

配置全局mac地址漂移检测

#################################################################

基于vlan的mac地址漂移功能默认有没有开启？

没有

解释以下这条命令是什么意思？

意思就是如果在vlan10当中发现mac地址漂移，会将接口 阻塞10s，10s之后放开，放开之后的20s内如果没有继续发现mac地址漂移那就不管此接口了，如果20s之内又发现了此接口的漂移现象，那就再阻塞10s，10s之后放开，放开之后的20s内如果没有继续发现mac地址漂移那就不管此接口了，如果20s之内又发现了此接口的漂移现象，就彻底的down掉，之后之能手动up起来。

直接阻塞接口是否妥当？有没有更好的办法？

直接阻塞接口影响范围太大，我们可以设置仅阻塞漂移的mac地址，不阻塞接口。

仅阻塞漂移的mac地址有什么弊端？

所有使用此mac地址的设备无论是好的还是坏的，都无法使用了。

基于全局的mac地址漂移，默认有没有开启？

开启了

基于全局的mac地址漂移与基于vlan的mac地址漂移检测能同时配置吗？并说明为什么？

可以同时配置，但建议只配置一种，全局在一定程序上包括了基于vlan的，同时配置比较浪费资源。

mac地址漂移检查的vlan白名单是干什么的？

比如说一个服务器两个网卡做了负载分担，用同一个虚拟ip和虚拟mac，这样的话，交换机的两个接口会发生mac地址漂移，但这种情况是正常的，我们可以把这个mac地址通过白名单排除在外。

其实没必要这么麻烦，我们也在交接机上进行聚合就好了。

基于全局的mac地址漂移触发器和处理动作是什么？

默认是middle（中等10次以上认为漂移），low是50次，high是3次。

默认的动作就是报警，然后啥也不干，触发动作可以设置为error-down，还可以将后发生漂移的端口移动出vlan。