设置静态mac地址命令(静态绑定mac地址的命令是什么)
通过这个文档,你可以知道什么是静态/动态MAC,如何解决二层MAC地址欺骗攻击,如何解决单播泛洪。
通常,交换机会自动获取MAC地址,并记录它是从哪里获取的。如果它不知道自己的目的地,它就会泛滥成灾。
该过程容易受到第2层MAC地址欺骗攻击。攻击者通过假冒某个MAC地址来更改MAC地址表中的条目。处理这个问题的一个非常简单的方法是手动配置MAC地址表中的条目。静态条目总是会覆盖动态条目,您可以指定MAC地址所在的接口,或者告诉交换机丢弃其流量。
看看下面的例子
为了证明这一点,我们只需要两台设备,一台生成一些流量的路由器和一台查看(并配置)MAC地址表的交换机。配置如下:
R1(配置)#接口fastEthernet 0/0
R1(配置-if)#无关机
R1(配置-if)#ip地址192.168.12.1 255.255.255.0
SW1(配置)#接口vlan 1
SW1(配置-if)#无关机
SW1(配置if)#ip地址192.168.12.2 255.255.255.0
我们将执行快速ping命令来产生一些流量,这样SW1就可以知道R1 FastEthernet 0/0接口的mac地址:
R1 #平192.168.12.2
键入转义序列以中止。
向192.168.12.2发送5,100字节的ICMP回应,超时为2秒:
。!!!!
成功率为80%(4/5),往返最小/平均/最大= 1/2/4毫秒
让我们来看看MAC地址表:
SW1 #显示mac地址表动态vlan 1
Mac地址表
-
Vlan Mac地址类型端口
- - - -
1 001d.a18b.36d0动态Fa0/1
符合此标准的Mac地址总数:1
这是R1动态学习的MAC地址。让我们把它变成一个静态条目:
SW1(配置)#mac地址表static 001d.a18b.36d0 vlan 1接口fastEthernet 0/1
使用mac address-table static命令创建静态条目后,mac地址如下所示:
SW1 #显示mac地址-静态表|包含Fa0/1
1 001d.a18b.36d0静态Fa0/1
这是一个静态条目,除非我们更改静态条目,否则它会阻止我们将R1移动到SW1上的另一个接口。如前所述,我们还可以更改静态条目,使其丢弃所有流量。这是如何做到的:
SW1(配置)#mac地址表静态001d.a18b.36d0 vlan 1丢弃
发往R1 MAC地址的所有帧都将被丢弃:
R1 #平192.168.12.2
键入转义序列以中止。
向192.168.12.2发送5,100字节的ICMP回应,超时为2秒:
.....
成功率是百分之0(0/5)
由于静态丢弃条目,我们的ping失败。
最后,列出了两个设备的配置:
主机名R1
!
ip cef
!
接口FastEthernet0/0
ip地址192.168.12.1 255.255.255.0
!
结束
主机名SW1
!
接口Vlan1
ip地址192.168.12.2 255.255.255.0
!
mac地址-表静态001d.a18b.36d0 vlan 1丢弃
结束