这次我们简单介绍一下基本的mac地址组成。
MAC地址表是以MAC地址和VLAN ID或VSI为索引来唯一标识。当一台目的主机属于多个VLAN或VSI时,在MAC地址表中就会存在相同MAC地址拥有多个不同VLAN ID或VSI的情况。
以下是华为设备中典型的mac地址表
mac地址表主要用于引导数据进行单播转发,如果没有匹配到相应的转发表项(未知单播),或者接收到广播数据帧,组播数据(默认情况下)会进行相应数据洪泛。
一般情况下, MAC地址表是设备根据收到的数据帧里的源MAC地址自动学习而建立的。为适应网络的变化, MAC表需要不断更新。 MAC表中自动生成的表项(即动态表项)并非永远有效,每一条表项都有一个生存周期,到达生存周期仍得不到更新的表项将被删除,这个生存周期被称作老化时间。如果在到达生存周期前记录被更新,则该表项的老化时间重新计算。
由于MAC地址表的容量是有限的,当黑客伪造大量源MAC地址不同的报文发送到设备后,设备上的MAC地址表项资源可能会被耗尽。
当MAC表被填满后,即使它再收到正常的报文,也无法学习到报文中的源MAC地址,导致报文广播转发,浪费带宽资源。为了解决这些问题,设备提供了两种方式对MAC地址学习进行控制:
基于VLAN或接口关闭学习MAC能力
某个VLAN或接口关闭学习MAC能力后,将不再自动学习到新的动态MAC地址表项。之前学习到的动态表项在老化时间到达后自动删除,也可以手工执行删除MAC命令,将这些表项删除。
多数情况下,一个黑客发送的攻击报文是从同一个接口进入设备,在这个接口上配置关闭学习MAC能力或配置MAC地址学习限制,可避免攻击报文将整个设备的MAC地址表填满。
基于VLAN或接口进行MAC地址数限制,也可以应用在限制终端用户数的场景中。
基于VLAN或接口进行MAC地址数限制
基于VLAN或接口限制MAC地址数后,该VLAN或接口最多只能学习到指定限制数的MAC地址表项。
MAC地址表项达到限制数时,设备会上报告警信息通知网络管理员进行维护。
MAC地址表项达到限制数后,该VLAN或接口将不能再学习新的MAC地址表项,同时源MAC地址不包含在MAC地址表中的报文将被丢弃。
CCNA新版电子书免费领√
华为HCIA/IP学习资料免费领√