精华内容
下载资源
问答
  • 巧用dhcp和交换机mac地址表解决局域网冲突

           首先,我先简单介绍一下我们单位的网络环境。我单位只有一个汇聚层三层交换机(H3C5500-28c-EI),然后,通过光纤连接到其他楼。由于办公室人员比较多,每个办公室里面的网口又不够,因此,每个办公室又配了一个小的8口交换机,根据单位实际情况无法划分Vlan,单位笔记本、台式机大约600台以上。

            问题:我们单位人多,通过一台dhcp服务器的“保留”功能,实现了MAC-IP-人名的绑定,每个人都有自己的IP地址,可是,当有某些人有意或无意的手动修改自己机器的IP地址后,会产生IP地址冲突问题,同时,在dhcp的保留区域中能够看到冲突的IP地址的MAC地址上显示"badaddress"提示,这样合法的用户也就无法获取IP地址上网了。
              解决方法:当我们接到某个同事的求助电话后,他说他上午还能上网下午再开机就显示IP地址冲突,无法上网了。我们首先做的就是让对方先不要上网,拔掉网线,我在我的机器上Ping这个IP,然后,通过arp -a这个命令查看一下本机的arp表,首先能够找到这个IP对应的mac地址并记录下来,首先确定不是合法用户的MAC地址。然后,telnet到交换机上,输入如下命令:
    <h3c>sys
    [h3c]mac-address blackhole ****-****-**** (非法的MAC)  vlan 1
    这样,就实现了封非法MAC的目的,这样一来非法用户无法上网了,他就会主动打电话来告诉你他上不了网,寻求帮助,这时你就很轻松得找到了私设IP的人了!这种方法比较笨,但是,比较有效,请各位高手看完后给点好的建议,谢谢!
    展开全文
  • 用图说话——浅析交换机MAC地址学习

    万次阅读 热门讨论 2013-09-10 20:59:38
    在现实生活中,我们已经离不开网络,网络已经融入我们的生活,电脑,网络已经成为我们这代人的必须品,信息资源也已经成为国家的一种站略资源,我们在享受网络便利的同时...交换机,重点介绍交换机MAC地址学习原理。

    引言:

           在现实生活中,我们已经离不开网络,网络已经融入我们的生活,电脑,网络已经成为我们这代人的必须品,信息资源也已经成为国家的一种站略资源,我们在享受网络便利的同时,也被网络故障困恼着,本文从简单的方面简析网络的重要组成部分-交换机,重点介绍交换机的MAC地址学习原理。

    我们先来了解我们普通用户上网,能够看到的部分:


           简单说,路由器中的交换机负责组建一个家庭局域网,路由功能负责将家庭局域网与internet连接,此处将internet视为城域网,而在这个结构中,我们知道,我们上网只需要输入密码就可以,但是,交换机是如何保证动态组网(电脑随用随插)呢?

           在交换机技术中,MAC地址学习技术,保证了我们能动态组网,今天我们用三幅图片来简单介绍这种技术:

    MAC地址学习图解:

    注意:
           1,图中深蓝色方形为交换机,蓝色线标识网线,浅蓝色机器标识网络中的电脑
           2,图中的MAC地址表示固话在交换机内部的一个表
           3,图中黑色箭头标识数据传输方向
           4,数据帧可以简单理解为数据





            通过这三幅图,我们能大概了解交换机MAC地址学习的基本工作原理,但是,这仅仅是交换开始的第一步,这一步我们能理解了,交换机其他的事情就好办了,我们看看百度百科上关于交换机的原理介绍:

           工作在数据链路层,交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上,控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口,目的MAC若不存在,广播到所有的端口,接收端口回应后交换机会“学习”新的MAC地址,并把它添加入内部MAC地址表中。使用交换机也可以把网络“分段”,通过对照IP地址表,交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发,可以有效的减少冲突域,但它不能划分网络层广播,即广播域。交换机在同一时刻可进行多个端口对之间的数据传输。每一端口都可视为独立的物理网段(注:非IP网段),连接在其上的网络设备独自享有全部的带宽,无须同其他设备竞争使用。当节点A向节点D发送数据时,节点B可同时向节点C发送数据,而且这两个传输都享有网络的全部带宽,都有着自己的虚拟连接。假使这里使用的是10Mbps的以太网交换机,那么该交换机这时的总流通量就等于2×10Mbps=20Mbps,而使用10Mbps的共享式HUB时,一个HUB的总流通量也不会超出10Mbps。总之,交换机是一种基于MAC地址识别,能完成封装转发数据帧功能的网络设备。交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。

           我们发现,最重要的是MAC地址学习,其他的就是一些我们能简单理解的东西,MAC地址学习保证了交换的顺利进行,现在学习交换机是不是就感觉简单不少?


    总结:

           交换技术是一个成熟的技术,学习一个技术和知识,我们要先看看这个系统的简单介绍,有个整体的概念,然后击破关键问题,就像交换机,关键问题之一就是MAC地址学习,我们要学会找关键问题,并学会如何击破他!

    展开全文
  • CCNA第三天主要讲了交换机mac地址的静态绑定,以及这个实验的一些前置知识。 OSI参考模型: 这一天我们主要学习前两层:物理层和数据链路层。 物理层: 作用:定义线缆标准,例如:电压、线速、规格等。 设备:...

    CCNA第三天主要讲了交换机mac地址的静态绑定,以及这个实验的一些前置知识。

    OSI参考模型:

    在这里插入图片描述

    这一天我们主要学习前两层:物理层和数据链路层。

    物理层:

    作用:定义线缆标准,例如:电压、线速、规格等。
    设备:modem调制解调器、集线器中继器

    在这里插入图片描述

    数据链路层

    作用:定义的是线路物理标准,连接器标准,物理地址。
    协议:IEEE 802协议
    有线标准:IEEE 802.2、802.3、802.5、FDDI
    无线标准:IEEE 802.11(a、b、g、n、ac),现网中常用的无线标准是IEEE 802.11ac
    PS:以太网IEEE 802.3、令牌环网IEEE 802.5、FDDI这三种协议称为局域网大三协议。
    设备:交换机
    mac地址的学习:
    交换机的默认mac地址表为空,在接收到数据帧时,记录下接收的端口和数据源设备的Mac地址。

    Mac地址表的静态绑定

    MAC地址表静态绑定
    应用场景:办公网络环境中,交换机决定了内网数据的转发,因此交换机的mac地址表稳定是非常重要的,为了安全起见,不至于让交换机即插即用,我们对交换机的mac地址表进行静态映射(绑定)static。然后再启用端口安全,使除了绑定的mac地址这台设备以外,其他所有设备都无法进行数据发送,保证内网安全。
    配置:交换机全局模式下
    int range f0/1 - 4
    ///同时进入f0/1到f0/4所有接口,“range”接口范围。接口范围根据交换机上使用的接口来。
    Sw mode access
    /// 接口设置为接入模式,即此接口用于连接终端设备
    exi
    ///退出到全局模式
    Spanning-tree portfast default
    ///开启所有access接口的快速转发,此功能可以使交换机的access接口在接上设备之后,接口能够立刻进入转发状态(变绿)
    Int f0/1 ///进入f0/1接口
    Switchport port-security ///开启端口安全
    Switchport port-security mac-address +电脑1mac地址 ///静态绑定电脑的mac地址到交换机的f0/1接口上
    Switchport port-security violation shutdown ///定义端口安全的动作,一旦出现冲突(f0/1接口上的mac地址与绑定的mac地址不一致),接口动作立刻关闭(shutdown)
    Int f0/2
    Sw po
    Sw po mac +电脑2mac地址
    Sw po vio sh
    Int f0/3
    Sw po
    Sw po mac +电脑3mac地址
    Sw po vio sh
    Int f0/4
    Sw po
    Sw po mac +电脑4mac地址
    Sw po vio sh
    测试:找一台新电脑,接到已经绑定mac地址的接口上
    现象:接口立刻关闭(变红)

    展开全文
  • Cisco 3550交换机MAC地址的访问控制

    千次阅读 2013-05-06 14:29:43
    这样的行为,不但破坏了信息安全规则,还可能因为地址冲突引起网络通讯故障。  网管管理员可能会试图使用如后文所述的各种技术手段来解决这一问题,但效果不一定很理想:首先技术手段无法完全阻止这种现象的...
    网络管理工作中,常常会碰到这样的情况:某些用户违反管理规定,私自修改自已的IP地址,以达到访问受限资源的目的。这样的行为,不但破坏了信息安全规则,还可能因为地址冲突引起网络通讯故障。
    


      网管管理员可能会试图使用如后文所述的各种技术手段来解决这一问题,但效果不一定很理想:首先技术手段无法完全阻止这种现象的发生,其次是增加了管理的复杂性和成本。所以遏制这种现象最有效的方法是行政手段,这是技术手段所无法替代的。


      在介绍这些管理手段之前我们先来看一个模拟的环境:工作站PC和SERVER连接到一台Cisco Catalyst 3550交换机上,它们分属不同的VLAN,借助3550的路由功能进行通讯(附交换机配置):


      hostname Cisco3550


      !


      interface GigabitEthernet0/11 description Connect to PC


      !


      interface GigabitEthernet0/12 description Connect to SERVER switchport access vlan 2


      !


      interface Vlan1


      p address 1.1.1.254 255.255.255.0


      !


      interface Vlan2


      p address 2.1.1.254 255.255.255.0


      如果不需要做权限限制,只是要防止IP地址冲突的话,最佳的方案可能是使用DHCP.DHCP 服务器可以为用户设置IP 地址、子网掩码、网关、DNS等参数,使用方便,还能节省IP地址。在Cisco设备上设置DPCP可以参考:《Cisco路由器上配置DHCP全程详解》.静态的分配和设置需要较多管理开销,如果用户不捣乱的话,由于用户名和IP地址一一对应,维护起来比较方便,以下均假设采用的是静态的管理方法。


      测试1.假设VLAN1内只允许IP 1.1.1.1 访问Server: 2.1.1.1,其它访问全部禁止。


      限制方法:使用IP访问控制列表


      interface Vlan1


      p address 1.1.1.254 255.255.255.0


      p access-group 100 in


      access-list 100 permit ip host 1.1.1.1 host 2.1.1.1


      突破方法:非法用户将IP地址自行改为 1.1.1.1即可访问Server.非法用户抢占地址1.1.1.1将会引起IP地址冲突问题。如果用户将IP地址设成网关的IP,还会影响到整个VLAN的通讯。通过修改Windows 设置,可以防止用户修改“网络”属性,但这一方法也很容易被突破。


      测试2.在测试1的基础上加上静态ARP绑定可以防止IP地址盗用。


      实现方法:在测试1配置的基础上设置arp 1.1.1.1 0001.0001.1111 ARPA


      注意以下的命令是错误的,因为ARP的端口参数是三层(路由)端口而非二层(交换)端口:


      arp 1.1.1.1 0001.0001.1111 ARPA GigabitEthernet0/11


      设置完成之后,如果非法用户把地址改为1.1.1.1,它发送到路由器的包正常,但是从目标服务器2.1.1.1返回的数据包在路由器上转发的时候,目标MAC地址将总是设为0001.0001.1111,非法用户不能接收。


      类似办法:使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表


      突破方法:修改MAC地址很容易,在Windows网络连接设置修改网卡的配置,在“高级”页面中找到Network Address设置为指定的值即可。


      测试3.使用Port Secure


      原理:如果限制了指定端口只能被特定MAC地址的机器,用户若更改了MAC地址端口将会进入不可用状态。


      设置方法:


      interface g 0/1


      switchport mode access


      switchport port-security


      设置完成之后,交换机端口上首次连接的PC的MAC地址将会记录到交换机中,成为唯一能够使用该端口的MAC地址。如果该PC更换MAC地址,默认将会使用端口置于shutdown状态,无法与网络连通。


      可以使用命令设置安全冲突的处理方法:


      sw port-security violation [protect | restrict | shutdown ]


      protect 丢弃来自非法源地址的包,不告警


      restrict 丢弃来自非法源地址的包,发送syslog告警


      shutdown(默认) 关闭端口,发送SNMP trap、Syslog 告警,除非管理员执行命令shut/no shut,否则端口一直处理down状态。


      突破方法:代理服务器。用户在同一VLAN内能够对外访问的主机上安装代理服务器,通过代理访问。


      测试4.使用VLAN,PVLAN隔离用户


      原理:将授权用户和非授权用户划分到不同的VLAN中,并使用访问控制列表限制VLAN间的通讯。也可以使用PVLAN隔离使同一VLAN间某些主机之间不能直接通讯……


      interface range g 0/10


      description Connect to PC1


      switchport access vlan 7


      interface range g 0/11


      description Connect to PC2


      switchport access vlan 8


      特殊办法:交换机Cisco 3550交换机还能支持在二层(交换)端口上设置mac/ip 访问控制列表,以下设置将使f0/1端口上的PC只能使用ip地址1.1.1.1及mac地址0000.0c31.ba9b,否则网络通讯不正常。


      ac access-list extended macacl


      permit host 0000.0c31.ba9b any


      permit any host 0000.0c31.ba9b


      interface FastEthernet0/1


      o ip address


      p access-group ipacl in


      ac access-group macacl in


      p access-list extended ipacl


      permit ip any host 1.1.1.1


      permit ip host 1.1.1.1 any


      突破方法:该用户跑到授权用户的机器上访问


      这是非典型的突破方法,目前还没有很好的解决方法。


      其他可能的限制方法:


      1.认证代理:用户访问特定资源前必须在某个网页上输入用户名和密码,否则不通


      2.802.1x:用户通过802.1x认证同时由DHCP服务器分配IP地址,否则不通


      3.PPPoE:用户需安装PPPoE客户端软件,使用用户名和密码登录网络才能使用


      讨论更新:一位叫Maying的朋友看了本文之后到BBS发帖子询问:“如何在路由器上设置过滤掉某个特定mac地址的流量?不希望使用这个mac地址的主机通过路由器!”。


      这个要求比较新鲜。当你针对一个MAC地址进行过滤的时候,这一动作发生在第二层。而路由器一般执行的是第三层路由的任务,只有很少情况下做桥接的时候才对进入的MAC地址进行过滤,所以这样的过滤最好设置在二层交换设备上。


      但这个要求对路由器来说也不是不可能的任务,麦子使用以下配置达到了要求的效果:


      p cef//Rate-limit 需要cef的支持,路由器可能默认未启用cef interface Ethernet0/0 ip address 192.168.1.254 255.255.255.0 rate-limit input access-group rate-limit 100 8000 1500 2000 conform-action drop exceed-action drop //如果源MAC地址为指定值则丢弃(其他的都允许) access-list rate-limit 100 0001.0001.abcd //要限制的MAC地址


      这时候要注意,目标工作站到达该路由器之前不能经过其他三层设备,否则MAC地址会被改掉。


      讨论更新:Maying朋友再问:“我的路由器是Cisco 1720, 不支持CEF,怎么办?”


      Cisco 1720路由器能够支持CEF, 但要求是12.0(3)T以上IP PLUS版本的软件,12.2(11)YV 起标准IP版软件也可以支持CEF.如果路由器目前IOS软件版本不够,需要升级。


      也可以使用桥接(IRB)的方法来解决,这种方法只需要12.0(2)T 以上标准IP版软件即可。配置如下:


      bridge irb //启用IRB支持


      interface Ethernet0/0


      o ip address //路由做到逻辑端口BVI 1上


      bridge-group 1 //加入桥接组1


      !


      interface BVI1


      p address 192.168.1.254 255.255.255.0 //为桥接组1提供路由


      !


      bridge 1 protocol ieee //运行生成树协议防止环路


      bridge 1 route ip //路由IP流量


      bridge 1 address 0001.0001.abcd discard


      //丢弃来着于MAC地址0001.0001.abcd的数据包


         
    [ 责任编辑:田启佳 ]     [ 我要挑错 ] 
    原文出自【比特网】,转载请保留原文链接:http://network.chinabyte.com/41/8648541.shtml
    展开全文
  • 为什么说交换机可以隔离冲突域?

    千次阅读 2021-04-06 17:31:17
    为什么交换机可以隔离冲突域? 交换机在数据链路层,作用是...假如数据帧的目的MAC地址不在交换机MAC地址表里时,交换机会把数据帧转发到除接收端口外的其它所有端口,此时交换机就是hub,不能起到隔离冲突域的作用
  • Cisco Packet Tracer查看交换机mac

    千次阅读 2020-03-19 22:46:02
    查看交换机mac地址表 为了验证交换机具有分隔不同网段的作用,我们通常借用Cisco Packet Tracer(下面简称CPT)来模拟网络环境。 1. 搭建网络环境 在CPT主界面右下角添加6台计算机设备 在该界面添加一个集线器...
  • 1、首先show arp 找到对应的ip和mac2、然后 show ethernet-switching table 找到对应的接口3、接着干掉该接口4、最后在dhcp下面去绑定ip地址mac地址 set system services dhcp static-binding 08:ed:b9:e2:8a:89 ...
  • 交换机MAC与 IP的绑定

    2010-10-29 22:18:20
    实验二十、交换机MAC与 IP的绑定 一、 实验目的 1、了解什么情况下需要 MAC 与IP 绑定; 2、 了解如何在接入交换机上配置 MAC与 IP 的绑定; 二、 应用环境 学校机房或者网吧等需要固定IP 地址上网的场所,为了防止...
  • 其实也很简单,在设置指定IP前,先广播一个ARP包(询问这个IP地址),然后看是否有应答,如果没有,那就代表可用。 从原理上解释如何检测IP冲突: 让一台设备/路由发送ARP广播,然后所有收到的设备都会应答,这样...
  • 回顾: 物理层 数据链路层 1.物理层传输介质双绞线:类型 cat5eutp 水晶头 B --- B 一个信息点:pc----模块--- 配线架----...1.mac地址48位2进制,前24厂商编号,后24位网卡编号00-0c-2900-50-56 vmware公司的厂商编...
  • 交换机解决电脑IP地址冲突

    千次阅读 2020-07-27 20:31:33
    很多朋友提到,如何防止IP地址冲突故障?这个在实际项目中经常会遇到,网络用户如果没有按照规定设置IP地址的话,IP地址冲突现象就不可避免,一旦这种现象频繁发生,不但会影响上网效率,而且也不利于局域网网络的...
  • 二层交换机隔离了冲突

    千次阅读 2015-04-12 20:06:40
    1、若交换机中没有主机A或者主机D的MAC地址信息 如果这个网络是刚刚组建,又或则出于某种原因,网络管理员把交换机重置后,则交换机的转发/过滤表会被清除。此时,由于主机A的MAC地址不在转发/过滤表中,所以,...
  • 1、网桥和交换机 网桥: ...交换机 ...-(2) 每个交换机可以支持多个spanning-...3、交换机的工作原理(地址学习) 地址学习的过程就是建立MAC表的过程 初始时,MAC地址表是空的 主机A向主...
  • 故障-因为MAC地址冲突造成的故障

    千次阅读 2019-10-02 07:08:53
    笔者有一部分物理机做了虚拟化,由于体量小就直接通过命令行工具创建,在创建时并没有通过kvm的clone命令,而是手工修改一些属性,所以就造成了产生了重复的MAC地址。 虽然问题是一个很low的问题,但是中间还是有...
  • 来源:局域网内mac地址冲突导致设备网络出现异常状况  前些天, 遇到这样一个古怪的问题: 我的pc与某设备S1进行通信, 结果出现网络频繁断掉的异常情况, 我能基本保证, 我所在的局域网是没有问题的。 ...
  • 利用二层交换机来隔离冲突

    千次阅读 2014-08-08 11:53:12
    如现在有一台交换机连着四台主机,分别为A、B、C、D。假设现在主机A要发一个...1、若交换机中没有主机A或者主机D的MAC地址信息 如果这个网络是刚刚组建,又或则出于某种原因,网络管理员把交换机重置后,则交换
  • 每当遇到网络病毒或系统崩溃现象时,上网用户都可能要重装系统,并修改IP地址,如果用户没有按照规定设置IP地址的话,IP地址冲突现象就不可避免,一旦这种现象频繁发生,不但会影响上网用户的冲浪效率,而且也不利于...
  • 交换机有个本身的mac,在stp中会用到。例如在6506中,此mac和所有物理接口的mac是一样的。所有vlan接口的mac地址都是一样的,都是本身的mac+1,和其他...接口的mac地址一样会冲突么?你来回答吧。 一般而言,现在的...
  • MAC地址学习冲突域和广播域区别 一MAC地址学习 \o "交换机"交换机技术在 \o "网络"网络技术中占有非常重要的地位其主要的功能就是构建 \o "Mac"Mac地址表在这之前它必须知道每一个端口所连接的主机的 \o "Mac"Mac...
  • 过了几天问题越发严重,甚至有时这两台设备都无法管理,再次进行排查发现,是由于10.9.9.76 10.9.9.12 使用了相同的mac,导致同一个vlan 下的两个Ip 具有相同的mac地址,这样二层通信存在问题,   修改完系统mac后...
  • 交换机地址学习

    2020-10-12 21:28:17
    2.通过观察交换机地址学习过程,理解交换机的工作原理。 3.理解广播域、冲突的概念 5.2实验分析 1.清除ESW1上的MAC地址表 经过前面的实验,ESW1上已经保存有接入设备的MAC地址表了,这里先清除MAC地址表。 2.再次...
  • 一、交换网络基础 1、越来越多的用户需要接入到网络,交换机提供的大量的接入端口能够很好地...1、交换机中有一个MAC地址表,里面存放了MAC地址交换机端口的映射关系。MAC地址表也称为CAM(Content Addressabl...
  • mac地址规则

    千次阅读 2015-03-17 14:36:05
    在一项目中由于驱动没提供接口设置mac地址,要直接操作全局变量,没注意去设置MAC地址,造成MAC地址冲突,后来改为根据ip生成相应的MAC,还是出问题,造成不能连接千兆交换机,解决...了解华为以太网交换机Mac地址介绍及
  • 交换机基础原理,冲突域和广播域

    千次阅读 2020-07-25 15:52:15
    可以识别数据包中的MAC地址信息,根据MAC地址进行转发数据,并且会将这些MAC地址与对应的端口记录在自己内部的一个MAC地址表中。 分类: 按传输介质,传输速率:百兆以太网交换机(常用),千兆以太网交换机(常用...
  • 当计算机使用过程中出现“计算机探测到IP地址与您的网卡物理地址发生冲突”的错误时,您就无法使用网络。如果在网络用户连网的同时,建立IP地址MAC地址的信息档案,自始至终地对局域网客户执行严格的管、登记制度...
  • 集线器与网卡、网线等传输介质一样,属于局域网中的基础设备,采用CSMA/CD(即带冲突检测的载波监听多路访问技术)介质访问控制机制。集线器每个接口简单的收发比特,收到1就转发1,收到0就转发0,不进行碰撞检测。 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 16,149
精华内容 6,459
关键字:

交换机mac地址冲突