我们刚刚经历了两年来第三次硬件 MAC 地址重复事件。我知道可以用软件覆盖 MAC,但在大型网络中,故障排除过程中检测 MAC 地址可能需要很长时间。
在 Linux 上,如何监控整个网络中的重复 MAC 地址,以便将其发送到我们的通知系统以更快地进行纠正?
答案1
您有管理型交换机吗?我怀疑我的方法可能是定期从所有交换机/网络设备中提取 mac 表(cam 表),然后将它们存储在某种数据库或其他东西中,您可以在其中跟踪哪些 mac 地址在哪个交换机/端口上使用。有许多工具可用于连接到各种交换机并提取数据。从 Linux 系统,也许您可以使用 snmp、netmiko 或 ansible playbook 来收集数据,这些 playbook 会定期收集和存储数据。
根据网络硬件,如果启用正确的日志选项,可能会有某种方法将学习到的 MAC 地址记录到系统日志服务器的端口分配中。这几乎肯定是一个不错的选择,并且在 Linux 机器上启用系统日志服务器来接收日志应该非常容易。
根据您的交换机硬件和软件,高端交换机具有安全功能,可防止 MAC 地址被欺骗或在端口之间移动过快。花点时间查看您的交换机,看看您的交换机可以做些什么来解决这个问题。
如果您想要全力以赴,并且拥有更高端的网络设备,那么您可以通过证书或其他方式要求系统进行身份验证。如果计算机身份验证失败,则可以将其设置为不参与工作,或者将其分流到沙盒 vlan 或类似的东西。