项目案例15 无线控制器MAC地址认证 Guest VLAN解析

MAC与IP地址绑定攻防详解1 引言对“IP地址盗用”的解决方案绝大多数都是采取MAC与IP地址绑定策略,这种做法是十分危险的,本文将就这个问题进行探讨。

在这里需要声明的是,本文是处于对对MAC与IP地址绑定策略安全的忧虑,不带有任何黑客性质。

1.1 为什么要绑定MAC与IP 地址影响网络安全的因素很多,IP地址盗用或地址欺骗就是其中一个常见且危害极大的因素。

现实中,许多网络应用是基于IP的,比如流量统计、账号控制等都将IP地址作为标志用户的一个重要的参数。

如果有人盗用了合法地址并伪装成合法用户,网络上传输的数据就可能被破坏、****,甚至盗用,造成无法弥补的损失。

盗用外部网络的IP地址比较困难,因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围,不属于该IP地址范围的报文将无法通过这些互连设备。

但如果盗用的是Ethernet内部合法用户的IP地址,这种网络互连设备显然无能为力了。

“道高一尺,魔高一丈”,对于 Ethernet内部的IP地址被盗用,当然也有相应的解决办法。

绑定MAC地址与IP地址就是防止内部IP盗用的一个常用的、简单的、有效的措施。

1.2 MAC与IP 地址绑定原理IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,而且网卡的MAC 地址是唯一确定的。

因此,为了防止内部人员进行非法 IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。

目前,很多单位的内部网络,尤其是学校校园网都采用了MAC地址与IP地址的绑定技术。

许多防火墙(硬件防火墙和软件防火墙)为了防止网络内部的IP地址被盗用,也都内置了MAC地址与IP地址的绑定功能。

从表面上看来,绑定MAC地址和IP地址可以防止内部IP地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,MAC地址与IP地址的绑定存在很大的缺陷,并不能真正防止内部IP地址被盗用。

无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例首先，需要配置无线控制器。

无线控制器是一个集中管理多个无线接入点的设备，可以通过该设备统一管理和配置所有的无线终端。

1.连接无线控制器和认证服务器：将无线控制器与认证服务器连接到同一个网络中，以便它们之间可以进行通信。

2.配置认证服务器信息：在无线控制器上设置认证服务器的相关信息，包括服务器的IP地址、端口号、共享密钥等。

3.配置无线控制器的VLAN：为不同的用户组设置不同的VLAN，以实现对不同用户的访问控制和隔离。

4.配置无线接入点：将无线接入点与无线控制器进行绑定，确保无线控制器可以管理和配置这些接入点。

接下来，需要配置认证服务器。

认证服务器负责对无线终端进行认证、授权和账号管理。

1. 配置用户身份验证方式：可以使用本地数据库、RADIUS服务器或Active Directory等方式进行用户身份验证。

2.设置用户账号：创建用户账号，并为每个账号分配相应的权限和VLAN。

3. 配置认证方式：可以选择使用802.1X、预共享密钥、Web Portal等认证方式进行无线终端的认证。

最后，需要配置无线终端。

无线终端是连接无线网络的设备，通过认证服务器的授权，可以接入相应的VLAN。

1.配置无线接入方式：根据无线接入点的类型，设置无线终端的接入方式，包括无线网卡参数和接入点的SSID等。

2.配置认证方式：根据认证服务器的要求，设置无线终端的认证方式，如输入用户名和密码，或通过预共享密钥进行认证。

通过以上的配置步骤，无线控制器可以动态授权无线终端接入相应的VLAN。

当无线终端连接到无线网络时，它将向无线控制器发送认证请求，在认证服务器上进行身份验证。

如果认证成功，认证服务器将授权该无线终端接入指定的VLAN。

无线控制器会通过VLAN分发机制将无线终端隔离到相应的VLAN中，确保网络的安全和可靠性。

总结起来，无线控制器通过认证服务器动态授权无线终端接入VLAN是一种常见的网络配置。

vlan防mac欺骗原理VLAN（Virtual Local Area Network）是一种虚拟局域网技术，通过将物理局域网划分成多个虚拟局域网，实现不同局域网之间的互通。

然而，由于VLAN技术在实际应用中存在一些安全隐患，其中之一就是MAC（Media Access Control）欺骗。

本文将介绍VLAN防MAC欺骗的原理。

1. MAC地址欺骗的概念MAC地址是网络设备唯一标识符，用于在局域网中唯一识别设备。

MAC地址欺骗是指攻击者通过伪造或篡改MAC地址的方式，冒充其他设备，获取或修改网络数据的行为。

在VLAN中，MAC地址欺骗可能导致数据泄露、网络拥塞等安全问题。

2. VLAN的工作原理VLAN通过在交换机上划分虚拟局域网，将不同的端口划分到不同的VLAN中，实现不同VLAN之间的隔离和通信。

VLAN使用VLAN ID来标识不同的虚拟局域网，交换机通过比对帧的VLAN标识符来判断数据该转发到哪个VLAN。

3. VLAN防MAC欺骗的原理为了防止MAC地址欺骗攻击，VLAN引入了一些机制来保护网络安全。

3.1 静态MAC地址绑定静态MAC地址绑定是指管理员在交换机上手动配置每一个端口所允许接入的MAC地址。

交换机会检查每一个接入端口上接收到的MAC地址，如果发现端口上的MAC地址与配置的MAC地址不匹配，交换机会拒绝该端口的访问。

3.2 动态MAC地址绑定动态MAC地址绑定是指交换机在接收到数据帧时，自动学习并记录源MAC地址和对应的端口信息。

当交换机收到目标MAC地址与源MAC地址不匹配或者对应端口不一致的数据帧时，会采取相应的措施，例如将该数据包丢弃。

3.3 MAC地址表+Aging机制交换机通过维护一张MAC地址表来记录网络中各个MAC地址与端口的对应关系。

交换机会根据一定的策略更新MAC地址表，例如通过定期清除一些长时间没有通信的记录。

这样可以防止攻击者通过发送大量的伪造源MAC地址的数据帧来混淆交换机的MAC地址表。

MAC认证流程详解1. 什么是MAC认证？MAC（Media Access Control）认证是一种无线网络访问控制技术，它通过限制和验证设备的物理地址（MAC地址）来控制网络的访问权限。

在MAC认证过程中，网络管理员可以通过限制设备的MAC地址来保护无线网络的安全，并防止未授权的设备接入网络。

2. MAC认证流程步骤下面是典型的MAC认证流程的详细步骤：步骤1：设备连接和识别用户首先需要将其设备（如手机、电脑等）连接到无线网络。

一旦设备连接成功，无线接入点（Access Point）将会识别并记录设备的MAC地址。

步骤2：验证请求一旦设备被识别，无线接入点将生成一个认证请求，并将其发送给设备。

该请求通常是一个特殊的帧，其中包含认证所需的参数和信息。

接收到请求后，设备会进入认证模式。

步骤3：认证请求发送设备将会生成认证请求，并将其发送回无线接入点。

该请求包含设备的MAC地址以及一些其他信息，如身份凭证（用户名和密码）等。

步骤4：认证请求验证无线接入点将收到设备发送的认证请求，并开始验证该请求的有效性。

认证请求验证的方式可以是多种多样的，如以下几种：•MAC地址白名单：无线接入点会根据预先配置的MAC地址白名单来验证设备的有效性。

如果设备的MAC地址在白名单内，则请求通过验证。

否则，请求将会被拒绝。

•WPA/WPA2-Enterprise认证：无线接入点将发送设备提供的用户名和密码到认证服务器进行验证。

认证服务器会对提供的凭证进行验证，如果验证通过，则请求通过验证。

否则，请求将会被拒绝。

•证书认证：无线接入点会验证设备所提供的数字证书的有效性。

如果证书有效，则请求通过验证。

否则，请求将会被拒绝。

步骤5：认证结果通知一旦认证请求被验证通过，无线接入点将向设备发送认证结果通知。

如果认证成功，设备将获得网络访问权限。

否则，设备将被限制或拒绝访问网络。

3. MAC认证流程流程图下面是一个简化的MAC认证流程的流程图：设备连接和识别 -> 验证请求 -> 认证请求发送 -> 认证请求验证 -> 认证结果通知4. MAC认证流程的特点和优势MAC认证流程具有以下几个特点和优势：•安全性：通过限制和验证设备的MAC地址，MAC认证可以有效地保护无线网络的安全。

目录第1章VLAN配置 ..................................................................... 1-11.1 VLAN配置命令 .................................................................................... 1-11.1.1 debug gvrp event ....................................................................................1-11.1.2 debug gvrp packet ..................................................................................1-11.1.3 dot1q-tunnel enable................................................................................1-21.1.4 dot1q-tunnel selective enable................................................................1-21.1.5 dot1q-tunnel selective s-vlan.................................................................1-21.1.6 dot1q-tunnel tpid.....................................................................................1-21.1.7 garp timer join .........................................................................................1-21.1.8 garp timer leave.......................................................................................1-21.1.9 garp timer leaveAll..................................................................................1-21.1.10 gvrp（全局）..........................................................................................1-31.1.11 gvrp（端口） ..........................................................................................1-31.1.12 no garp timer .........................................................................................1-31.1.13 name.......................................................................................................1-41.1.14 private-vlan............................................................................................1-41.1.15 private-vlan association.......................................................................1-51.1.16 show dot1q-tunnel ................................................................................1-51.1.17 show garp timer ....................................................................................1-51.1.18 show gvrp fsm information..................................................................1-61.1.19 show gvrp leaveAll fsm information...................................................1-61.1.20 show gvrp leavetimer running information........................................1-61.1.21 show gvrp port-member.......................................................................1-71.1.22 show gvrp port registerd vlan .............................................................1-71.1.23 show gvrp timer running information.................................................1-81.1.24 show gvrp vlan registerd port .............................................................1-81.1.25 show vlan...............................................................................................1-91.1.26 show vlan-translation.........................................................................1-101.1.27 switchport access vlan.......................................................................1-101.1.28 switchport dot1q-tunnel.....................................................................1-101.1.29 switchport forbidden vlan..................................................................1-101.1.30 switchport hybrid allowed vlan ......................................................... 1-111.1.31 switchport hybrid native vlan............................................................ 1-111.1.32 switchport interface............................................................................1-121.1.33 switchport mode .................................................................................1-121.1.34 switchport mode trunk allow-null .....................................................1-131.1.35 switchport trunk allowed vlan ...........................................................1-131.1.36 switchport trunk native vlan ..............................................................1-131.1.37 vlan .......................................................................................................1-141.1.38 vlan internal.........................................................................................1-141.1.39 vlan ingress enable.............................................................................1-151.1.40 vlan-translation ...................................................................................1-151.1.41 vlan-translation enable.......................................................................1-151.1.42 vlan-translation miss drop.................................................................1-15第2章MAC地址表配置命令 ..................................................... 2-12.1 MAC地址表配置命令........................................................................... 2-12.1.1 clear mac-address-table dynamic .........................................................2-12.1.2 mac-address-table aging-time...............................................................2-12.1.3 mac-address-table static | static-multicast | blackhole ......................2-12.1.4 show mac-address-table ........................................................................2-22.2 MAC地址绑定配置命令....................................................................... 2-32.2.1 clear port-security dynamic...................................................................2-32.2.2 mac-address-table periodic-monitor-time............................................2-32.2.3 mac-address-table trap enable..............................................................2-32.2.4 mac-address-table synchronizing enable ............................................2-42.2.5 show port-security..................................................................................2-42.2.6 show port-security address...................................................................2-52.2.7 show port-security interface..................................................................2-52.2.8 switchport port-security.........................................................................2-62.2.9 switchport port-security convert...........................................................2-62.2.10 switchport port-security lock...............................................................2-62.2.11 switchport port-security mac-address................................................2-72.2.12 switchport port-security maximum.....................................................2-72.2.13 switchport port-security timeout.........................................................2-72.2.14 switchport port-security violation.......................................................2-8第1章VLAN配置1.1 VLAN配置命令1.1.1 debug gvrp event命令：debug gvrp event interface (ethernet | port-channel | ) IFNAMEno debug gvrp event interface (ethernet | port-channel | ) IFNAME功能：开启/关闭GVRP事件调试信息开关，包括状态机的转移以及定时器到期等信息。

1MAC地址认证概述MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。

设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后，即启动对该用户的认证操作。

认证过程中，不需要用户手动输入用户名或者密码。

若该用户认证成功，则允许其通过端口访问网络资源，否则该用户的MAC地址就被添加为静默MAC。

在静默时间内（可通过静默定时器配置），来自此MAC地址的用户报文到达时，设备直接做丢弃处理，以防止非法MAC短时间内的重复认证。

为了将受限的网络资源与用户隔离，通常将受限的网络资源和用户划分到不同的VLAN。

当用户通过身份认证后，受限的网络资源所在的VLAN会作为授权VLAN 从授权服务器上下发。

同时用户所在的端口被加入到此授权VLAN中，用户可以访问这些受限的网络资源。

要实现MAC地址认证，需要提供以下功能组件：具有MAC地址认证功能的交换机为了能够对接入终端进行MAC地址认证，需要接入交换机拥有MAC认证功能，能够直接对接入终端进行地址认证。

Radius服务器一般情况下，接入交换机无法判断终端的MAC地址是否合法，需要将终端的MAC提交给Radius服务器进行验证，在Windows server 2003中，Windows IAS服务能够提供标准的Radius服务，但IAS无法建立MAC帐户，利用Windows的Active Directory（AD；活动目录）服务与IAS服务结合，就可以实现认证和管理MAC帐户的功能。

具体认证过如图所示：1.客户端接上网线，接入办公网络。

2.接入交换机学习到客户端的MAC地址，但不会开启接入端口，而是以客户端的MAC地址作为用户名和密码，向Radius服务器发起认证请求。

3.Radius服务器收到接入交换机的查询请求后，立即向DC发出查询请求。

4.DC查询自身的AD，看是否有该用户，是否到期，能否接入等信息，如果所需信息是肯定的，则认证成功，若其中一项是否定的，则认证失败。

H3C 无线控制器本地MAC 认证典型配置一、组网需求如图所示，集中式转发架构下，AP 和CIient 通过DHCPSerVer 获取IP 地址，要求在AC 上使用MAC 地址用户名格式认证方式进行用户身份认证，以控制其对网络资源的访 问。

图1本地MAC 地址认证配置组网图二、配置注意事项1、配置AP 的序列号时请确保该序列号与AP 唯一对应，AP 的序列号可以通过AP设备背面的标签获取。

2、在AC 上配置的MAC 地址认证的用户名、密码需要与Client 上配置的用户名、密码保持一致，即使用Client 的MAC 地址作为用户名和密码进行MAC 地址认证。

3、配置Switch 和AP 相连的接口禁止VLAN 1报文通过，以防止AC 上VLAN 1内的报文过多°三、配置步骤1、 配置AC(1) 配置AC 的接口# 创建VLAN IOO 及其对应的VLAN 接口，并为该接口配置IP 地址。

AP 将获取该IP 地址与AC 建立CAPWAP 隧道。

<AC> system-view [AC] vlan 100 [AC-vlanl00] quit [AC] interface vlan-interface 100 [AC-Vlan-InterfacelOO] ip address 112.12.1.25 24 [AC-Vlan-interfacelOO] quit# 创建VLAN 200及其对应的VLAN 接口，并为该接口配置IP 地址。

CIient 使用该 VLAN 接入无线网络。

[AC] vlan 200 [AC-vlan200] quit [AC] interface vlan-interface200Vlaπ4πt100; 112 12 1.25/16AC DHCP server Switch AP Client[AC-Vlan-interface200] ip address 112.12.2 ∙ 25 24 [AC -Vlan-interface200] quit# 配置 AC 和 Switch 相连的接口 GigabitEthernetI/0/1 为 Trunk 类型，禁止 VLAN 1 报文通过，允许VLANIoO 和VLAN 200通过，当前TnJnk 口的PVID 为100。

802.1X Auth-Fail/Guest VLAN典型配置举例Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (1)3.3 配置注意事项 (2)3.4 配置步骤 (2)3.4.1 AC的配置 (2)3.4.2 Switch 的配置 (4)3.5 验证配置 (5)3.6 配置文件 (10)4 相关资料 (12)1 简介本文档介绍802.1X 与Auth-Fail VLAN 、Guest VLAN 相结合的典型配置举例。

2 配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解802.1X 、SSL 、WLAN 基本特性。

3 配置举例3.1 组网需求如图1所示，AC 与AP 使用VLAN 100关联，Client 和AP 被划分在不同的VLAN 中，且Client 和AP 都是通过DHCP server 获取IP 地址。

要求：∙采用EAP 中继方式对客户端进行本地802.1X 认证。

∙本地EAP 认证方法采用peap-mschapv2。

∙当Client 认证通过正常上线后，可以接入VLAN 300进行网络办公。

∙配置Guest VLAN 400，当Client 不进行认证时，只能进入VLAN 400访问特定的网络资源。

∙ 配置Auth-Fail VLAN 500，当Client 认证失败时，只能访问VLAN 500中的资源。

MAC本地认证配置指导00191333华为技术有限公司MAC本地认证配置指导1.MAC认证MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件，用户名和密码都是用户设备的MAC地址。

网络接入设备在首次检测到用户的MAC地址以后，即启动对该用户的认证。

2.MAC认证方式根据有无radius服务器配合认证，MAC认证可分为MAC本地认证（在AC上认证）和MAC地址radius认证。

3.MAC本地认证配置举例3.1组网图图13.2组网需求如图1所示，二层组网直接转发。

业务vlan为vlan 100，管理vlan为vlan 800。

用户的无线终端连接到SSID 为huawei 的无线网络中。

设备管理者希望对用户接入进行MAC 地址认证，以控制其对Internet 的访问。

使用用户的MAC 地址作为用户名和密码，其中MAC 地址不带连字符，字母小写。

3.3配置思路采用如下的思路在AC上进行配置。

1.配置WLAN 基本业务，使AP正常工作。

2.配置MAC认证MAC地址格式，是否带“-”。

3. 在AAA视图下添加新用户，用户名和密码都为无线终端MAC。

4. 在需要认证的端口下使能MAC认证。

5. 业务下发至AP，用户完成业务验证。

说明本配置通过在AC的WLAN-ESS 接口上启用MAC认证来实现对STA进行控制的目的。

直接转发模式下STA的网关不能配置在AC无线侧，可以选择配置在汇聚交换机上或AC有线侧。

配置Security-profile模板时，AC6605 V200R001版本只能使用WPA/WPA2-PSK认证，V200R002可以使用OPEN、WEP、WPA/WPA2-PSK认证3.4操作步骤步骤1 配置接入交换机接入交换机接AP端口trunk透传业务VLAN 100，管理VLAN 800，并打管理vlan pvid 800。

需要将所有二层交换机在AP管理VLAN和业务VLAN内的下行口上配置端口隔离，如果不配置端口隔离，可能会在VLAN 内存在不必要的广播报文，或者导致不同AP 间的WLAN 用户二层互通的问题。

实验六交换机的VLAN配置-MAC地址绑定端口实验目的：1、了解什么是交换机的MAC绑定功能；2、熟练掌握MAC与端口绑定的静态方式。

实验环境：Packet tracer软件实验内容：1、把PC机的MAC地址绑定到交换机某个端口上基本原理：考虑到交换机使用的安全性，可以使用端口绑定技术，防止陌生计算机接入，避免了人为随意调换交换机端口。

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。

这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。

而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。

另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。

实验步骤：一、把MAC地址绑定到交换机的端口实验拓扑如上图。

PC1：IP：192.168.3.3 MAC地址：000C.7611.8157PC2：IP：192.168.3.2 MAC地址：000C.7611.817F注：添加主机时，默认有一个MAC地址，在config选项卡中能看到，或者在运行里输入命令ipconfig /all查看。

建议用默认的MAC地址。

1．启动交换机，并进入到特权模式Switch>enableSwitch#2．恢复到厂商设置Switch#erase startup-config 擦除配置Switch#reloadSwitch>enswitch#show vlan3．pc1 插入交换机第5口，pc2插入交换机第2口。

4．把pc1 MAC地址与vlan 1 的第5口进行绑定。

网络认证与访问控制实例分析引言：网络认证和访问控制是网络安全的重要组成部分，它们确保只有经过验证的用户能够访问网络资源，从而保护网络免受未经授权的访问和恶意攻击。

本文将通过分析两个网络认证和访问控制的实例来说明其重要性和实际应用。

一、企业内部网络认证与访问控制在企业内部网络中，为了保护敏感数据和内部系统，通常需要对员工进行身份验证，并限制其访问的权限。

例如，在一个大型跨国公司中，可以使用Active Directory（AD）来实现员工身份验证和访问控制。

AD是一种基于Windows的目录服务，它提供了用户和资源的集中管理。

通过使用AD，公司可以创建用户账户并分配相应的权限，同时还可以设置密码策略来确保安全性。

此外，AD还支持多因素认证，例如通过添加智能卡或生物识别技术来加强身份验证。

对于员工访问网络资源的控制，可以通过设置网络访问策略来实现。

企业可以根据员工的职位和部门设置不同的访问权限，只允许他们访问他们所需的资源。

此外，还可以通过日志记录和审计机制来监控员工的网络活动，发现并阻止潜在的威胁行为。

二、公共无线网络认证与访问控制在公共场所，如咖啡馆、机场和酒店等，提供免费的无线网络服务，以吸引顾客并提升用户体验。

然而，为了保护网络的安全性和避免滥用，通常需要进行网络认证和访问控制。

一种常见的公共无线网络认证方法是使用预共享密钥（PSK）。

用户需要输入预设的密码才能连接到网络，然后被分配一个临时的IP地址。

这种方法虽然简便，但安全性相对较低，因为密码可能被泄漏或共享给未经授权的用户。

为了提升公共无线网络的安全性，一些机构采用了更加复杂和严格的认证方式，如使用认证服务器和证书颁发机构（CA）。

用户需要提供身份信息并获得有效的证书才能连接网络。

这种方法可以防止未经授权的用户获取网络访问权限，同时也更好地保护用户的个人隐私。

在访问控制方面，公共无线网络通常使用了虚拟局域网（VLAN）技术来隔离不同用户或用户组的流量。

Macvlan和IPvlanmacvlan 本⾝是linxu kernel 模块，其功能是允许在同⼀个物理⽹卡上配置多个MAC 地址，即多个interface，每个interface 可以配置⾃⼰的 IP。

macvlan 本质上是⼀种⽹卡虚拟化技术(最⼤优点是性能极好)可以在linux命令⾏执⾏lsmod | grep macvlan查看当前内核是否加载了该driver；如果没有查看到，可以通过modprobe macvlan来载⼊，然后重新查看。

内核代码路径/drivers/net/macvlan.cMacvlan 允许你在主机的⼀个⽹络接⼝上配置多个虚拟的⽹络接⼝，这些⽹络interface有⾃⼰独⽴的 MAC 地址，也可以配置上IP 地址进⾏通信。

Macvlan 下的虚拟机或者容器⽹络和主机在同⼀个⽹段中，共享同⼀个⼴播域。

Macvlan 和Bridge⽐较相似，但因为它省去了Bridge 的存在，所以配置和调试起来⽐较简单，⽽且效率也相对⾼。

除此之外，Macvlan ⾃⾝也完美⽀持VLAN。

Bridge ModeBridge 是⼆层设备，仅⽤来处理⼆层的通讯。

Bridge 使⽤ MAC 地址表来决定怎么转发帧（Frame）。

Bridge 会从 host 之间的通讯数据包中学习 MAC 地址。

可以是硬件设备，也可以是纯软件实现(例如：Linux Bridge)。

提⽰:Bridge 有可能会遇到⼆层环路，如有需要，可以开启 STP 来防⽌出现环路。

MACVlan Mode可让使⽤者在同⼀张实体⽹卡上设定多个 MAC 地址。

上述设定的 MAC 地址的⽹卡称为⼦接⼝（sub interface）；⽽实体⽹卡则称为⽗接⼝（parent interface）。

parent interface可以是⼀个物理接⼝（eth0），可以是⼀个 802.1q 的⼦接⼝（eth0.10），也可以是bonding接⼝。