文章目录
前言
此次没有实例配置讲解,稍后会推出一个以太网安全综合实例讲解。
一、MAC地址表安全
主要类型分为三种静态mac地址表、动态mac地址表、黑洞mac地址表
- 静态mac地址表:在
小型网络中由管理员手工对信任mac地址进行配置,将端口和mac地址进行绑定,表项不会老化(包括热插拔),其他接口收到源mac为该绑定mac的报文会直接选择丢弃。 - 动态mac地址表:
自动对途径该端口的报文进行学习源mac地址,表项会老化。 - 黑洞mac地址表:管理员
手工配置,不可老化,匹配目标黑洞mac地址后直接丢弃,就像丢入了黑洞一样,由此而得名。
二、MAC地址表类型及作用
不多说废话了,直接上思维导图,这相对于文字更易于理解,
三、MAC表项相关命令(来自华为官方)
这里就不做实例讲解了,稍后会出一片以太网交换技术整合练习
1.配置静态MAC表项
# 指定的VLAN必须已经创建并且已经加入绑定的端口;指定的MAC地址,必须是单播MAC地址,不能是组播和广播MAC地址
[Huawei] mac-address static mac-address interface-type interface-number vlan vlan-id
2.配置黑洞MAC表项
#当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃。
[Huawei] mac-address blackhole mac-address [ vlan vlan-id ]
3.配置动态MAC表项的老化时间
[Huawei] mac-address aging-time aging-time
4.关闭基于VLAN的MAC地址学习功能
#缺省情况下,VLAN的MAC地址学习功能是使能的。
当同时配置基于接口和基于VLAN的禁止MAC地址学习功能时,基于VLAN的优先级要高于基于接口的优先级配置
Huawei-vlan2] mac-address learning disable。
5.配置基于接口限制MAC地址学习数
#缺省情况下,不限制MAC地址学习数
[Huawei-GigabitEthernet0/0/1] mac-limit maximum max-num
6.配置当MAC地址数达到限制后,对报文应采取的动作
#缺省情况下,对超过MAC地址学习数限制的报文采取丢弃动作
Huawei-GigabitEthernet0/0/1] mac-limit action {
discard | forward
7.配置当MAC地址数达到限制后是否进行告警
#缺省情况下,对超过MAC地址学习数限制的报文进行告警
[Huawei-GigabitEthernet0/0/1] mac-limit alarm {
disable | enable }
8.配置基于VLAN限制MAC地址学习数
#缺省情况下,不限制MAC地址学习数
[Huawei-vlan2] mac-limit maximum max-num
9.关闭基于接口的mac地址学习功能
#关闭MAC地址学习功能的缺省动作为forward,即对报文进行转发。
当配置动作为discard时,会对报文的源MAC地址进行匹配,当接口和MAC地址与MAC地址表项匹配时,则对该报文进行转发。当接口和MAC地址与MAC地址表项不匹配时,则丢弃该报文
Huawei-GigabitEthernet0/0/1] mac-address learning disable [ action {
discard | forward } ]
注:思路为原创,命令不可能原创哈,都是选自华为官方!!!