华为以太网交换机MAC典型配置
本帖最后由 小乔 于 2017-9-21 10:36 编辑1.1 配置静态MAC 示例
静态MAC 地址简介
MAC地址表项是交换机通过报文的源MAC地址学习过程而自动生成的,而通过用户手
动配置也可以生成静态的MAC地址表项。
手动配置静态MAC,一般是为了防止假冒身份的非法用户骗取数据,由网络管理员手
动在MAC地址表中添加合法用户的MAC地址表项。
手动配置静态MAC地址表项的数量比较大时,不便于网络管理员维护,此时可以使用
端口安全功能实现MAC地址和接口的动态绑定。
配置注意事项
本举例适用于S系列交换机所有产品的所有版本。
组网需求
如图1所示,服务器通过GE1/0/2接口连接交换机。为避免交换机在转发目的地址为服
务器地址的报文时进行广播,要求在交换机上设置服务器的静态MAC地址表项,使交
换机始终通过GE1/0/2接口单播发送去往服务器的报文。为了保证PC用户和服务器的安
全通信,同时把PC用户的MAC地址和接口GE1/0/1静态绑定。
图1 配置静态MAC 地址组网图
配置思路
采用如下思路配置静态MAC:
1. 在交换机上创建VLAN,并将接口加入VLAN,实现二层转发功能。
2. 在交换机上配置服务器的静态MAC地址表项。
3. 在交换机上配置PC的静态MAC地址表项。
操作步骤
步骤1 在Switch上创建VLAN 2,并把接口GE1/0/1和GE1/0/2加入VLAN 2
<HUAWEI> system-view
sysname Switch
vlan batch 2 //创建VLAN 2
interface gigabitethernet 1/0/1
port link-type access //和接入设备PC相连的接口类型必须是access,
接口默认类型不是access,需要手动配置为access
port default vlan 2 //接口GE1/0/1加入VLAN 2
quit
interface gigabitethernet 1/0/2 //接口GE1/0/2的配置方法和接口GE1/0/1相同
port link-type access
port default vlan 2
quit
步骤2 在Switch上添加服务器对应的静态MAC地址表项
mac-address static 4-4-4 gigabitethernet 1/0/2 vlan 2
步骤3 在Switch上添加PC对应的静态MAC地址表项
mac-address static 2-2-2 gigabitethernet 1/0/1 vlan 2
步骤4 检查配置结果
# 在任意视图下执行display mac-address static vlan 2命令,查看静态MAC表是否添加
成功。
display mac-address static vlan 2
-------------------------------------------------------------------------------
MAC Address VLAN/VSI Learned-From Type
-------------------------------------------------------------------------------
0002-0002-0002 2/- GE1/0/1 static
0004-0004-0004 2/- GE1/0/2 static
-------------------------------------------------------------------------------
Total items displayed = 2
----结束
配置文件
Switch的配置文件
#
sysname Switch
#
vlan batch 2
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 2
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 2
#
mac-address static 0002-0002-0002 GigabitEthernet1/0/1 vlan 2
mac-address static 0004-0004-0004 GigabitEthernet1/0/2 vlan 2
#
return
1.2 配置黑洞MAC 示例
黑洞MAC 地址简介
通过配置黑洞MAC地址表项,可以防止非法用户攻击。当交换机收到的报文源MAC地
址或者目的MAC地址是配置的黑洞MAC地址时,报文就会直接被丢弃。
配置注意事项
本举例适用于S系列交换机所有产品的所有版本。
组网需求
如图2所示,交换机收到一个非法用户的访问,非法用户的MAC地址为
0005-0005-0005,所属VLAN为VLAN 3。通过指定该MAC地址为黑洞MAC,实现非法
用户的过滤。
图2 配置黑洞MAC 地址组网图
配置思路
采用如下的思路配置黑洞MAC:
1. 创建VLAN,实现二层转发功能。
2. 添加黑洞MAC表,防止非法MAC地址攻击。
操作步骤
步骤1 添加黑洞MAC地址表项
<HUAWEI> system-view
sysname Switch
vlan 3 //创建VLAN 3
quit
mac-address blackhole 0005-0005-0005 vlan 3 //配置MAC地址0005-0005-0005在VLAN 3的广
播域内为黑洞MAC地址
步骤2 验证配置结果
# 在任意视图下执行display mac-address blackhole命令,查看黑洞MAC表是否添加成
功。
display mac-address blackhole
-------------------------------------------------------------------------------
MAC Address VLAN/VSI Learned-From Type
-------------------------------------------------------------------------------
0005-0005-0005 3/- - blackhole
-------------------------------------------------------------------------------
Total items displayed = 1
----结束
配置文件
Switch的配置文件
#
sysname Switch
#
vlan batch 3
#
mac-address blackhole 0005-0005-0005 vlan 3
#
return
1.3 配置基于VLAN 的MAC 地址学习限制示例
基于VLAN 限制MAC 地址学习简介
交换机控制MAC地址学习数经常使用的方式有两种:基于VLAN限制MAC地址学习数
和基于接口限制MAC地址学习数。在客户端不经常变动的办公场所中,通过限制MAC
地址学习控制用户的接入,防止黑客伪造大量源MAC地址不同的报文发送到设备后,
耗尽设备的MAC地址表项资源。当MAC地址表项资源满后,会导致正常MAC地址无
法学习,报文进行广播转发,浪费带宽资源。
与基于接口限制MAC地址学习数相比,基于VLAN限制MAC地址限制数,是以VLAN
为维度,一个VLAN内有多个接口需要限制MAC地址学习数时,不需要分别配置。
配置注意事项
l 接口上配置port-security enable后,mac-limit将无法生效,建议不要同时配置端口
安全和MAC地址学习限制功能。
l 本举例适用于S系列交换机所有产品的所有版本。
l 框式设备S系列中的SA单板和F系列接口板以及盒式设备(除S5720EI外),在MAC
地址表项达到指定限制数后,不支持丢弃源MAC地址不存在的报文。
组网需求
如图3所示,用户网络1通过LSW1与Switch相连,Switch的接口为GE1/0/1。用户网络
2通过LSW2与Switch相连,Switch的接口为GE1/0/2。GE1/0/1、GE1/0/2同属于VLAN
2。为控制接入用户数,对VLAN 2进行MAC地址学习限制。
配置思路
采用如下的思路配置基于VLAN的MAC地址学习限制:
1. 创建VLAN,并将接口加入到VLAN中,实现二层转发功能。
2. 配置VLAN的MAC地址学习限制,防止MAC地址攻击,控制接入用户数量。
操作步骤
步骤1 创建VLAN 2,并将接口GE1/0/1和GE1/0/2加入VLAN 2
<HUAWEI> system-view
sysname Switch
vlan batch 2
interface gigabitethernet 1/0/1
port link-type trunk //交换机之间的接口类型建议使用trunk
port trunk allow-pass vlan 2 //接口GE1/0/1加入VLAN 2
quit
interface gigabitethernet 1/0/2 //接口GE1/0/2的配置方法和接口GE1/0/1相同
port link-type trunk
port trunk allow-pass vlan 2
quit
步骤2 在VLAN 2上配置MAC地址学习限制规则:最多可以学习100个MAC地址,超过最大
MAC地址学习数量的报文继续转发并进行告警提示
vlan 2
mac-limit maximum 100 action forward //各个版本对报文的默认处理动作不一致,这里建
议手动指定。告警功能默认都是打开的,可以不手动指定
quit
步骤3 验证配置结果
# 在任意视图下执行display mac-limit命令,查看MAC地址学习限制规则是否配置成
功。
display mac-limit
MAC limit is enabled
Total MAC limit rule count : 1
PORT VLAN/VSI SLOT Maximum Rate(ms) Action Alarm
----------------------------------------------------------------------------
- 2 - 100 - forward enable
----结束
配置文件
Switch的配置文件。
#
sysname Switch
#
vlan batch 2
#
vlan 2
mac-limit maximum 100 action forward
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 2
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 2
#
return
1.4 配置基于接口的MAC 地址学习限制示例
基于接口限制MAC 地址学习数简介
交换机控制MAC地址学习数经常使用的方式有两种:基于VLAN限制MAC地址学习数
和基于接口限制MAC地址学习数。在客户端不经常变动的办公场所中,通过限制MAC
地址学习控制用户的接入,防止黑客伪造大量源MAC地址不同的报文发送到设备后,
耗尽设备的MAC地址表项资源。当MAC地址表项资源满后,会导致正常MAC地址无
法学习,报文进行广播转发,浪费带宽资源。
与基于VLAN限制MAC地址学习数相比,基于接口限制MAC地址学习数,在中小企业
中各个接口下的用户数量都比较固定且很少变动时,比较适用。
配置注意事项
l 接口上配置port-security enable后,mac-limit将无法配置。
l 本举例适用于S系列交换机所有产品的所有版本。
组网需求
如图4所示,用户网络1和用户网络2通过LSW与Switch相连,Switch连接LSW的接口
为GE1/0/1。用户网络1和用户网络2分别属于VLAN 10和VLAN 20。在Switch上,为了
控制接入用户数量,可以基于接口GE1/0/1配置MAC地址学习限制功能。
配置思路
采用如下的思路配置基于接口的MAC地址学习限制:
1. 创建VLAN,并将接口加入到VLAN中,实现二层转发功能。
2. 配置基于接口的MAC地址学习限制,控制接入用户数量。
操作步骤
步骤1 创建VLAN 10和VLAN 20,并将接口GE1/0/1加入VLAN 10和VLAN 20
<HUAWEI> system-view
sysname Switch
vlan batch 10 20 //创建VLAN 10和VLAN 20
interface gigabitethernet 1/0/1
port link-type trunk //交换机之间的接口类型建议使用trunk
port trunk allow-pass vlan 10 20 //接口GE1/0/1加入VLAN 10和
VLAN 20
quit
步骤2 接口GE1/0/1配置MAC地址学习限制规则:最多可以学习100个MAC地址,超过最大
MAC地址学习数量的报文丢弃并进行告警提示
interface gigabitethernet 1/0/1
mac-limit maximum 100 action discard //各个版本对报文的默认处理动
作不一致,这里建议手动指定。告警默认都是打开的,可以不手动指定
quit
步骤3 验证配置结果
# 在任意视图下执行display mac-limit命令,查看MAC地址学习限制规则是否配置成
功。
display mac-limit
MAC limit is enabled
Total MAC limit rule count : 1
PORT VLAN/VSI SLOT Maximum Rate(ms) Action Alarm
----------------------------------------------------------------------------
GE1/0/1 - - 100 - discard enable
----结束
配置文件**** Hidden Message *****
/////// 谢谢分享!!! 谢谢分享 看看,谢谢
学习 谢谢分享 {:6_267:}{:6_267:}{:6_267:} 66666666666666666666 1111111111111111 华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:}
, ! {:6_295:}{:6_298:}{:6_299:}{:6_301:}
华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:}
, ! {:6_295:}{:6_298:}{:6_299:}{:6_301:}
华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:}
, ! {:6_295:}{:6_298:}{:6_299:}{:6_301:}
华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:}
, ! {:6_295:}{:6_298:}{:6_299:}{:6_301:}
华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:}
, ! {:6_295:}{:6_298:}{:6_299:}{:6_301:}
页:
[1]
2