评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
MAC地址管理
背景信息
交换机内有一张MAC地址表,简称MAC表。MAC表记录了交换机所学习到的其他设备的MAC地址、VLAN ID以及对应的出接口。在转发数据时,设备根据报文中的目的MAC地址和VLAN
ID查询MAC地址表,快速定位出接口,从而减少广播。可根据实际需要配置以下MAC地址类型或功能。
- 动态表项由接口通过源MAC地址学习获得,表项有老化时间。
- 静态表项由用户手工配置,表项不老化。参见配置静态用户。
- 黑洞表项用于丢弃含有特定源MAC地址或目的MAC地址的数据帧,由用户手工配置,表项不老化。参见配置黑洞MAC地址表项。
- 为了防止ARP地址欺骗攻击,可以配置ARP表项固化功能。参见配置ARP表项固化。
- 端口安全功能将设备端口学习到的MAC地址变为安全MAC地址,可以阻止除安全MAC和静态MAC之外的主机通过本接口和交换机通信,从而增强设备安全性。参见配置端口安全功能。
操作步骤
- 配置MAC/IP地址安全及动态MAC老化时间
- 在“动态MAC老化时间”输入框内配置动态MAC老化时间,单击“应用”生效。
说明:
动态MAC老化时间配置范围是0s,60s~1000000s;缺省老化时间是300s。
- 在“动态MAC老化时间”输入框内配置动态MAC老化时间,单击“应用”生效。
- 查询MAC地址表项
- 单击“MAC地址”页签,进入“MAC地址”界面,在接口选择区域选择需要查询的接口。如图5-87所示。
- 单击
,查询到的表项将显示在列表区域。
- 配置静态MAC
- 单击“新建静态MAC”,进入“新建静态MAC”界面,如图5-88所示。
- 新建静态安全MAC地址
- 删除MAC地址表项
- 依次单击菜单。
- 单击“MAC地址”页签,进入“MAC地址”界面,在接口选择区域选择需要配置的接口。如图5-87所示。
- 在MAC地址列表中选择需要删除的表项,单击“删除MAC”,系统提示是否确认删除。
- 单击“确定”,完成配置。
- 配置黑洞MAC地址表项
- 在MAC地址列表中选择需要配置的表项,单击“拉黑”,系统提示是否确认拉黑。
说明:
只有动态MAC地址支持拉黑。
动态MAC地址被拉黑后,需要勾选“选择所有接口”才会在MAC地址列表中显示。
- 在MAC地址列表中选择需要配置的表项,单击“拉黑”,系统提示是否确认拉黑。
- 配置ARP表项固化
- 在MAC地址列表中选择需要配置的表项,单击“固化”,系统提示是否确认固化。
说明:
只有动态MAC地址支持固化。
- 在MAC地址列表中选择需要配置的表项,单击“固化”,系统提示是否确认固化。
- 配置端口安全功能
- 选择需要配置的接口。如图5-90所示。
界面信息含义如表5-53所示。
表5-53 配置端口安全配置项
说明
取值
接口名称
-
-
接口安全
在对接入用户的安全性要求较高的网络中,可以配置端口安全功能,将接口学习到的MAC地址转换为安全动态MAC或Sticky MAC,接口学习的最大MAC数量达到上限后不再学习新的MAC地址,只允许这些MAC地址和设备通信。这样可以阻止其他非信任的MAC主机通过本接口和交换机通信,提高设备与网络的安全性。
取值有使能和去使能。
MAC限制数(1-4096)
配置接口的安全MAC地址学习最大数量。
取值范围是1~4096。
Sticky MAC
Sticky MAC不会被老化,保存配置后重启设备,Sticky MAC也不会丢失,无需重新学习。
取值有使能和去使能。
接口安全老化时间
配置端口安全动态MAC地址的老化时间。
取值范围是1~1440。
- 选择需要配置的接口。如图5-90所示。
- 配置MAC学习
- 单击“MAC学习”页签,进入“MAC学习”界面,在接口选择区域选择需要配置的接口。如图5-91所示。
- 查看MAC漂移信息
- 单击“MAC漂移信息”页签,进入“MAC漂移信息”界面。如图5-92所示。
,查询到的表项将显示在列表区域。
