评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)配置MFF安全
背景信息
在MFF组网中可能存在ARP Snooping学习的动态用户,通过伪造实际不存在用户的ARP请求报文,让设备学习到一些错误的用户信息,占用设备资源,从而影响正常用户的学习以及其他业务。
在这种情况下,可以配置关闭ARP Snooping用户的动态学习功能,让其不能学习到其他用户信息;或者配置VLAN内用户的最大用户数,限制通过ARP Snooping学习的动态用户数量,因为网络中DHCP用户或者静态配置用户数量是相对稳定的。
- MFF支持的用户有三种:通过DHCP Snooping学习的动态用户;通过配置静态绑定表学习的静态配置用户;通过ARP Snooping学习的动态用户。
- 配置关闭动态用户的学习功能的前提是MFF组网中存在通过DHCP Snooping学习的动态用户或通过配置静态绑定表学习的静态配置用户。
操作步骤
配置关闭动态用户学习:
执行命令system-view,进入系统视图。
执行命令vlan vlan-id,进入VLAN视图。
执行命令mac-forced-forwarding learning dynamic-user disable,关闭当前VLAN的动态用户学习功能。
缺省情况下,未关闭动态用户的学习功能。
执行命令commit,提交配置。
配置最大用户数:
执行命令system-view,进入系统视图。
执行命令vlan vlan-id,进入VLAN视图。
执行命令mac-forced-forwarding max-user max-user-number,配置VLAN中支持的最大用户数限制。
缺省情况下,未配置最大用户数。
执行命令commit,提交配置。
