评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置MAC地址安全功能
MAC地址学习限制规则包括限制MAC地址学习的数量、MAC地址学习的速度和VSI中MAC地址超出限制后采取的动作。
背景信息
不可知帧是指VSI实例接收到数据帧后,无法在其MAC表中找到与该数据帧的目的地址相对应的表项。例如,目的地址是未知单播地址、广播地址或组播地址的数据帧。
PE(Provider Edge)对广播报文的处理方式不可更改:
如果PE收到本地用户发出的广播报文,它将向同一VPLS的所有其它AC接口以及同一VPLS的所有其他PE转发广播报文。
如果PE收到远端PE发来的广播报文,它只向同一VPLS的所有AC接口转发报文,不向其他PE转发。
PE收到超过流量的广播报文后,会丢弃超流量的广播报文。
在配置MAC地址学习限制前,如果VSI上有已经学习到的MAC地址,请使用系统视图下的reset mac-address命令清除这些MAC地址,否则会使MAC地址学习限制功能的数量限制不准确。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令vsi vsi-name [ static | auto ],进入VSI视图。
- 执行命令mac-limit { action { discard | forward } | maximum maxValue rate interval } *,配置VSI中的MAC地址学习限制规则。
当max和interval配置为0时,表示不对学习数量和学习速度进行限制。
配置MAC地址学习规则限制后,在学习MAC地址时设备进行检查,如果已经达到最大学习数目,则不学习MAC地址。
discard表示当MAC地址表项数目达到限制后,丢弃使用新MAC地址的报文。forward表示当MAC地址表项数目达到限制后,使用新MAC地址的报文被继续转发,但新MAC不加入MAC地址表。
- 执行命令unknown-frame { unicast { broadcast | drop [ mac-learning ] } | multicast { broadcast | drop } },指定VSI实例对单播或组播不可知帧的处理方式。
- 执行命令commit,提交配置。
