评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置基于VSI的MAC地址学习限制示例
配置基于VSI(Virtual Switching Instance)限制MAC地址学习数量,可以控制VSI内接入用户数量,当超过限制数量时不再学习MAC地址,还可以配置丢弃报文,防止MAC地址攻击,提高网络安全性。
组网需求
在一些安全性比较差的网络中,如小区用户、缺乏安全管理的网络中,容易受到黑客的MAC地址攻击。由于MAC表的容量是有限的,当黑客伪造大量源MAC地址不同的报文并发送给设备后,设备的MAC表就可能被填满,这样即使它再收到正常的报文,也无法学习到报文中的源MAC地址。
如图2-6所示,用户网络1通过S1接入VPLS网络,用户网络2通过S2接入VPLS网络。在VPLS网络中创建名称为huawei的VSI,为防止MAC地址攻击,控制接入用户数量,对该VSI进行MAC地址学习的限制。
操作步骤
- 创建VSI
# 创建名称为huawei的VSI。
<HUAWEI> system-view[~HUAWEI] sysname PE1
[*HUAWEI] commit
[~PE1] vsi huawei static - 在VSI上配置MAC地址学习限制
# 在VSI上配置MAC地址学习限制规则:最多可以学习300个MAC地址,超过最大MAC地址学习数量的报文直接丢弃。
[*PE1-vsi-huawei] mac-limit maximum 300 rate 100 action discard[*PE1-vsi-huawei] commit[~PE1-vsi-huawei] quit - 验证配置结果
在任意视图下执行display mac-limit命令,查看MAC地址学习限制规则是否配置成功。
[*PE1] display mac-limitMAC limit is enabled Total MAC limit rule count : 1 PORT VLAN/BD/VSI/EVPN SLOT Maximum Rate(ms) Action Alarm ---------------------------------------------------------------------------- - huawei - 300 100 discard disable
