评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置基于VLAN的MAC地址学习限制示例
配置基于VLAN限制MAC地址学习数量,可以控制VLAN内接入用户数量,当超过限制数量时不再学习MAC地址,还可以配置丢弃报文和发送告警动作,防止MAC地址攻击,提高网络安全性。
组网需求
在一些安全性比较差的网络中,如小区用户、缺乏安全管理的网络中,容易受到黑客的MAC地址攻击。由于MAC表的容量是有限的,当黑客伪造大量源MAC地址不同的报文并发送给设备后,设备的MAC表就可能被填满,这样即使它再收到正常的报文,也无法学习到报文中的源MAC地址。
如图2-5所示,用户网络1通过S1与CE相连,连接CE的接口为interface1。用户网络2通过S2与CE相连,连接CE的接口为interface2。interface1、interface2属于VLAN2。为防止MAC地址攻击,控制接入用户数量,对VLAN2进行MAC地址学习的限制。
操作步骤
- 配置MAC地址学习限制
# 将GE0/1/1、GE0/2/1加入VLAN2。
<HUAWEI> system-view[~HUAWEI] sysname CE
[*HUAWEI] commit
[~CE] vlan 2[*CE-vlan2] quit[*CE] interface gigabitethernet 0/1/1
[*CE-GigabitEthernet0/1/1] undo shutdown
[*CE-GigabitEthernet0/1/1] portswitch
[*CE-GigabitEthernet0/1/1] port link-type trunk
[*CE-GigabitEthernet0/1/1] port trunk allow-pass vlan 2
[*CE-GigabitEthernet0/1/1] quit
[*CE] interface gigabitethernet 0/2/1
[*CE-GigabitEthernet0/2/1] undo shutdown
[*CE-GigabitEthernet0/2/1] portswitch
[*CE-GigabitEthernet0/2/1] port link-type trunk
[*CE-GigabitEthernet0/2/1] port trunk allow-pass vlan 2
[*CE-GigabitEthernet0/2/1] quit
# 在VLAN2上配置MAC地址学习限制规则:最多可以学习100个MAC地址,超过最大MAC地址学习数量的报文继续转发但不加入MAC地址表。
[*CE] vlan 2[*CE-vlan2] mac-limit maximum 100 rate 50 action forward
[*CE-vlan2] commit[~CE-vlan2] quit - 验证配置结果
在任意视图下执行display mac-limit命令,查看MAC地址学习限制规则是否配置成功。
[*CE] display mac-limitMAC limit is enabled Total MAC limit rule count : 1 PORT VLAN/BD/VSI SLOT Maximum Rate(ms) Action Alarm ---------------------------------------------------------------------------- - 2 - 100 50 forward disable
配置文件
# sysname CE # vlan batch 2 # vlan 2 mac-limit maximum 100 rate 50 action forward # interface GigabitEthernet0/1/1 portswitch undo shutdown port link-type trunk port trunk allow-pass vlan 2 # interface GigabitEthernet0/2/1 portswitch undo shutdown port link-type trunk port trunk allow-pass vlan 2 # return
