评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置MAC表示例
通过本示例,了解静态MAC地址表项以及动态MAC表项老化时间的配置方法。
组网需求
某公司内部网络中的用户较固定,而且连接重要的服务器,为了防止黑客攻击设备或服务器,可以在设备上配置静态MAC地址。同时,设备会通过源MAC地址学习过程而自动建立动态MAC地址表项,随着网络拓扑的不断变化,设备将会学习到越来越多的MAC地址。为了避免MAC地址表项爆炸式增长,可配置动态MAC表项的老化时间,及时删除MAC地址表中的废弃MAC地址表项。
如图2-4所示,用户主机PC1的MAC地址为00e0-fc12-3458,用户主机PC2的MAC地址为0003-0003-0003,通过LSW连接CE。CE连接LSW的接口为interface1,该接口所属VLAN为VLAN2。Server服务器的MAC地址为00e0-fc12-3457,连接CE的接口为interface2,该接口所属VLAN为VLAN2。
为防止MAC地址攻击,在CE的MAC表中为各用户主机添加一条静态表项,同时配置CE的动态MAC表项老化时间为500s。
为防止黑客防冒Server的MAC地址窃取重要的用户信息,在CE上配置静态MAC地址转发功能。
配置思路
采用如下的思路配置MAC表:
创建VLAN,并将接口加入到VLAN中。
添加静态MAC表,使携带特定目的MAC地址的报文由指定接口转发,可以防止设备不受伪造MAC地址攻击。
配置动态MAC表的老化时间,避免MAC地址表项爆炸式增长。
数据准备
为完成此配置例,需准备的数据:
PC1的MAC地址。
PC2的MAC地址。
Server的MAC地址。
CE所属VLAN的VLAN ID。
CE与LSW相连的接口号。
CE与Server相连的接口号。
CE的动态MAC表项老化时间。
操作步骤
- 添加静态MAC地址表项
# 创建VLAN2,将接口GE0/1/1、GE0/2/1加入VLAN2。
<HUAWEI> system-view[~HUAWEI] sysname CE
[*HUAWEI] commit
[~CE] vlan 2[*CE-vlan2] quit[*CE] interface gigabitethernet 0/1/1
[*CE-GigabitEthernet0/1/1] undo shutdown
[*CE-GigabitEthernet0/1/1] portswitch
[*CE-GigabitEthernet0/1/1] port default vlan 2
[*CE-GigabitEthernet0/1/1] quit
[*CE] interface gigabitethernet 0/2/1
[*CE-GigabitEthernet0/2/1] undo shutdown
[*CE-GigabitEthernet0/2/1] portswitch
[*CE-GigabitEthernet0/2/1] port default vlan 2
[*CE-GigabitEthernet0/2/1] quit
# 添加静态MAC地址表项。
[*CE] mac-address static 2-2-2 gigabitethernet 0/1/1 vlan 2
[*CE] mac-address static 3-3-3 gigabitethernet 0/1/1 vlan 2
[*CE] mac-address static 4-4-4 gigabitethernet 0/2/1 vlan 2
- 配置动态表项老化时间
[*CE] mac-address aging-time 500[*CE] commit - 验证配置结果
# 在任意视图下执行display mac-address命令,查看静态MAC表是否添加成功。
[~CE] display mac-address static vlan 2MAC address table of slot 0: ------------------------------------------------------------------------------- MAC Address VLAN/BD/ PEVLAN CEVLAN Port Type LSP/LSR-ID VSI/SI/EVPN MAC-Tunnel ------------------------------------------------------------------------------- 00e0-fc12-3458 2 - - GE0/1/1 static - 00e0-fc12-3456 2 - - GE0/1/1 static - 00e0-fc12-3457 2 - - GE0/2/1 static - ------------------------------------------------------------------------------- Total matching items on slot 0 displayed = 3
# 在任意视图下执行display mac-address aging-time命令,查看动态表项老化时间是否配置成功。
[*CE] display mac-address aging-timeAging time: 500 second(s)
CE的配置文件
# sysname CE # vlan batch 2 # mac-address aging-time 500 # interface GigabitEthernet0/1/1 portswitch undo shutdown port default vlan 2 # interface GigabitEthernet0/2/1 portswitch undo shutdown port default vlan 2 # mac-address static 00e0-fc12-3458 GigabitEthernet0/1/1 vlan 2 mac-address static 00e0-fc12-3456 GigabitEthernet0/1/1 vlan 2 mac-address static 00e0-fc12-3457 GigabitEthernet0/2/1 vlan 2 # return
