• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SOHO交换机 典型配置举例(Comware V5)-6W102

04-MAC地址表典型配置举例

本章节下载 04-MAC地址表典型配置举例  (177.14 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S5110/S5110/Configure/Typical_Configuration_Example/H3C_SOHO_CE(Comware_V5)-6W102/201809/1107279_30005_0.htm

04-MAC地址表典型配置举例


1  MAC地址表典型配置举例

1.1  简介

本章介绍了单播的静态、动态和黑洞MAC地址表项的典型应用场景和配置举例。

1.2  MAC地址表典型配置举例

1.2.1  组网需求

图1所示,在某一网络的交换机Switch上连接有文件服务器Server、网管服务器NMS(Network Management Server)及用户网络。Server、NMS和用户网络都在VLAN 10中。

现要求:

·     配置Server的MAC为静态MAC地址表项,使用户发往服务器的报文只从GigabitEthernet1/0/2单播发送出去;

·     配置NMS的MAC为静态MAC地址表项,并要求连接NMS的端口GigabitEthernet1/0/10仅允许这台NMS接入,其他主机无法通过此端口通信;

·     连接用户网络的端口GigabitEthernet1/0/5通过源MAC地址学习自动建立用户网络的MAC地址表项;

·     在网络运行一段时间后,有黑客利用用户网络中的一台主机Host A生成大量源MAC地址不同的报文,使Switch上生成大量MAC地址表项,需要尽快防止黑客的这种攻击。

图1 MAC地址表组网示意图

 

 

1.2.2  配置思路

·     为了使端口GigabitEthernet1/0/10只转发来自NMS的报文,配置GigabitEthernet1/0/10最多可以学习到的MAC地址数为0。端口配置最多可以学习到的MAC地址数后,当端口收到源MAC地址不在MAC地址表里的报文会进行丢弃。

·     对于非法用户使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽的攻击,可以通过关闭端口的MAC地址学习功能来防止这种攻击。

1.2.3  配置注意事项

配置黑洞MAC地址表项后,源MAC地址或目的MAC地址匹配黑洞MAC地址的报文都会被丢弃。

1.2.4  配置步骤

# 创建VLAN10,并将GigabitEthernet1/0/2、GigabitEthernet1/0/5、GigabitEthernet1/0/10端口加入VLAN10。

<Switch> system-view

[Switch] vlan 10

[Switch-vlan10] port GigabitEthernet1/0/2 GigabitEthernet1/0/5 GigabitEthernet1/0/10

[Switch-vlan10] quit

# 添加服务器的MAC地址,使交换机始终通过端口GigabitEthernet1/0/2单播发送去往服务器的报文。

[Switch] mac-address static 000f-e20f-dc71 interface GigabitEthernet 1/0/2 vlan 10

# 配置端口GigabitEthernet1/0/10最大MAC学习数为0并手工添加NMS的静态MAC表项,实现GigabitEthernet1/0/10端口只能转发源地址为NMS的报文,保证其他主机无法通过此端口通信。

[Switch] interface GigabitEthernet 1/0/10

[Switch-GigabitEthernet1/0/10] mac-address max-mac-count 0

[Switch-GigabitEthernet1/0/10] mac-address static 0014-222c-aa69 vlan 10

# 在发现黑客的攻击行为后可以先立刻关闭GigabitEthernet 1/0/5的MAC地址学习功能。关闭端口的MAC地址学习功能后,为了防止网络中广播报文占用太多资源,配置端口允许接收的最大广播流量占该接口传输能力50%。

[Switch] interface GigabitEthernet 1/0/5

[Switch-GigabitEthernet1/0/5] mac-address max-mac-count 0

[Switch-GigabitEthernet1/0/5] broadcast-suppression 50

[Switch-GigabitEthernet1/0/5]quit

# 在定位出黑客是使用Host A发动攻击后,将Host A的MAC配置为黑洞MAC地址表项,Switch收到源MAC或目的MAC是Host A的MAC的报文时会丢弃该报文。

[Switch] mac-address blackhole 00a0-fc00-583c vlan 10

# 在解除黑客的攻击行为后应该开启GigabitEthernet 1/0/5的MAC地址学习功能,否则网络中会有大量广播报文。关闭端口广播风暴抑制功能。

[Switch] interface GigabitEthernet 1/0/5

[Switch-GigabitEthernet1/0/5] undo mac-address max-mac-count

[Switch-GigabitEthernet1/0/5] undo broadcast-suppression

1.2.5  验证配置

# 查看MAC地址表配置。

[Switch] display mac-address

MAC ADDR          VLAN ID   STATE            PORT INDEX             AGING TIME(s)

00a0-fc00-583c    10        Blackhole        N/A                    NOAGED

000f-e20f-dc71    10        Config static    GigabitEthernet1/0/2   NOAGED

0014-222c-aa69    10        Config static    GigabitEthernet1/0/10  NOAGED

00e0-fc5e-b1fb    10        Learned          GigabitEthernet1/0/5   AGING

00e0-fc55-f116    10        Learned          GigabitEthernet1/0/5   AGING

0000-fc00-7507    10        Learned          GigabitEthernet1/0/5   AGING

0023-8927-aff0    10        Learned          GigabitEthernet1/0/5   AGING

0023-8927-b003    10        Learned          GigabitEthernet1/0/5   AGING

  ---  8 mac address(es) found  ---

1.2.6  配置文件

#

vlan 10

#

interface GigabitEthernet1/0/2

 port access vlan 10

 mac-address static 000f-e20f-dc71 vlan 10

#

interface GigabitEthernet1/0/5

 port access vlan 10

#

interface GigabitEthernet1/0/10

 port access vlan 10

 mac-address max-mac-count 0

 mac-address static 0014-222c-aa69 vlan 10

#

 mac-address blackhole 00a0-fc00-583c vlan 10

#

1.3  MAC Information典型配置举例

1.3.1  组网需求

图2所示,Device的GigabitEthernet1/0/10端口连接用户网络,GigabitEthernet1/0/1端口连接日志主机。现要求在Device上配置MAC Information功能实现:

·     通过监控加入和离开网络的MAC地址对用户进行监控,将MAC变化信息发送到日志主机;

·     配置Device通过Syslog发送MAC变化信息;

·     为了防止过多的Syslog信息干扰用户,配置Device发送Syslog的时间间隔为300秒。

图2 MAC Information典型配置组网图

 

 

1.3.2  配置注意事项

·     使用MAC Information功能时,需要用户在系统视图和端口视图下同时使能MAC Information功能。

·     设备仅记录和发送通过源MAC地址学习自动生成的MAC地址、通过MAC地址认证的MAC地址、通过802.1X认证的MAC地址、Voice VLAN匹配的OUI MAC地址,以及安全MAC地址。对黑洞MAC地址、静态MAC地址、用户配置的动态MAC地址、组播MAC地址和本机MAC地址不进行记录和发送。

1.3.3  配置步骤

(1)     配置MAC Information功能

# 全局开启MAC Information功能。

<Device> system-view

[Device] mac-address information enable

# 配置MAC Information工作模式为Syslog方式。

[Device] mac-address information mode syslog

# 开启端口GigabitEthernet1/0/10的MAC Information功能。

[Device] interface gigabitethernet 1/0/10

[Device-GigabitEthernet1/0/10] mac-address information enable added

[Device-GigabitEthernet1/0/10] mac-address information enable deleted

[Device-GigabitEthernet1/0/10] quit

# 配置MAC Information发送时间间隔为300秒。

[Device] mac-address information interval 300

(2)     配置Device将Syslog信息发送到日志主机(请确保Device和日志主机之间路由可达)。

# 开启信息中心。

[Device] info-center enable

# 配置发送日志信息到IP地址为192.168.0.9的日志主机。

[Device] info-center loghost 192.168.0.9

# 配置输出规则:允许MAC模块、等级高于等于informational的Log信息输出到日志主机。

[Device] info-center source mac channel loghost log level informational state on

(3)     在指定的日志主机上运行能够接收日志信息的应用程序。请根据日志主机的操作系统类型搜索和使用可用的应用程序。

1.3.4  验证配置

请根据信息中心配置的输出方向查看是否能正确的接收和显示MAC Information信息。

在本举例中,192.168.0.9主机上“tftpd32”工具可接收日志信息,配置上述命令后,该工具显示的日志信息如图3所示:

图3 日志主机上的MAC Information信息

 

1.3.5  配置文件

#

 mac-address information enable

 mac-address information interval 300

 mac-address information mode syslog

#

 info-center enable

 info-center source mac channel loghost log level informational state on

 info-center loghost 192.168.0.9

#

interface GigabitEthernet1/0/10

 

 mac-address information enable added

 mac-address information enable deleted

#

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们