Пример настройки ограничения MAC-адресов в VLAN

Последний ответ дек 13, 2019 10:11:00 96 1 0 0

Обзор

Коммутатор ограничивает количество записей MAC-адресов на основе VLAN или интерфейсов. В офисах, где клиенты редко меняются, вы можете настроить

ограничение MAC-адресов для контроля доступа пользователей. Это может защитить от некоторых атак. Например, если злоумышленник подделывает большое количество пакетов с разными исходными MAC-адресами и отправляет пакеты на устройство, в итоге доступное число MAC-записей в таблице MAC-адресов устройства могут быть исчерпаны. Когда таблица MAC-адресов заполнена, устройство не может распознать исходные MAC-адреса действительных пакетов. В результате устройство рассылает действительные пакеты, теряя ресурсы полосы пропускания.

Ограничение MAC-адресов в VLAN может ограничить количество записей MAC-адресов на нескольких интерфейсах в VLAN.

Примечания по конфигурации

- После того, как команда port-security enable настроена на интерфейсе, ограничение MAC-адреса не действует на интерфейсе. Не настраивайте защиту порта и ограничение MAC-адреса на одном и том же интерфейсе одновременно.

- Этот пример применим ко всем версиям всех коммутаторов серии S.

- После того, как количество распознанных MAC-адресов достигнет предела, платы SA серии S и платы серии F устройств шасси и корпусных устройств (кроме S5720EI) не могут отбрасывать пакеты с несуществующими исходными MAC- адресами.

Требования к сети

Как показано на схеме пользовательская сеть 1 подключается к GE1/0/1 коммутатора через LSW1, пользовательская сеть 2 подключается к GE1/0/2 коммутатора через LSW2, а GE1/0/1 и GE1/0/2 принадлежат VLAN 2. Для того чтобы контролировать количество пользователей доступа, настройте ограничение MAC-адреса в VLAN 2.

1

Схема настройки

Схема настройки выглядит следующим образом:

1. Создайте VLAN и добавьте интерфейсы к VLAN для реализации пересылки второго уровня.

2. Настройте ограничение MAC-адресов в VLAN для предотвращения атак MAC- адресов и управления количеством пользователей доступа.

Процедура

 

Шаг 1 Создайте VLAN 2 и добавьте GE1/0/1 и GE1/0/2 к VLAN 2.

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 2
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk //Настройте тип связи интерфейса как trunk.
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 2 //Добавьте GE1/0/1 к VLAN 2.
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2 //Конфигурация GE1/0/2 аналогична конфигурации GE1/0/1.
[Switch-GigabitEthernet1/0/2] port link-type trunk
[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 2
[Switch-GigabitEthernet1/0/2] quit


Шаг 2 Настройте следующее правило ограничения MAC-адресов в VLAN 2: Можно распознать не более 100 MAC-адресов. Когда количество распознанных MAC-адресов достигает предела, устройство пересылает пакеты с новыми записями исходных MAC-адресов и генерирует аварийный сигнал.

[Switch] vlan 2
[Switch-vlan2] mac-limit maximum 100 action forward //Действие по умолчанию для пакетов в разных версиях отличается. Рекомендуется вручную настроить
действие. Функция включена по умолчанию.
[Switch-vlan2] quit

 

Шаг 3 Проверьте конфигурацию.

# Запустить команду display mac-limit в любом виде, чтобы проверить, успешно ли настроено правило ограничения MAC-адресов.

[Switch] display mac-limit
MAC limit is enabled
Total MAC limit rule count : 1
PORT VLAN/VSI SLOT Maximum Rate(ms) Action Alarm
----------------------------------------------------------------------------
- 2 - 100 - forward enable


  • x

user_2909167
Модератор Опубликовано 2019-12-13 10:11:00 Полезно(0) Полезно(0)

Файл конфигурации коммутатора

#
sysname Switch
#
vlan batch 2
#
vlan 2
mac-limit maximum 100 action forward
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 2
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 2
#
return


  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход