Обзор
Коммутатор ограничивает количество записей MAC-адресов на основе VLAN или интерфейсов. В офисах, где клиенты редко меняются, вы можете настроить
ограничение MAC-адресов для контроля доступа пользователей. Это может защитить от некоторых атак. Например, если злоумышленник подделывает большое количество пакетов с разными исходными MAC-адресами и отправляет пакеты на устройство, конечные записи MAC-адреса в таблице MAC-адресов устройства могут быть исчерпаны. Когда таблица MAC-адресов заполнена, устройство не может распознать исходные MAC-адреса действительных пакетов. В результате устройство рассылает действительные пакеты, теряя ресурсы полосы пропускания.
Ограничение MAC-адресов на интерфейсе может использоваться в сценариях, где пользователи, подключенные к интерфейсу на малых и средних предприятиях, являются постоянными и редко меняются.
Примечания по конфигурации
- После того, как port-security enable настроено на интерфейсе, ограничение MAC- адресов не может быть сконфигурировано на интерфейсе.
- Этот пример применим ко всем версиям всех коммутаторов серии S.
Требования к сети
Как показано на схеме, пользовательская сеть 1 и пользовательская сеть 2 подключаются к коммутатору через SW, а GE1/0/1 коммутатора подключается к LSW. Пользовательская сеть 1 и пользовательская сеть 2 принадлежат VLAN 10 и VLAN 20 соответственно. На коммутаторе может быть настроено ограничение MAC-адресов на GE1/0/1 для управления количеством пользователей доступа.
Схема настройки
Схема настройки выглядит следующим образом:
1. Создайте VLAN и добавьте интерфейсы в VLAN для реализации пересылки второго уровня.
2. Настройте ограничение MAC-адреса на интерфейсе для управления количеством пользователей доступа.
Процедура
Шаг 1 Создайте VLAN 10 и VLAN 20 и добавьте GE1/0/1 к VLAN 10 и VLAN 20.
<HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan batch 10 20 //Создайте VLAN 10 и VLAN 20. [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type trunk //Настройте тип связи интерфейса как trunk. [Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 //Добавьте GE1/0/1 к VLAN 10 и VLAN 20. [Switch-GigabitEthernet1/0/1] quit
Шаг 2 Настройте на коммутаторе распознавание максимум 100 записей MAC-адреса на GE1/0/1. Когда количество распознанных записей MAC-адреса достигает предела, коммутатор отбрасывает пакеты с новыми записями исходных MAC-адресов и генерирует аварийный сигнал.
[Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] mac-limit maximum 100 action discard // Действие по умолчанию для пакетов в разных версиях отличается. Рекомендуется вручную указать действие. Функция будильника включена по умолчанию, поэтому не нужно указывать ее вручную. [Switch-GigabitEthernet1/0/1] quit
Шаг 3 Проверьте конфигурацию.
# Запустить команду display mac-limit в любом виде, чтобы проверить, настроено ли правило ограничения MAC-адресов.
[Switch] display mac-limit MAC limit is enabled Total MAC limit rule count : 1 PORT VLAN/VSI SLOT Maximum Rate(ms) Action Alarm ---------------------------------------------------------------------------- GE1/0/1 - - 100 - discard enable