Пример настройки статических MAC-записей

Последний ответ дек 17, 2019 09:36:07 157 6 1 1

 

Обзор

Записи MAC-адреса автоматически генерируются, когда коммутатор распознает исходные MAC-адреса пакетов. Статические записи MAC-адресов настраиваются вручную.

Администратор сети вручную добавляет записи MAC-адресов авторизованных пользователей в таблицу MAC-адресов. Статические записи MAC-адресов часто используются, чтобы неавторизованные пользователи не могли перехватывать данные авторизованных пользователей.

Если большое количество статических записей MAC-адресов настроено вручную, обслуживание сети может быть затруднено. Вы можете включить защиту порта для динамической привязки MAC-адресов к интерфейсам.

Примечания по конфигурации

Этот пример применим ко всем версиям всех коммутаторов серии S.

Требования к сети

Как показано на схеме, сервер подключается к коммутатору через GE1/0/2. Чтобы коммутатор не мог передавать широковещательные пакеты, предназначенные для сервера, на коммутаторе должна быть настроена статическая запись MAC-адреса сервера. Это гарантирует, что сервер одноадресно передает пакеты, предназначенные для сервера, через GE1/0/2. MAC-адрес ПК статически привязан к GE1/0/1, чтобы обеспечить безопасную связь между ПК и сервером.

1

Схема настройки

Схема настройки выглядит следующим образом:

1. Создайте VLAN на коммутаторе и добавьте интерфейс к VLAN для реализации связи второго уровня.

2. Настройте статическую запись MAC-адреса сервера на коммутаторе.

3. Настройте статическую запись MAC-адреса ПК на коммутаторе.

Процедура

Шаг 1 Создайте VLAN 2 на коммутаторе и добавьте GE1/0/1 и GE1/0/2 к VLAN 2.

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 2 //Создайте VLAN 2.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access //Интерфейс, подключенный к ПК, должен быть интерфейсом доступа. Тип связи по умолчанию интерфейса не является доступом, поэтому необходимо вручную настроить интерфейс доступа.
[Switch-GigabitEthernet1/0/1] port default vlan 2 //Добавьте GE1/0/1 к VLAN 
2. [Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2 //Конфигурация GE1/0/2 аналогична
конфигурации GE1/0/1.
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 2
[Switch-GigabitEthernet1/0/2] quit

 

Шаг 2 Настройте статическую запись MAC-адреса сервера на коммутаторе.

[Switch] mac-address static 4-4-4 gigabitethernet 1/0/2 vlan 2

 

Шаг 3 Настройте статическую запись MAC-адреса ПК на коммутаторе.

[Switch] mac-address static 2-2-2 gigabitethernet 1/0/1 vlan 2

 

Шаг 4 Проверьте конфигурацию.

# Запустить команду display mac-address static vlan 2 в любом виде, чтобы проверить, были ли статические записи MAC-адресов успешно добавлены в таблицу MAC- адресов.

[Switch] display mac-address static vlan 2
-------------------------------------------------------------------------------
MAC Address VLAN/VSI Learned-From Type
-------------------------------------------------------------------------------
0002-0002-0002 2/- GE1/0/1 static
0004-0004-0004 2/- GE1/0/2 static
-------------------------------------------------------------------------------
Total items displayed = 2


  • x

user_2909167
Модератор Опубликовано 2019-12-12 09:39:19 Полезно(0) Полезно(0)

 

Файл конфигурации коммутатора

#
sysname Switch
#
vlan batch 2
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 2
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 2
#
mac-address static 0002-0002-0002 GigabitEthernet1/0/1 vlan 2
mac-address static 0004-0004-0004 GigabitEthernet1/0/2 vlan 2
#
return

  • x

artemrus38
Опубликовано 2019-12-15 12:02:39 Полезно(0) Полезно(0)
Добрый день!
Подскажите, в примере, почему нельзя было использовать защиту от несанкционированного доступа, команду на интерфейсе port-security mac-address sticky H-H-H vlan ...?
  • x

user_2909167
Модератор Опубликовано 2019-12-16 10:37:41 Полезно(0) Полезно(0)
Здравствуйте, artemrus38
Можно использовать и port-security mac-address sticky и статические МАСи. =)
Вот пример описывающий и этот метод:
https://forum.huawei.com/enterprise/ru/пример-настройки-безопасности-порта/thread/588894-100131
  • x

artemrus38
artemrus38 Опубликовано 2019-12-17 03:38
Добрый день! Спасибо за ответ. Но подскажите пожалуйста еще один момент, при каких условиях должна срабатывать команда port-security aging-time? У меня, например, она на порту не работает.  
user_2909167
Модератор Опубликовано 2019-12-17 09:36:07 Полезно(0) Полезно(0)
  • x

artemrus38
artemrus38 Опубликовано 2019-12-17 17:22
Огромное спасибо за информацию. Теперь понятно, почему у меня мак не обновлялся, потому, как он является у меня изученным.  

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход