- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
08-MAC地址表典型配置举例
本章节下载: 08-MAC地址表典型配置举例 (180.02 KB)
目 录
本章介绍了单播的静态、动态和黑洞MAC地址表项的典型应用场景和配置举例。
表1 配置适用的产品与软件版本关系
|
产品 |
软件版本 |
|
S5830V2&S5820V2系列以太网交换机 |
Release2208P01,Release2210 |
如图1所示,在某一网络的交换机Switch上连接有文件服务器Server、网管服务器NMS(Network Management Server)及用户网络。Server、NMS和用户网络都在VLAN 10中。
现要求:
· 配置Server的MAC为静态MAC地址表项,使用户发往服务器的报文只从Ten-GigabitEthernet1/0/2单播发送出去;
· 配置NMS的MAC为静态MAC地址表项,并要求连接NMS的端口Ten-GigabitEthernet1/0/10仅允许这台NMS接入,其他主机无法通过此端口通信;
· 连接用户网络的端口Ten-GigabitEthernet1/0/5通过源MAC地址学习自动建立用户网络的MAC地址表项;
· 在网络运行一段时间后,有黑客利用用户网络中的一台主机Host A生成大量源MAC地址不同的报文,使Switch上生成大量MAC地址表项,需要尽快防止黑客的这种攻击。
图1 MAC地址表组网示意图
· 为了使端口Ten-GigabitEthernet1/0/10只转发来自NMS的报文,配置Ten-GigabitEthernet1/0/10最多可以学习到的MAC地址数为0。端口配置最多可以学习到的MAC地址数后,当端口收到源MAC地址不在MAC地址表里的报文会进行丢弃。
· 对于非法用户使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽的攻击,可以通过关闭端口的MAC地址学习功能来防止这种攻击。
配置黑洞MAC地址表项后,源MAC地址或目的MAC地址匹配黑洞MAC地址的报文都会被丢弃。
# 创建VLAN10,并将端口Ten-GigabitEthernet1/0/2、Ten-GigabitEthernet1/0/5、Ten-GigabitEthernet1/0/10加入VLAN10。
<Switch> system-view
[Switch] vlan 10
[Switch-vlan10] port Ten-GigabitEthernet1/0/2 Ten-GigabitEthernet1/0/5 Ten-GigabitEthernet1/0/10
[Switch-vlan10] quit
# 添加服务器的MAC地址,使交换机始终通过端口Ten-GigabitEthernet1/0/2单播发送去往服务器的报文。
[Switch] mac-address static 000f-e20f-dc71 interface Ten-GigabitEthernet 1/0/2 vlan 10
# 配置端口Ten-GigabitEthernet1/0/10最大MAC学习数为0并手工添加NMS的静态MAC表项,实现Ten-GigabitEthernet1/0/10端口只能转发源地址为NMS的报文,保证其他主机无法通过此端口通信。
[Switch] interface Ten-GigabitEthernet 1/0/10
[Switch-Ten-GigabitEthernet1/0/10] mac-address max-mac-count 0
[Switch-Ten-GigabitEthernet1/0/10] mac-address static 0014-222c-aa69 vlan 10
# 在发现黑客的攻击行为后可以先立刻关闭Ten-GigabitEthernet 1/0/5的MAC地址学习功能。关闭端口的MAC地址学习功能后,为了防止网络中广播报文占用太多资源,配置端口允许接收的最大广播流量占该接口传输能力50%。
[Switch] interface Ten-GigabitEthernet 1/0/5
[Switch-Ten-GigabitEthernet1/0/5] undo mac-address mac-learning enable
[Switch-Ten-GigabitEthernet1/0/5] broadcast-suppression 50
[Switch-Ten-GigabitEthernet1/0/5] quit
# 在定位出黑客是使用Host A发动攻击后,将Host A的MAC配置为黑洞MAC地址表项,Switch收到源MAC或目的MAC是Host A的MAC的报文时会丢弃该报文。
[Switch] mac-address blackhole 00a0-fc00-583c vlan 10
# 在解除黑客的攻击行为后应该开启Ten-GigabitEthernet 1/0/5的MAC地址学习功能,否则网络中会有大量广播报文。关闭端口广播风暴抑制功能。
[Switch] interface Ten-GigabitEthernet 1/0/5
[Switch-Ten-GigabitEthernet1/0/5] mac-address mac-learning enable
[Switch-Ten-GigabitEthernet1/0/5] undo broadcast-suppression
[Switch-Ten-GigabitEthernet1/0/5] quit
# 查看MAC地址表配置。
[Switch] display mac-address
MAC Address VLAN ID State Port/NickName Aging
00a0-fc00-583c 10 Blackhole N/A N
000f-e20f-dc71 10 static XGE 1/0/2 N
0014-222c-aa69 10 static XGE 1/0/10 N
00e0-fc5e-b1fb 10 Learned XGE 1/0/5 A
00e0-fc55-f116 10 Learned XGE 1/0/5 A
0000-fc00-7507 10 Learned XGE 1/0/5 A
0023-8927-aff0 10 Learned XGE 1/0/5 A
0023-8927-b003 10 Learned XGE 1/0/5 A
--- 8 mac address(es) found ---
#
vlan 10
#
interface Ten-GigabitEthernet1/0/2
port access vlan 10
mac-address static 000f-e20f-dc71 vlan 10
#
interface Ten-GigabitEthernet1/0/5
port access vlan 10
#
interface Ten-GigabitEthernet1/0/10
port access vlan 10
mac-address max-mac-count 0
mac-address static 0014-222c-aa69 vlan 10
#
mac-address blackhole 00a0-fc00-583c vlan 10
#
表2 配置适用的产品与软件版本关系
|
产品 |
软件版本 |
|
S5830V2&S5820V2系列以太网交换机 |
Release2208P01,Release2210 |
如图2所示,Device的Ten-GigabitEthernet1/0/10端口连接用户网络,Ten-GigabitEthernet1/0/1端口连接日志主机。现要求在Device上配置MAC Information功能实现:
· 通过监控加入和离开网络的MAC地址对用户进行监控,将MAC变化信息发送到日志主机;
· 配置Device通过Syslog发送MAC变化信息;
· 为了防止过多的Syslog信息干扰用户,配置Device发送Syslog的时间间隔为300秒。
图2 MAC Information典型配置组网图
· 使用MAC Information功能时,需要用户在系统视图和端口视图下同时使能MAC Information功能。
· 设备仅记录和发送动态MAC地址、通过MAC地址认证的MAC地址、通过802.1X认证的MAC地址、以及安全MAC地址。对黑洞MAC地址、静态MAC地址、组播MAC地址和本机MAC地址不进行记录和发送。
(1) 配置MAC Information功能
# 全局开启MAC Information功能。
<Device> system-view
[Device] mac-address information enable
# 配置MAC Information工作模式为Syslog方式。
[Device] mac-address information mode syslog
# 开启端口Ten-GigabitEthernet1/0/10的MAC Information功能。
[Device] interface ten-gigabitethernet 1/0/10
[Device-Ten-GigabitEthernet1/0/10] mac-address information enable added
[Device-Ten-GigabitEthernet1/0/10] mac-address information enable deleted
[Device-Ten-GigabitEthernet1/0/10] quit
# 配置MAC Information发送时间间隔为300秒
[Device] mac-address information interval 300
(2) 配置Device将Syslog信息发送到日志主机(请确保Device和日志主机之间路由可达)。
# 开启信息中心(缺省情况下,信息中心处于开启状态)。
[Device] info-center enable
# 配置发送日志信息到IP地址为192.168.0.9的日志主机。
[Device] info-center loghost 192.168.0.9
# 配置输出规则:允许MAC模块、等级高于等于informational的Log信息输出到日志主机。
[Device] info-center source mac loghost level informational
(3) 在指定的日志主机上运行能够接收日志信息的应用程序。请根据日志主机的操作系统类型搜索和使用可用的应用程序。
请根据信息中心配置的输出方向查看是否能正确的接收和显示MAC Information信息。
在本举例中,192.168.0.9主机上“tftpd32”工具可接收日志信息,配置上述命令后,该工具显示的日志信息如图3所示:
#
mac-address information interval 300
mac-address information mode syslog
mac-address information enable
#
info-center loghost 192.168.0.9
info-center source MAC loghost level informational
#
interface Ten-GigabitEthernet1/0/10
mac-address information enable added
mac-address information enable deleted
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
