日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
MAC地址表安全,如何確保你的網(wǎng)絡(luò)環(huán)境不受攻擊?

什么MAC地址表

MAC地址表(Media Access Control Address Table)是一個(gè)存儲(chǔ)網(wǎng)絡(luò)設(shè)備中MAC地址(媒體訪問(wèn)控制地址)與相關(guān)設(shè)備的映射關(guān)系的數(shù)據(jù)庫(kù)。MAC地址是網(wǎng)絡(luò)設(shè)備的唯一標(biāo)識(shí)符,用于在局域網(wǎng)中唯一標(biāo)識(shí)每個(gè)設(shè)備。

創(chuàng)新互聯(lián)建站專(zhuān)注于敘永企業(yè)網(wǎng)站建設(shè),成都響應(yīng)式網(wǎng)站建設(shè)公司,購(gòu)物商城網(wǎng)站建設(shè)。敘永網(wǎng)站建設(shè)公司,為敘永等地區(qū)提供建站服務(wù)。全流程按需開(kāi)發(fā),專(zhuān)業(yè)設(shè)計(jì),全程項(xiàng)目跟蹤,創(chuàng)新互聯(lián)建站專(zhuān)業(yè)和態(tài)度為您提供的服務(wù)

MAC地址表的主要作用如下:

  • MAC地址表記錄了交換機(jī)學(xué)習(xí)到的MAC地址與接口的對(duì)應(yīng)關(guān)系,以及接口所屬VLAN等信息。
  • 設(shè)備在執(zhí)行二層交換操作時(shí),根據(jù)報(bào)文的目的MAC地址查詢(xún)MAC地址表,如果MAC地址表中包含與報(bào)文目的MAC地址對(duì)應(yīng)的表項(xiàng),并且收到該報(bào)文的接口與對(duì)應(yīng)的表項(xiàng)的接口不相同時(shí),則直接通過(guò)該表項(xiàng)中的出接口轉(zhuǎn)發(fā)該報(bào)文;如果相同,則丟棄該報(bào)文。
  • 如果MAC地址表中沒(méi)有包含報(bào)文目的MAC地址對(duì)應(yīng)的表項(xiàng)時(shí),設(shè)備將采取廣播方式在所屬VLAN內(nèi)除接收接口外的所有接口轉(zhuǎn)發(fā)該報(bào)文。

MAC地址表項(xiàng)類(lèi)型

(1) 動(dòng)態(tài)MAC地址表項(xiàng)

由接口通過(guò)報(bào)文中的源MAC地址學(xué)習(xí)獲得,表項(xiàng)可老化。在系統(tǒng)復(fù)位、接口板熱插拔或接口板復(fù)位后,動(dòng)態(tài)表項(xiàng)會(huì)丟失。

(2) 靜態(tài)MAC地址表項(xiàng)

由用戶(hù)手工配置并下發(fā)到各接口板,表項(xiàng)不老化。在系統(tǒng)復(fù)位、接口板熱插拔或接口板復(fù)位后,保存的表項(xiàng)不會(huì)丟失。接口和MAC地址靜態(tài)綁定后,其他接口收到源MAC是該MAC地址的報(bào)文將會(huì)被丟棄。

(3) 黑洞MAC地址表項(xiàng)

由用戶(hù)手工配置,并下發(fā)到各接口板,表項(xiàng)不可老化。配置黑洞MAC地址后,源MAC地址或目的MAC地址是該MAC的報(bào)文將會(huì)被丟棄。

MAC地址表安全功能

MAC地址表項(xiàng)配置

(1) 配置靜態(tài)MAC表項(xiàng)

[Huawei] mac-address static mac-address interface-type interface-number vlan vlan-id

指定的VLAN必須已經(jīng)創(chuàng)建并且已經(jīng)加入綁定的端口;指定的MAC地址,必須是單播MAC地址,不能是組播和廣播MAC地址。

(2) 配置黑洞MAC表項(xiàng)

[Huawei] mac-address blackhole mac-address [ vlan vlan-id ]

(3) 配置動(dòng)態(tài)MAC表項(xiàng)的老化時(shí)間

[Huawei] mac-address aging-time aging-time

禁止MAC地址學(xué)習(xí)功能

(1) 關(guān)閉基于接口的MAC地址學(xué)習(xí)功能

[Huawei-GigabitEthernet0/0/1] mac-address learning disable [ action { discard | forward } ]

缺省情況下,接口的MAC地址學(xué)習(xí)功能是使能的:

  • 關(guān)閉MAC地址學(xué)習(xí)功能的缺省動(dòng)作為forward,即對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)。
  • 當(dāng)配置動(dòng)作為discard時(shí),會(huì)對(duì)報(bào)文的源MAC地址進(jìn)行匹配,當(dāng)接口和MAC地址與MAC地址表項(xiàng)匹配時(shí),則對(duì)該報(bào)文進(jìn)行轉(zhuǎn)發(fā)。當(dāng)接口和MAC地址與MAC地址表項(xiàng)不匹配時(shí),則丟棄該報(bào)文。

(2) 關(guān)閉基于VLAN的MAC地址學(xué)習(xí)功能

[Huawei-vlan2] mac-address learning disable

缺省情況下,VLAN的MAC地址學(xué)習(xí)功能是使能的。 當(dāng)同時(shí)配置基于接口和基于VLAN的禁止MAC地址學(xué)習(xí)功能時(shí),基于VLAN的優(yōu)先級(jí)要高于基于接口的優(yōu)先級(jí)配置。

限制MAC地址學(xué)習(xí)數(shù)量

(1)配置基于接口限制MAC地址學(xué)習(xí)數(shù)

[Huawei-GigabitEthernet0/0/1] mac-limit maximum max-num

缺省情況下,不限制MAC地址學(xué)習(xí)數(shù)。

(2) 配置當(dāng)MAC地址數(shù)達(dá)到限制后,對(duì)報(bào)文應(yīng)采取的動(dòng)作

Huawei-GigabitEthernet0/0/1] mac-limit action { discard | forward }
Huawei-GigabitEthernet0/0/1] mac-limit action { discard | forward }

配置當(dāng)MAC地址數(shù)達(dá)到限制后是否進(jìn)行告警

[Huawei-GigabitEthernet0/0/1] mac-limit alarm { disable | enable }

缺省情況下,對(duì)超過(guò)MAC地址學(xué)習(xí)數(shù)限制的報(bào)文進(jìn)行告警。

(3) 配置基于VLAN限制MAC地址學(xué)習(xí)數(shù)

[Huawei-GigabitEthernet0/0/1] mac-limit alarm { disable | enable }

(4) 缺省情況下,不限制MAC地址學(xué)習(xí)數(shù)

[Huawei-vlan2] mac-limit maximum max-num

缺省情況下,不限制MAC地址學(xué)習(xí)數(shù)。

MAC地址表安全配置舉例

圖片

實(shí)驗(yàn)要求:

  • 網(wǎng)絡(luò)拓?fù)浠九渲靡淹瓿桑脩?hù)網(wǎng)絡(luò)1屬于VLAN 10,用戶(hù)網(wǎng)絡(luò)2屬于VLAN 20。
  • 在Switch3上配置禁止學(xué)習(xí)來(lái)自用戶(hù)網(wǎng)絡(luò)1的MAC地址。
  • 在Switch3上配置限制用戶(hù)網(wǎng)絡(luò)2的MAC地址學(xué)習(xí)數(shù)量。

Switch3的配置如下:

  • 配置方式一:在接口視圖下配置
# 在接口GE0/0/1上配置禁止MAC地址學(xué)習(xí)
[Switch3-GigabitEthernet0/0/1] mac-address learning disable action discard
#在接口GE0/0/2上配置限制MAC地址學(xué)習(xí)數(shù)量,超過(guò)閾值策略及告警
[Switch3-GigabitEthernet0/0/2] mac-limit maximum 100 
[Switch3-GigabitEthernet0/0/2] mac-limit alarm enable
[Switch3-GigabitEthernet0/0/2] mac-limit action discard
  • 配置方式二:在VLAN視圖下配置
# 在VLAN 10上配置禁止MAC地址學(xué)習(xí)
[Switch3-vlan10] mac-address learning disable
#在VLAN 20上配置限制MAC地址學(xué)習(xí)數(shù)量與告警
[Switch3-vlan20] mac-limit maximum 100 alarm enable

配置驗(yàn)證

執(zhí)行display mac-limit命令,查看MAC地址學(xué)習(xí)限制規(guī)則是否配置成功。

[Switch3]display mac-limit 
MAC Limit is enabled
Total MAC Limit rule count : 2

PORT                 VLAN/VSI/SI      SLOT  Maximum  Rate(ms)   	Action    	Alarm   
----------------------------------------------------------------------------
GE0/0/2              -              	  -    	100     -        	forward     enable  
-                    20               -    	100     -       forward   	enable
  • GE0/0/2 :基于接口的MAC地址學(xué)習(xí)限制
  • 20: 基于VLAN的MAC地址學(xué)習(xí)限制

當(dāng)前文章:MAC地址表安全,如何確保你的網(wǎng)絡(luò)環(huán)境不受攻擊?
鏈接地址:http://m.5511xx.com/article/cdshish.html