【交换机MAC典型配置】配置基于VLAN的MAC地址学习限制
组网图形
基于VLAN限制MAC地址学习简介
交换机控制MAC地址学习数经常使用的方式有两种:基于VLAN限制MAC地址学习数和基于接口限制MAC地址学习数。在客户端不经常变动的办公场所中,通过限制MAC地址学习控制用户的接入,防止黑客伪造大量源MAC地址不同的报文发送到设备后,耗尽设备的MAC地址表项资源。当MAC地址表项资源满后,会导致正常MAC地址无法学习,报文进行广播转发,浪费带宽资源。
与基于接口限制MAC地址学习数相比,基于VLAN限制MAC地址限制数,是以VLAN为维度,一个VLAN内有多个接口需要限制MAC地址学习数时,不需要分别配置。
配置注意事项
接口上配置port-security enable后,mac-limit将无法生效,建议不要同时配置端口安全和MAC地址学习限制功能。
本举例适用于S系列交换机所有产品的所有版本。
框式设备E3S系列、E3L系列、S系列中的SA单板和F系列接口板以及盒式设备(除S5720-EI外),在MAC地址表项达到指定限制数后,不支持丢弃源MAC地址不存在的报文。
组网需求
如图1所示,用户网络1通过LSW1与Switch相连,Switch的接口为GE1/0/1。用户网络2通过LSW2与Switch相连,Switch的接口为GE1/0/2。GE1/0/1、GE1/0/2同属于VLAN 2。为控制接入用户数,对VLAN 2进行MAC地址学习限制。
配置思路
采用如下的思路配置基于VLAN的MAC地址学习限制:
创建VLAN,并将接口加入到VLAN中,实现二层转发功能。
配置VLAN的MAC地址学习限制,防止MAC地址攻击,控制接入用户数量。
操作步骤
1. 创建VLAN 2,并将接口GE1/0/1和GE1/0/2加入VLAN 2
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 2
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk //交换机之间的接口类型建议使用trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 2 //接口GE1/0/1加入VLAN 2
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2 //接口GE1/0/2的配置方法和接口GE1/0/1相同
[Switch-GigabitEthernet1/0/2] port link-type trunk
[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 2
[Switch-GigabitEthernet1/0/2] qui
2.在VLAN 2上配置MAC地址学习限制规则:最多可以学习100个MAC地址,超过最大MAC地址学习数量的报文继续转发并进行告警提示
[Switch] vlan 2
[Switch-vlan2] mac-limit maximum 100 action forward //各个版本对报文的默认处理动作不一致,这里建议手动指定(对于盒式交换机,仅S5720-EI支持在VLAN视图下配置action参数,其他款型盒式交换机VLAN视图下默认处理动作即为forward,无需配置action参数)。告警功能默认都是打开的,可以不手动指定
[Switch-vlan2] qui
3.验证配置结果
# 在任意视图下执行display mac-limit命令,查看MAC地址学习限制规则是否配置成功。
[Switch] display mac-limit
MAC limit is enabled
Total MAC limit rule count : 1PORT VLAN/VSI SLOT Maximum Rate(ms) Action Alarm
---------------------------------------------------------------
- 2 - 100 - forward enable
配置文件
Switch的配置文件。
#
sysname Switch
#
vlan batch 2
#
vlan 2mac-limit maximum 100 action forward
#
interface GigabitEthernet1/0/1port link-type trunk port trunk allow-pass vlan 2
#
interface GigabitEthernet1/0/2port link-type trunk port trunk allow-pass vlan 2
#
retur
【交换机MAC典型配置】配置基于VLAN的MAC地址学习限制相关推荐
- microsoft excel 正在等待其他某个应用程序_浅谈应该购买英特尔Mac还是等待购买基于Arm的Mac...
苹果在今年的全球开发者大会上宣布,打算从2020年末开始从英特尔处理器过渡到由自己的苹果硅芯片提供支持的Mac.苹果表示,通过使用自己的基于Arm的处理器,它将能够制造出更好的Mac.这将带来更好的性 ...
- 玩转华为ENSP模拟器系列 | 配置基于VLAN的二层协议透明传输示例
素材来源:华为路由器配置指南 一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_ensp实验大全 组 ...
- 华为交换机5700网络模式 配置 ip电话
任性都是在"山炮"行为下发生的 公司传统的电话还是传统的座机电话,于是"牛犊子"出了个点子.来掩饰本来在公司的不作为,生命在于折腾,一点都不假,于是在公司总部的 ...
- 【计算机网络】(2)网络传输介质+交换机的基本原理与配置+vlan+trunk
目录 一.网络传输介质 1.1 双绞线(网线) 1.1.1 双绞线的连接规范: 1.1.2 标准网线和交叉线 1.1.3 制作双绞线跳线 1.2 光纤 二.交换机的基本原理与配置 2.1 数据链路层 ...
- 交换机高级特性简介:MUX VLAN、端口隔离功能、端口安全功能简单原理与配置
文章目录 MUX VLAN MUX VLAN应用场景 MUX VLAN基本概念 实验配置 配置命令 端口隔离 端口隔离基本概念 实验配置 配置命令 端口安全(Port Security) 端口安全基本 ...
- rrpp协议如何修改_H3C 中低端以太网交换机 可靠性典型配置指导-6W100
1RRPP典型配置指导(支持保护VLAN) 为了兼容不支持保护VLAN配置的RRPP版本,在使用旧版本配置文件启动设备后,RRPP域保护所有的VLAN. 城域网和企业网大多采用环网来构建以提高可靠性, ...
- HCIA/HCIP使用eNSP模拟HCIA综合实验(Telnet Trunk VLAN DHCP STP OSPF PPP 缺省路由 NAT ACL 与 路由器 交换机 服务器的综合配置)
使用eNSP模拟HCIA综合实验 Telnet Trunk VLAN DHCP STP OSPF PPP 缺省路由 NAT ACL 与 路由器 交换机 服务器的综合配置 实验配套拓扑:HCIA Com ...
- 交换机接口trunk的配置和vlan的划分
交换机接口trunk的配置和vlan的划分 试验目的:了解交换机接口的trunk的配置和vlan的划分 试验环境:如下图所示的拓扑图 我们要实现pc1和pc3在一个vlan2上,pc2和pc4在一个v ...
- 计算机网络实验(思科模拟器Cisco Packet Tracer)——交换机配置以及虚拟局域网VLAN
目录 前言 实验一 实验二 总结 前言 本次实验将使用思科模拟器Cisco Packet Tracer来完成交换机配置以及虚拟局域网的实验,将通过几个例子来讲述. 实验一 例.有交换机Switch_2 ...
最新文章
- LeetCode——Rotate Image(二维数组顺时针旋转90度)
- 1月末周中国五大顶级域名总量增3.4万 美国增3.3万
- AndroidStudio_ListView
- 通过 Service 访问 Pod - 每天5分钟玩转 Docker 容器技术(136)
- Dell笔记本双系统安装(Ubuntu 16.04)
- Java知多少(66)输入输出(IO)和流的概述
- mysql服务2013错误_错误2013(HY000):在“读取授权数据包”时丢失与MySQL服务器的连接,系统错误:0...
- 洛谷P4593 [TJOI2018]教科书般的亵渎 【数学】
- idea创建jsp项目与JDBC连接数据库
- 单循环比赛的贝格尔编排法
- Linux是怎么来的?终于有一篇文章讲清楚了
- C语言|控制台小游戏|打飞机(基础功能版)
- 第1章 Cookie模拟登录(1.1 模拟登录的原理)
- 关于归并排序时间复杂度 T(n) =2T(n/2)+O(n)
- 重读DRRN(深度递归残差网络)
- 关于评审--从思想到落地
- CString用法大全
- Unity 之 Profiler概述
- 一般3d模型代做多少钱_代做su模型一般怎么收费
- Conway(康威)定律