【分享】交换机MAC典型配置之配置基于接口的MAC地址学习限制
发布作者:微思网络 发布时间:2022-08-24 浏览量:0次
交换机控制MAC地址学习数经常使用的方式有两种:基于VLAN限制MAC地址学习数和基于接口限制MAC地址学习数。在客户端不经常变动的办公场所中,通过限制MAC地址学习控制用户的接入,防止黑客伪造大量源MAC地址不同的报文发送到设备后,耗尽设备的MAC地址表项资源。当MAC地址表项资源满后,会导致正常MAC地址无法学习,报文进行广播转发,浪费带宽资源。 与基于VLAN限制MAC地址学习数相比,基于接口限制MAC地址学习数,在中小企业中各个接口下的用户数量都比较固定且很少变动时,比较适用。 接口上配置port-security enable后,mac-limit将无法配置。 本举例适用于S系列交换机所有产品的所有版本。 如图1所示,用户网络1和用户网络2通过LSW与Switch相连,Switch连接LSW的接口为GE1/0/1。用户网络1和用户网络2分别属于VLAN 10和VLAN 20。在Switch上,为了控制接入用户数量,可以基于接口GE1/0/1配置MAC地址学习限制功能。 采用如下的思路配置基于接口的MAC地址学习限制: 创建VLAN,并将接口加入到VLAN中,实现二层转发功能。 配置基于接口的MAC地址学习限制,控制接入用户数量。 创建VLAN 10和VLAN 20,并将接口GE1/0/1加入VLAN 10和VLAN 20 接口GE1/0/1配置MAC地址学习限制规则:最多可以学习100个MAC地址,超过最大MAC地址学习数量的报文丢弃并进行告警提示 验证配置结果 <HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20 //创建VLAN 10和VLAN 20
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk //交换机之间的接口类型建议使用trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 //接口GE1/0/1加入VLAN 10和VLAN 20
[Switch-GigabitEthernet1/0/1] qui[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] mac-limit maximum 100 action discard //各个版本对报文的默认处理动作不一致,这里建议手动指定。告警默认都是打开的,可以不手动指定
[Switch-GigabitEthernet1/0/1] qui# 在任意视图下执行display mac-limit命令,查看MAC地址学习限制规则是否配置成功。
[Switch] display mac-limit
MAC limit is enabled
Total MAC limit rule count : 1
PORT VLAN/VSI SLOT Maximum Rate(ms) Action Alarm
----------------------------------------------------------
GE1/0/1 - - 100 - discard enable
