#MAC 表配置

MAC 表配置

用户主机 PC1的 MAC地址为 0002-0002-0002 ，用户主机 PC2的 MAC地址为0003-0003-0003 ，通过 LSW连接 Switch 。连接 Switch 的接口为 GigabitEthernet0/0/1 ，该接口所属 VLAN为 VLAN2。Server 服务器的 MAC地址为 0004-0004-0004 ，连接 Switch 的接口为 GigabitEthernet0/0/2 ，该接口所属 VLAN为 VLAN2.
为防止 MAC地址攻击，在 Switch 的 MAC表中为该用户主机添加一条静态表项。 Switch通过出接口 GigabitEthernet0/0/1 发送报文时将 VLAN更改为 LSW所属的 VLAN4，
同时配置 Switch 的动态 MAC表项老化时间为 500s。为防止假冒 Server 的 MAC地址窃取重要用户信息，在 Switch 上配置静态 MAC地址转发功能。

配置思路
采用如下的思路配置 MAC表：
创建 VLAN，并将接口加入到 VLAN中。
添加静态 MAC表。
配置动态 MAC表的老化时间。
数据准备
为完成此配置例，需准备如下的数据：
PC1的 MAC地址为 0002-0002-0002 。
PC2的 MAC地址为 0003-0003-0003 。
Server 的 MAC地址为 0004-0004-0004 。
Switch 所属 VLAN为 VLAN2。
与 LSW相连的 Switch 的接口为 GigabitEthernet0/0/1 。
与 Server 相连的 Switch 的接口为 GigabitEthernet0/0/2 。
通过出接口发送报文时需要更改的 VLAN为 VLAN4。
Switch 的动态 MAC表项老化时间为 500s。
操作步骤
添加静态 MAC地址表项
创建 VLAN2，将接口 GigabitEthernet0/0/1 、GigabitEthernet0/0/2 加入VLAN2，并配置接口 GigabitEthernet0/0/1 的 VLAN Mapping 功能。
system-view
[Quidway] vlan 2
[Quidway-vlan2] quit
[Quidway] interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] port hybrid pvid vlan 2
[Quidway-GigabitEthernet0/0/1] port hybrid untagged vlan 2
[Quidway-GigabitEthernet0/0/1] qinq vlan-translation enable
[Quidway-GigabitEthernet0/0/1] port vlan-mapping vlan 4 map-vlan 2
[Quidway-GigabitEthernet0/0/1] quit
[Quidway] interface gigabitethernet 0/0/2
[Quidway-GigabitEthernet0/0/2] port hybrid pvid vlan 2
[Quidway-GigabitEthernet0/0/2] port hybrid untagged vlan 2
[Quidway-GigabitEthernet0/0/2] quit
配置静态 MAC地址表项。
[Quidway] mac-address static 2-2-2 gigabitethernet 0/0/1 vlan 2
[Quidway] mac-address static 3-3-3 gigabitethernet 0/0/1 vlan 2
[Quidway] mac-address static 4-4-4 gigabitethernet 0/0/2 vlan 2
配置动态表项老化时间
[Quidway] mac-address aging-time 500
验证配置结果
在任意视图下执行 display mac-address static 命令，查看静态 MAC表是否添加成功。
在任意视图下执行 display mac-address aging-time 命令，查看动态表项老化时间是否配置成功。

配置基于 VLAN 的 MAC 地址学习限制

用户网络 1 通过 LSW与 Switch 相连，连接 Switch 的接口为
GigabitEthernet0/0/1 。用户网络 2 通过 LSW与 Switch 相连，连接 Switch 的接口为GigabitEthernet0/0/2 。GigabitEthernet0/0/1 、GigabitEthernet0/0/2 属于 VLAN2。为防止 MAC地址攻击，控制接入用户数量，对 VLAN2进行 MAC地址学习的限制。

配置思路
采用如下的思路配置基于 VLAN的 MAC地址学习限制：
创建 VLAN，并将接口加入到 VLAN中。
配置 VLAN的 MAC地址学习限制。
数据准备
为完成此配置例，需准备如下的数据：
接口所属 VLAN为 VLAN2。
用户接口为 GigabitEthernet0/0/1 、GigabitEthernet0/0/2 。
最大 MAC地址学习数量为 100。
操作步骤
配置 MAC地址学习限制
将 GigabitEthernet0/0/1 、GigabitEthernet0/0/2 加入 VLAN2。
system-view
[Quidway] vlan 2
[Quidway –vlan2] quit
[Quidway] interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] port hybrid pvid vlan 2
[Quidway-GigabitEthernet0/0/1] port hybrid untagged vlan 2
[Quidway-GigabitEthernet0/0/1] quit
[Quidway] interface gigabitethernet 0/0/2
[Quidway-GigabitEthernet0/0/2] port hybrid pvid vlan 2
[Quidway-GigabitEthernet0/0/2] port hybrid untagged vlan 2
[Quidway-GigabitEthernet0/0/2] quit
在 VLAN2上配置 MAC地址学习限制规则：最多可以学习 100 个 MAC地址，超过
最大 MAC地址学习数量的报文继续转发但不加入 MAC地址表，并进行告警提示。
[Quidway] vlan 2
[Quidway-vlan2] mac-limit maximum 100 alarm enable
[Quidway-vlan2] quit
验证配置结果
#在任意视图下执行 display mac-limit 命令，查看 MAC地址学习限制规则是否配置成功。

配置接口安全

公司为了提高信息安全，将 Switch 连接员工 PC侧的接口使能了接口安全
功能，并且设置了接口学习 MAC地址数的上限为信任的设备总数， 这样其他外来人员使用自己带来的 PC无法访问公司的网络。

配置思路
采用如下的思路配置接口安全：
创建 VLAN，并配置接口的链路类型为 Trunk 。
使能接口安全功能。
使能接口 Sticky MAC 功能。
配置接口安全功能的保护动作。
配置接口 MAC地址学习限制数。

数据准备
为完成此配置例，需准备如下的数据：
接口允许通过的 VLAN编号。
Switch 连接 PC的接口类型和编号。
接口安全功能的保护动作。
接口 MAC地址学习限制数。
操作步骤
创建 VLAN，并配置接口的链路类型
system-view
[Quidway] vlan 10
[Quidway-vlan10] quit
[Quidway] interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] port link-type trunk
[Quidway-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
配置接口安全功能
使能接口安全功能。
[Quidway-GigabitEthernet0/0/1] port-security enable
使能接口 Sticky MAC 功能。
[Quidway-GigabitEthernet0/0/1] port-security mac-address sticky
配置接口安全功能的保护动作。
[Quidway-GigabitEthernet0/0/1] port-security protect-action protect
配置接口 MAC地址学习限制数。
[Quidway-GigabitEthernet0/0/1] port-security max-mac-num 4
其他接口如需使能接口安全功能，请重复上述配置。
验证配置结果
将 PC1换成其他设备，无法访问公司网络。

配置 MAC 防漂移

可用于提高公司服务器或重要用户的安全性，防止被非法用户攻击。
仅 S5710EI 和 S5700HI 支持 MAC地址防漂移。
组网需求
某企业网络中， 员工用户需要访问企业的服务器。 由于在企业网中很难控制接入用户的行为，如果某些非法用户从其他接口假冒服务器的 MAC地址发送报文， 则服务器的 MAC地址将在其他接口学习到， 不仅会导致用户与服务器不能正常通信， 还会导致一些重要用户信息被窃取。
为了提高服务器安全性，防止被非法用户攻击，可配置 MAC防漂移功能。

配置思路
采用如下的思路配置 MAC防漂移：
创建 VLAN,并将接口加入到 VLAN中。
在服务器连接的接口上配置 MAC防漂移功能。
数据准备
为完成此配置例，需准备如下的数据：
接口所属 VLAN为 VLAN10。
服务器侧接口： GigabitEthernet 0/0/1
用户侧接口： GigabitEthernet 0/0/2
连接服务器接口的 MAC地址学习优先级为 2。
操作步骤
创建 VLAN,并将接口加入到 VLAN中。
将 GigabitEthernet0/0/1 、GigabitEthernet0/0/2 加入 VLAN10。
system-view
[Quidway] vlan 10
[Quidway –vlan10] quit
[Quidway] interface gigabitethernet 0/0/2
[Quidway-GigabitEthernet0/0/2] port link-type trunk
[Quidway-GigabitEthernet0/0/2] port trunk allow-pass vlan 10
[Quidway-GigabitEthernet0/0/2] quit
[Quidway] interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] port hybrid pvid vlan 10
[Quidway-GigabitEthernet0/0/1] port hybrid untagged vlan 10
在 GigabitEthernet0/0/1 上配置 MAC地址学习的优先级为 2。
[Quidway-GigabitEthernet0/0/1] mac-learning priority 2
验证配置结果
在任意视图下执行 display current-configuration 命令，查看接口 MAC地址
学习的优先级配置是否正确。

配置全局 MAC 漂移检测

网络中两台 LSW间网线误接形成了网络环路， 引起 MAC地址发生漂移、 MAC地址表震荡。
在 Switch 上配置全局 MAC漂移检测功能。

配置思路
采用如下思路配置全局 MAC漂移检测功能：
开启全局 MAC漂移检测功能。
配置 MAC漂移表项的老化时间。
配置接口 MAC漂移后的处理动作。
数据准备
为完成此配置例，需准备如下的数据：
MAC漂移表项的老化时间： 500 秒
配置 MAC漂移处理动作的接口类型与接口编号： GE0/0/1 、GE0/0/2
发生 MAC漂移后被 Shutdown 接口的自动恢复时间： 500 秒
开启全局 MAC漂移检测功能
system-view
[Quidway] mac-address flapping detection
配置 MAC漂移表项的老化时间
[Quidway] mac-address flapping aging-time 500
配置 GE0/0/1 、 GE0/0/2 接口 MAC漂移后 Shutdown
[Quidway] interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] mac-address flapping action error-down
[Quidway-GigabitEthernet0/0/1] quit
[Quidway] interface gigabitethernet 0/0/2
[Quidway-GigabitEthernet0/0/2] mac-address flapping action error-down
[ Quidway-GigabitEthernet0/0/2] quit
配置被 Shutdown 接口的自动恢复功能、自动恢复时间
[ Quidway] error-down auto-recovery cause mac-address-flapping interval 500
检查配置结果
配置完成后，当接口 GE0/0/1 的 MAC地址漂移到接口 GE0/0/2 后，接口 GE0/0/2自动 shutdown ；使用 display mac-address flapping record 可查看到漂移记录。