![b98f4c338679762f20d04f0c5d244229.png](https://i-blog.csdnimg.cn/blog_migrate/a8706708f6ec7b9378fb52f054f0983d.jpeg)
组网需求
如网络拓扑及IP地址规划所示,交换机Switch收到一个非法用户的访问,非法用户的MAC地址为5489-98C7-4B9F,所属VLAN为VLAN100。通过指定该MAC地址为黑洞MAC,实现非法用户的过滤
网络拓扑及IP地址规划
![27ac84759ba2014a7a08903cee4cc586.png](https://i-blog.csdnimg.cn/blog_migrate/8421f5e9846e3b856d10445b018b9731.png)
合法用户配置
![d4bb7ee69fc75075a5e60bc8715ee0d8.png](https://i-blog.csdnimg.cn/blog_migrate/f23ec461f40d9c95c9357f10a9d6d810.png)
非法用户配置
![85702602c05f3b8e8bbb6c9e786933dc.png](https://i-blog.csdnimg.cn/blog_migrate/79e21c0b73f27cbbbadae3588a6d9a2e.png)
Server1配置
![514c5ded147a17309b93bd84ed330d96.png](https://i-blog.csdnimg.cn/blog_migrate/09654cf58f981f262af0dc404c618bf9.png)
配置思路
采用如下的思路配置MAC表:
1. 创建VLAN,实现二层转发功能。
2. 添加黑洞MAC表,防止MAC地址攻击。
操作步骤1创建VLAN,实现二层转发功能。
# 创建VLAN100,将接口GigabitEthernet0/0/1至GigabitEthernet0/0/3加入VLAN100。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan 100
[Switch-vlan100] quit
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 100
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 100
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 100
[Switch-GigabitEthernet0/0/3] quit
注:未配置黑洞MAC的前提下
合法用户可以ping通server1
![463aa0826760c9b35f25aebcb3b63c31.png](https://i-blog.csdnimg.cn/blog_migrate/a27b9f09ff9e697960842c3f29324382.png)
非法用户可以ping通Server1
![f73aa6c5aeeb7c01633cfc7c3f711ab5.png](https://i-blog.csdnimg.cn/blog_migrate/b1f999750e23fa35b2406aa30fd65c16.png)
操作步骤2通过指定该MAC地址为黑洞MAC,实现非法用户的过滤。
# 添加黑洞MAC地址表项。
[Switch] mac-address blackhole 5489-98c7-4b9f vlan 100
验证配置结果
# 在任意视图下执行display mac-address blackhole命令,查看黑洞MAC表是否添加成功。
![2f12196052804c3c61ed21a08ffa7302.png](https://i-blog.csdnimg.cn/blog_migrate/f7252d59841a7c48887bfefeccdf4a69.png)
把非法用户添加到黑洞MAC后,再次ping测试结果如下:
合法用户
![a9d392d9e6126f97a3e131a8ad9a1f7d.png](https://i-blog.csdnimg.cn/blog_migrate/927561b17f5196108a38b6deb91db785.png)
非法用户
![9345ec8ead4c117bf03736865edb81ee.png](https://i-blog.csdnimg.cn/blog_migrate/0479c6fcd41127845209a9872a0aafe1.png)
PS:黑洞MAC可以实现非法用户的过滤,起到网络安全保护的作用。
每台设备的MAC地址全球唯一。
配置文件
Switch的配置文件
#
sysname Switch
#
vlan batch 100
#
interface GigabitEthernet0/0/1
description To_hefayonghu
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/2
description To_feifayonghu
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/3
description To_Server1
port link-type access
port default vlan 100
#
mac-address blackhole 5489-98c7-4b9f vlan 100
#
return