HCL模拟器实验:配置基于接口的MAC地址学习限制
HCL模拟器实验:配置基于接口的MAC地址学习限制
MAC地址学习限制是网络设备中一项重要的安全功能,通过限制设备学习的MAC地址数量,可以有效防止MAC地址表资源耗尽,提高网络安全性。本文将通过HCL模拟器实验,详细介绍如何配置基于接口和基于VLAN的MAC地址学习限制。
前言
通过配置MAC地址学习数,可以控制用户的接入数,从而防止黑客对MAC地址的攻击。这种限制可以通过基于接口和基于VLAN(华为设备)两种方式进行配置。
一、背景情况
一些安全性较差的网络容易受到黑客的MAC地址攻击,由于MAC地址表的容量是有限的,当黑客伪造大量源MAC地址不同的报文并发送给路由器后,路由器的MAC表项资源就可能被耗尽。当MAC表被填满后,即使它再收到正常的报文,也无法学习到报文中的源MAC地址。
配置限制MAC地址学习数,当超过限制数时不再学习MAC地址,同时可以配置当MAC地址数达到限制后对报文采取的动作,从而防止MAC地址表资源耗尽,提高网络安全性。
二、实验过程
1.基于接口的MAC地址学习限制
实验内容
用户PC1 和用户PC2 通过SW1与SW2相连,SW2连接SW1的接口为GE1/0/1。用户PC1 和用户PC2 分别属于VLAN10和VLAN20。在SW2上,为了控制接入用户数量,可以基于接口GE1/0/1配置MAC地址学习限制功能。
网络拓扑
交换机配置
SW1配置:
// vlan配置
<H3C>sys
[H3C]sysname SW1
[SW1]vlan 10
[SW1-vlan10]quit
// 接口1/0/2配置
[SW1]interface GigabitEthernet 1/0/2
[SW1-GigabitEthernet1/0/2]port link-type access
[SW1-GigabitEthernet1/0/2]port access vlan 10
[SW1-GigabitEthernet1/0/2]interface GigabitEthernet 1/0/3
[SW1-GigabitEthernet1/0/3]port link-type access
[SW1-GigabitEthernet1/0/3]quit
// 接口1/0/3配置
[SW1]vlan 20
[SW1-vlan20]interface GigabitEthernet 1/0/3
[SW1-GigabitEthernet1/0/3]port access vlan 20
[SW1-GigabitEthernet1/0/3]quit
// 接口1/0/1配置
[SW1]interface GigabitEthernet 1/0/1
[SW1-GigabitEthernet1/0/1]port link-type trunk
[SW1-GigabitEthernet1/0/1]quit
[SW1]save force
SW2配置:
<H3C>sys
[H3C]sysname SW2
[SW2]vlan 10
[SW2-vlan10]quit
[SW2]vlan 20
[SW2-vlan20]quit
[SW2]interface GigabitEthernet 1/0/1
[SW2-GigabitEthernet1/0/1]port link-type trunk
[SW2-GigabitEthernet1/0/1]port trunk permit vlan 10 20
[SW2-GigabitEthernet1/0/1]mac-address max-mac-count 5
[SW2-GigabitEthernet1/0/1]quit
[SW2]save force
实验结果
SW2查询接口1/0/1配置
2.基于VLAN的MAC地址学习限制
注:本实验中采用的是H3C虚拟设备,不支持基于VLAN的MAC地址学习限制。华为设备可尝试如下实验内容。
实验内容
用户PC3通过SW3与Switch相连,Switch的接口为GE1/0/1。用户PC4通过SW4与Switch相连,Switch的接口为GE1/0/2。GE1/0/1、GE1/0/2同属于VLAN2。为控制接入用户数,对VLAN2进行MAC地址学习的限制。
网络拓扑
总结
通过配置接口的MAC地址数学习上限,用户可以控制设备维护的MAC地址表的表项数量。如果MAC地址表过于庞大,可能导致设备的转发性能下降。当接口学习到的MAC地址数达到上限时,该接口将不再对MAC地址进行学习。