求助 静态mac地址表和Sticky MAC如何使用

jimodabaitu

有个事请教下高人：
我所负责的网络片区状况比较混乱 ，arp攻击严重，也有私接小路由器的，我对所有信任用户的mac地址进行了统计，现在要实现的几个步骤：
1、如何让登记在册的用户mac地址（200多个）正常联网，杜绝未登记的mac地址接入网络
2、如何杜绝小路由器、小交换机的接入
我的设备是华为s2300 版本号（Version V100R005C01SPC100）  
有那位高人指点下 交换机如何配置


我看了下 资料 几种方式可以实现：
1、创建静态MAC 表、
2、使用端口Sticky MAC
这两种方案 那个好一点  啊  请高人 指点一下 另外能附上一些案例配置否？感激不尽

jimodabaitu

期待高人 出现

★ヽ若笔流年

使用 Port Security feature 防范MAC/CAM攻击

　　思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻击。通过配置 Port Security 可以控制：

　　? 端口上最大可以通过的 MAC 地址数量

　　? 端口上学习或通过哪些 MAC 地址

　　? 对于超过规定数量的 MAC 处理进行违背处理

　　端口上学习或通过哪些 MAC 地址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口 MAC ，直到指定的 MAC 地址数量，交换机关机后重新学习。目前较新的技术是 Sticky Port Security ，交换机将学到的 mac 地址写到端口配置中，交换机重启后配置仍然存在。

　　对于超过规定数量的 MAC 处理进行处理一般有三种方式（针对交换机型号会有所不同）：

　　? Shutdown 。这种方式保护能力最强，但是对于一些情况可能会为管理带来麻烦，如某台设备中了病毒，病毒间断性伪造源 MAC 在网络中发送报文。

　　? Protect 。丢弃非法流量，不报警。

　　? Restrict 。丢弃非法流量，报警，对比上面会是交换机 CPU 利用率上升但是不影响交换机的正常使用。推荐使用这种方式。

配置

port-security 配置选项：

Switch(config-if)# switchport port-security ?

aging Port-security aging commands

mac-address Secure mac address

maximum Max secure addresses

violation Security violation mode

启用port-security，配置 port-security静态mac地址、 最大 mac 数目和违背处理方式，恢复方法

Cat4507(config)#int fastEthernet 3/48

Cat4507 (config-if)#switchport port-security

Cat4507 (config-if)#switchport port-security maximum 2

Cat4507 (config-if)#switchport port-security  mac-address 0002.0002.0001 vlan 20

Cat4507 (config-if)#switchport port-security violation shutdown

Cat4507 (config)#errdisable recovery cause psecure-violation

Cat4507 (config)#errdisable recovery interval 30

通过配置 sticky port-security学得的MAC

interface FastEthernet3/29

switchport mode access

switchport port-security

switchport port-security maximum 5

switchport port-security violation shutdown   

switchport port-security mac-address sticky  

★ヽ若笔流年

这是思科的，华为的应该差不多吧！

serven

谢谢楼上……

jimodabaitu

谢谢3楼  ★ヽ若笔流年
虽然是cisco的配置      但配置思想应该是一样的 用在华为上 只是命令不同而已   一种是通过mac的静态列表来实现 另外一种是用Sticky MAC接口学习到的动态MAC 地址转换成静态MAC 地址
呵呵 华为的配置命令我也找了一些 大家参考下 有什么高见大家交流一下 （以下配置摘自华为s2300典型配置举例）：

---

配置MAC表组网示例：
组网需求如图1所示，用户主机PC1的MAC地址为0002-0002-0002，用户主机PC2的MAC地址为0003-0003-0003，通过LSW连接Switch。连接Switch的接口为Ethernet0/0/1，该接口所属VLAN为VLAN2。Server服务器的MAC地址为0004-0004-0004，连接Switch的接口为Ethernet0/0/2，该接口所属VLAN为VLAN2。

为防止MAC地址攻击，在Switch的MAC表中为该用户主机添加一条静态表项。Switch通过出接口Ethernet0/0/1发送报文时将VLAN更改为LSW所属的VLAN4，同时配置Switch的动态MAC表项老化时间为500s。

为防止假冒Server的MAC地址窃取重要用户信息，在Switch上配置静态MAC地址转发功能。

图1 配置MAC表组网图




配置思路
采用如下的思路配置MAC表：

创建VLAN，并将接口加入到VLAN中。

添加静态MAC表。

配置动态MAC表的老化时间。

数据准备
为完成此配置例，需准备如下的数据：

PC1的MAC地址为0002-0002-0002。

PC2的MAC地址为0003-0003-0003。

Server的MAC地址为0004-0004-0004。

Switch所属VLAN为VLAN2。

与LSW相连的Switch的接口为Ethernet0/0/1。

与Server相连的Switch的接口为Ethernet0/0/2。

通过出接口发送报文时需要更改的VLAN为VLAN4。

Switch的动态MAC表项老化时间为500s。

操作步骤
添加静态MAC地址表项

# 创建VLAN2，将接口Ethernet0/0/1、Ethernet0/0/2加入VLAN2，并配置接口Ethernet0/0/1的VLAN Mapping功能。

<Quidway> system-view
[Quidway] vlan 2
[Quidway-vlan2] quit
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] port hybrid pvid vlan 2
[Quidway-Ethernet0/0/1] port hybrid untagged vlan 2
[Quidway-Ethernet0/0/1] port vlan-mapping vlan 4 map-vlan 2
[Quidway-Ethernet0/0/1] quit
[Quidway] interface ethernet 0/0/2
[Quidway-Ethernet0/0/2] port hybrid pvid vlan 2
[Quidway-Ethernet0/0/2] port hybrid untagged vlan 2
[Quidway-Ethernet0/0/2] quit
# 配置静态MAC地址表项。

[Quidway] mac-address static 2-2-2 ethernet 0/0/1 vlan 2
[Quidway] mac-address static 3-3-3 ethernet 0/0/1 vlan 2
[Quidway] mac-address static 4-4-4 ethernet 0/0/2 vlan 2
配置动态表项老化时间

[Quidway] mac-address aging-time 500
验证配置结果

# 在任意视图下执行display mac-address命令，查看静态MAC表是否添加成功。

[Quidway] display mac-address static vlan 2
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID
               VSI/SI                                              MAC-Tunnel
-------------------------------------------------------------------------------
0004-0004-0004 2           -      -      Eth0/0/2         static    -
0003-0003-0003 2           -      -      Eth0/0/1         static    -
0002-0002-0002 2           -      -      Eth0/0/1         static    -

-------------------------------------------------------------------------------
Total matching items displayed = 3

# 在任意视图下执行display mac-address aging-time命令，查看动态表项老化时间是否配置成功。

[Quidway] display mac-address aging-time
  Aging time: 500 seconds
配置文件
以下仅给出Switch的配置文件。

#
sysname Quidway
#
vlan batch 2
#
mac-address aging-time 500
#
interface Ethernet0/0/1
port hybrid pvid vlan 2
port hybrid untagged vlan 2
port vlan-mapping vlan 4 map-vlan 2
mac-address static 0002-0002-0002 Ethernet0/0/1 vlan 2
mac-address static 0003-0003-0003 Ethernet0/0/1 vlan 2
#
interface Ethernet0/0/2
port hybrid pvid vlan 2
port hybrid untagged vlan 2
mac-address static 0004-0004-0004 Ethernet0/0/2 vlan 2
#
return

jimodabaitu

Sticky MAC功能示例： （摘录自《Quidway S2300  V100R005C01 配置手册》）

---

组网需求如图1所示，公司为了提高信息安全，将Switch连接员工PC侧的接口使能了接口安全功能，并且设置了接口学习MAC地址数的上限为信任的设备总数，这样其他外来人员使用自己带来的PC无法访问公司的网络。
图1 配置接口安全示例组网图

配置思路采用如下的思路配置接口安全：
创建VLAN，并配置接口的链路类型为Trunk。

• 使能接口安全功能。
• 使能接口Sticky MAC功能。
• 配置接口安全功能的保护动作。
• 配置接口MAC地址学习限制数。
  

数据准备为完成此配置例，需准备如下的数据：

• 接口允许通过的VLAN编号。
• Switch连接PC的接口类型和编号。
• 接口安全功能的保护动作。
• 接口MAC地址学习限制数。
  

操作步骤

• 创建VLAN，并配置接口的链路类型 <Quidway> system-view[Quidway] vlan 10[Quidway-vlan10] quit[Quidway] interface ethernet 0/0/1[Quidway-Ethernet0/0/1] port link-type trunk[Quidway-Ethernet0/0/1] port trunk allow-pass vlan 10
• 配置接口安全功能 # 使能接口安全功能。
  [Quidway-Ethernet0/0/1] port-security enable# 使能接口Sticky MAC功能。
  [Quidway-Ethernet0/0/1] port-security mac-address sticky# 配置接口安全功能的保护动作。
  [Quidway-Ethernet0/0/1] port-security protect-action protect# 配置接口MAC地址学习限制数。
  [Quidway-Ethernet0/0/1] port-security max-mac-num 4其他接口如需使能接口安全功能，请重复上述配置。
• 验证配置结果 将PC1换成其他设备，无法访问公司网络。
  

以下仅给出Switch的配置文件。
# sysname Quidway#interface Ethernet0/0/1 port link-type trunk port trunk allow-pass vlan 10 port-security enable port-security protect-action protect port-security mac-address sticky port-security max-mac-num 4#return