华为以太网交换机MAC典型配置

小乔

1.1 配置静态MAC 示例
静态MAC 地址简介
MAC地址表项是交换机通过报文的源MAC地址学习过程而自动生成的，而通过用户手
动配置也可以生成静态的MAC地址表项。
手动配置静态MAC，一般是为了防止假冒身份的非法用户骗取数据，由网络管理员手
动在MAC地址表中添加合法用户的MAC地址表项。
手动配置静态MAC地址表项的数量比较大时，不便于网络管理员维护，此时可以使用
端口安全功能实现MAC地址和接口的动态绑定。
配置注意事项
本举例适用于S系列交换机所有产品的所有版本。
组网需求
如图1所示，服务器通过GE1/0/2接口连接交换机。为避免交换机在转发目的地址为服
务器地址的报文时进行广播，要求在交换机上设置服务器的静态MAC地址表项，使交
换机始终通过GE1/0/2接口单播发送去往服务器的报文。为了保证PC用户和服务器的安
全通信，同时把PC用户的MAC地址和接口GE1/0/1静态绑定。
图1 配置静态MAC 地址组网图

配置思路
采用如下思路配置静态MAC：
1. 在交换机上创建VLAN，并将接口加入VLAN，实现二层转发功能。
2. 在交换机上配置服务器的静态MAC地址表项。
3. 在交换机上配置PC的静态MAC地址表项。
操作步骤
步骤1 在Switch上创建VLAN 2，并把接口GE1/0/1和GE1/0/2加入VLAN 2
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 2 //创建VLAN 2
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access //和接入设备PC相连的接口类型必须是access，
接口默认类型不是access，需要手动配置为access
[Switch-GigabitEthernet1/0/1] port default vlan 2 //接口GE1/0/1加入VLAN 2
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2 //接口GE1/0/2的配置方法和接口GE1/0/1相同
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 2
[Switch-GigabitEthernet1/0/2] quit
步骤2 在Switch上添加服务器对应的静态MAC地址表项
[Switch] mac-address static 4-4-4 gigabitethernet 1/0/2 vlan 2
步骤3 在Switch上添加PC对应的静态MAC地址表项
[Switch] mac-address static 2-2-2 gigabitethernet 1/0/1 vlan 2
步骤4 检查配置结果
# 在任意视图下执行display mac-address static vlan 2命令，查看静态MAC表是否添加
成功。
[Switch] display mac-address static vlan 2
-------------------------------------------------------------------------------
MAC Address VLAN/VSI Learned-From Type
-------------------------------------------------------------------------------
0002-0002-0002 2/- GE1/0/1 static
0004-0004-0004 2/- GE1/0/2 static
-------------------------------------------------------------------------------
Total items displayed = 2
----结束
配置文件
Switch的配置文件
#
sysname Switch
#
vlan batch 2
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 2
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 2
#
mac-address static 0002-0002-0002 GigabitEthernet1/0/1 vlan 2
mac-address static 0004-0004-0004 GigabitEthernet1/0/2 vlan 2
#
return

1.2 配置黑洞MAC 示例
黑洞MAC 地址简介
通过配置黑洞MAC地址表项，可以防止非法用户攻击。当交换机收到的报文源MAC地
址或者目的MAC地址是配置的黑洞MAC地址时，报文就会直接被丢弃。
配置注意事项
本举例适用于S系列交换机所有产品的所有版本。
组网需求
如图2所示，交换机收到一个非法用户的访问，非法用户的MAC地址为
0005-0005-0005，所属VLAN为VLAN 3。通过指定该MAC地址为黑洞MAC，实现非法
用户的过滤。
图2 配置黑洞MAC 地址组网图

配置思路
采用如下的思路配置黑洞MAC：
1. 创建VLAN，实现二层转发功能。
2. 添加黑洞MAC表，防止非法MAC地址攻击。
操作步骤
步骤1 添加黑洞MAC地址表项
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan 3 //创建VLAN 3
[Switch-vlan3] quit
[Switch] mac-address blackhole 0005-0005-0005 vlan 3 //配置MAC地址0005-0005-0005在VLAN 3的广
播域内为黑洞MAC地址
步骤2 验证配置结果
# 在任意视图下执行display mac-address blackhole命令，查看黑洞MAC表是否添加成
功。
[Switch] display mac-address blackhole
-------------------------------------------------------------------------------
MAC Address VLAN/VSI Learned-From Type
-------------------------------------------------------------------------------
0005-0005-0005 3/- - blackhole
-------------------------------------------------------------------------------
Total items displayed = 1
----结束
配置文件
Switch的配置文件
#
sysname Switch
#
vlan batch 3
#
mac-address blackhole 0005-0005-0005 vlan 3
#
return
1.3 配置基于VLAN 的MAC 地址学习限制示例
基于VLAN 限制MAC 地址学习简介
交换机控制MAC地址学习数经常使用的方式有两种：基于VLAN限制MAC地址学习数
和基于接口限制MAC地址学习数。在客户端不经常变动的办公场所中，通过限制MAC
地址学习控制用户的接入，防止黑客伪造大量源MAC地址不同的报文发送到设备后，
耗尽设备的MAC地址表项资源。当MAC地址表项资源满后，会导致正常MAC地址无
法学习，报文进行广播转发，浪费带宽资源。
与基于接口限制MAC地址学习数相比，基于VLAN限制MAC地址限制数，是以VLAN
为维度，一个VLAN内有多个接口需要限制MAC地址学习数时，不需要分别配置。
配置注意事项
l 接口上配置port-security enable后，mac-limit将无法生效，建议不要同时配置端口
安全和MAC地址学习限制功能。
l 本举例适用于S系列交换机所有产品的所有版本。
l 框式设备S系列中的SA单板和F系列接口板以及盒式设备(除S5720EI外)，在MAC
地址表项达到指定限制数后，不支持丢弃源MAC地址不存在的报文。
组网需求
如图3所示，用户网络1通过LSW1与Switch相连，Switch的接口为GE1/0/1。用户网络
2通过LSW2与Switch相连，Switch的接口为GE1/0/2。GE1/0/1、GE1/0/2同属于VLAN
2。为控制接入用户数，对VLAN 2进行MAC地址学习限制。

配置思路
采用如下的思路配置基于VLAN的MAC地址学习限制：
1. 创建VLAN，并将接口加入到VLAN中，实现二层转发功能。
2. 配置VLAN的MAC地址学习限制，防止MAC地址攻击，控制接入用户数量。
操作步骤
步骤1 创建VLAN 2，并将接口GE1/0/1和GE1/0/2加入VLAN 2
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 2
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk //交换机之间的接口类型建议使用trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 2 //接口GE1/0/1加入VLAN 2
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2 //接口GE1/0/2的配置方法和接口GE1/0/1相同
[Switch-GigabitEthernet1/0/2] port link-type trunk
[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 2
[Switch-GigabitEthernet1/0/2] quit
步骤2 在VLAN 2上配置MAC地址学习限制规则：最多可以学习100个MAC地址，超过最大
MAC地址学习数量的报文继续转发并进行告警提示
[Switch] vlan 2
[Switch-vlan2] mac-limit maximum 100 action forward //各个版本对报文的默认处理动作不一致，这里建
议手动指定。告警功能默认都是打开的，可以不手动指定
[Switch-vlan2] quit
步骤3 验证配置结果
# 在任意视图下执行display mac-limit命令，查看MAC地址学习限制规则是否配置成
功。
[Switch] display mac-limit
MAC limit is enabled
Total MAC limit rule count : 1
PORT VLAN/VSI SLOT Maximum Rate(ms) Action Alarm
----------------------------------------------------------------------------
- 2 - 100 - forward enable
----结束
配置文件
Switch的配置文件。
#
sysname Switch
#
vlan batch 2
#
vlan 2
mac-limit maximum 100 action forward
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 2
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 2
#
return
1.4 配置基于接口的MAC 地址学习限制示例
基于接口限制MAC 地址学习数简介
交换机控制MAC地址学习数经常使用的方式有两种：基于VLAN限制MAC地址学习数
和基于接口限制MAC地址学习数。在客户端不经常变动的办公场所中，通过限制MAC
地址学习控制用户的接入，防止黑客伪造大量源MAC地址不同的报文发送到设备后，
耗尽设备的MAC地址表项资源。当MAC地址表项资源满后，会导致正常MAC地址无
法学习，报文进行广播转发，浪费带宽资源。
与基于VLAN限制MAC地址学习数相比，基于接口限制MAC地址学习数，在中小企业
中各个接口下的用户数量都比较固定且很少变动时，比较适用。
配置注意事项
l 接口上配置port-security enable后，mac-limit将无法配置。
l 本举例适用于S系列交换机所有产品的所有版本。
组网需求
如图4所示，用户网络1和用户网络2通过LSW与Switch相连，Switch连接LSW的接口
为GE1/0/1。用户网络1和用户网络2分别属于VLAN 10和VLAN 20。在Switch上，为了
控制接入用户数量，可以基于接口GE1/0/1配置MAC地址学习限制功能。


配置思路
采用如下的思路配置基于接口的MAC地址学习限制：
1. 创建VLAN，并将接口加入到VLAN中，实现二层转发功能。
2. 配置基于接口的MAC地址学习限制，控制接入用户数量。
操作步骤
步骤1 创建VLAN 10和VLAN 20，并将接口GE1/0/1加入VLAN 10和VLAN 20
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20 //创建VLAN 10和VLAN 20
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk //交换机之间的接口类型建议使用trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 //接口GE1/0/1加入VLAN 10和
VLAN 20
[Switch-GigabitEthernet1/0/1] quit
步骤2 接口GE1/0/1配置MAC地址学习限制规则：最多可以学习100个MAC地址，超过最大
MAC地址学习数量的报文丢弃并进行告警提示
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] mac-limit maximum 100 action discard //各个版本对报文的默认处理动
作不一致，这里建议手动指定。告警默认都是打开的，可以不手动指定
[Switch-GigabitEthernet1/0/1] quit
步骤3 验证配置结果
# 在任意视图下执行display mac-limit命令，查看MAC地址学习限制规则是否配置成
功。
[Switch] display mac-limit
MAC limit is enabled
Total MAC limit rule count : 1
PORT VLAN/VSI SLOT Maximum Rate(ms) Action Alarm
----------------------------------------------------------------------------
GE1/0/1 - - 100 - discard enable
----结束
配置文件

游客，如果您要查看本帖隐藏内容请回复

szweibo

///////

黄柏仁

谢谢分享！！！

xephang

谢谢分享           

sichuanfcj

看看，谢谢

liuxiupeng

学习

toleeyj

谢谢分享

seko

囧囧囧囧囧66666

66666666666666666666

王晓彤

1111111111111111

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！