前言
MAC(MediaAccessControl)地址用来定义网络设备的位置。MAC地址由48比特长、12位的16进制数字组成,其中从左到右开始,0到23bit是厂商向IETF等机构申请用来标识厂商的代码,24到47bit由厂商自行分派,是各个厂商制造的所有网卡的一个唯一编号。
MAC地址可以分为3种类型:
物理MAC地址:这种类型的MAC地址唯一的标识了以太网上的一个终端,该地址为全球唯一的硬件地址;
广播MAC地址:全1的MAC地址为广播地址(FF-FF-FF-FF-FF-FF),用来表示LAN上的所有终端设备;
组播MAC地址:除广播地址外,第8bit为1的MAC地址为组播MAC地址(例如01-00-00-00-00-00),用来代表LAN上的一组终端。其中以01-80-c2开头的组播MAC地址叫BPDUMAC,一般作为协议报文的目的MAC地址标示某种协议报文。
本文主要介绍MAC地址相关的7种配置示例。
网络民工网络民工专注于IT技术领域,结合实战经验,为您分享网络技术、系统集成、网络工程等一线技术解析和实践案例等深度干货文章,愿我们一起悦享技术,成就梦想!70篇原创内容
01配置静态MAC地址示例
组网需求
如图1所示,用户主机PC的MAC地址为,与Switch的GE1/0/1接口相连。Server服务器的MAC地址为,与Switch的GE1/0/2接口相连。用户主机PC和Server服务器均在VLAN2内通信。
为防止MAC地址攻击,在Switch的MAC表中为用户主机添加一条静态表项。
为防止非法用户假冒Server的MAC地址窃取重要用户信息,在Switch上为Server服务器添加一条静态MAC地址表项。
图1配置静态MAC表组网图
配置思路
采用如下的思路配置MAC表:
创建VLAN,并将接口加入到VLAN中,实现二层转发功能。
添加静态MAC地址表项,防止非法用户攻击。
操作步骤
添加静态MAC地址表项
配置静态MAC地址表项。
[Switch]mac-addressstatic2-2-2GigabitEthernet1/0/1vlan2[Switch]mac-addressstatic4-4-4GigabitEthernet1/0/2vlan2
验证配置结果
sysnameSwitchinterfaceGigabitEthernet1/0/1portlink-typeaccessportdefaultvlan2mac-addressstaticGigabitEthernet1/0/1vlan2mac-addressstaticGigabitEthernet1/0/2vlan2创建VLAN3。
HUAWEIsystem-view[HUAWEI]sysnameSwitch[Switch]vlan3[Switch-vlan3]quit
在任意视图下执行displaymac-addressblackhole命令,查看黑洞MAC表是否添加成功。
[Switch]displaymac-addressblackhole-------------------------------------------------------------------------------MACAddressVLAN/VSI/BDLearned-FromType-------------------------------------------------------------------------------3/-/--blackhole-------------------------------------------------------------------------------Totalitemsdisplayed=1
配置文件
Switch的配置文件
vlanbatch3return
03配置基于接口的MAC地址学习限制示例
组网需求
如图3所示,用户网络1和用户网络2通过LSW与Switch相连,Switch连接LSW的接口为GE1/0/1。用户网络1和用户网络2分别属于VLAN10和VLAN20。在Switch上,为了控制接入用户数量,可以基于接口GE1/0/1配置MAC地址学习限制功能。
图3配置基于接口的MAC地址学习限制数组网图
配置思路
采用如下的思路配置基于接口的MAC地址学习限制:
创建VLAN,并将接口加入到VLAN中,实现二层转发功能。
配置基于接口的MAC地址学习限制,控制接入用户数量。
操作步骤
网络民工网络民工专注于IT技术领域,结合实战经验,为您分享网络技术、系统集成、网络工程等一线技术解析和实践案例等深度干货文章,愿我们一起悦享技术,成就梦想!70篇原创内容
公众号
配置MAC地址学习限制
在接口GigabitEthernet1/0/1上配置MAC地址学习限制规则:最多可以学习100个MAC地址,超过最大MAC地址学习数量的报文丢弃,并进行告警提示。
[Switch-GigabitEthernet1/0/1]mac-limitmaximum100actiondiscardalarmenable[Switch-GigabitEthernet1/0/1]return
验证配置结果
sysnameSwitchinterfaceGigabitEthernet1/0/1portlink-typehybridporthybridtaggedvlan1020mac-limitmaximum100将GigabitEthernet1/0/1、GigabitEthernet1/0/2加入VLAN2。
HUAWEIsystem-view[HUAWEI]sysnameSwitch[Switch]vlan2[Switch-vlan2]quit[Switch]interfacegigabitethernet1/0/1[Switch-GigabitEthernet1/0/1]portlink-typehybrid[Switch-GigabitEthernet1/0/1]porthybridpvidvlan2[Switch-GigabitEthernet1/0/1]porthybriduntaggedvlan2[Switch-GigabitEthernet1/0/1]quit[Switch]interfacegigabitethernet1/0/2[Switch-GigabitEthernet1/0/2]portlink-typehybrid[Switch-GigabitEthernet1/0/2]porthybridpvidvlan2[Switch-GigabitEthernet1/0/2]porthybriduntaggedvlan2[Switch-GigabitEthernet1/0/2]quit
在任意视图下执行displaymac-limit命令,查看MAC地址学习限制规则是否配置成功。
Switchdisplaymac-limitMAClimitisenabledTotalMAClimitrulecount:1PORTVLAN/VSISLOTMaximumRate(ms)ActionAlarm-----------------------------------------------------------------------------2-100-forwardenable
配置文件
以下仅给出Switch的配置文件。
vlanbatch2interfaceGigabitEthernet1/0/1portlink-typehybridporthybridpvidvlan2porthybriduntaggedvlan2return
05配置基于VSI的MAC地址学习限制示例
组网需求
如图5,某企业机构,自建骨干网。为了保证骨干网的安全,在PE设备上通过配置基于VSI的MAC地址学习限制功能,实现对CE的接入控制。
图5配置基于VSI的MAC地址学习限制组网图
配置思路
采用如下的思路配置基于VSI的MAC地址学习限制:
在骨干网上配置路由协议实现互通。
在PE之间建立远端LDP会话。
在PE间建立传输业务数据所使用的隧道。
在PE上使能MPLSL2VPN。
在PE上创建VSI,指定信令为LDP。
在PE设备基于VSI配置MAC地址学习限制,完成对CE的接入控制。
操作步骤
网络民工网络民工专注于IT技术领域,结合实战经验,为您分享网络技术、系统集成、网络工程等一线技术解析和实践案例等深度干货文章,愿我们一起悦享技术,成就梦想!70篇原创内容
公众号
配置各接口所属的VLAN以及相关接口IP地址
配置CE2。
HUAWEIsystem-view[HUAWEI]sysnameCE2[CE2]vlan40[CE2-vlan40]quit[CE2]interfacevlanif40[CE2-Vlanif40][CE2-Vlanif40]quit[CE2]interfacegigabitethernet1/0/0[CE2-GigabitEthernet1/0/0]portlink-typetrunk[CE2-GigabitEthernet1/0/0]porttrunkallow-passvlan40[CE2-GigabitEthernet1/0/0]quit
配置P。
HUAWEIsystem-view[HUAWEI]sysnameP[P]vlanbatch2030[P]interfacevlanif20[P-Vlanif20][P-Vlanif20]quit[P]interfacevlanif30[P-Vlanif30][P-Vlanif30]quit[P]interfacegigabitethernet1/0/0[P-GigabitEthernet1/0/0]portlink-typetrunk[P-GigabitEthernet1/0/0]porttrunkallow-passvlan20[P-GigabitEthernet1/0/0]quit[P]interfacegigabitethernet2/0/0[P-GigabitEthernet2/0/0]portlink-typetrunk[P-GigabitEthernet2/0/0]porttrunkallow-passvlan30[P-GigabitEthernet2/0/0]quit
配置PE1。
[PE1][PE1]interfaceloopback1[PE1-LoopBack1][PE1-LoopBack1]quit[PE1]ospf1[PE1-ospf-1]area0[][][]quit[PE1-ospf-1]quit
配置PE2。
[PE2][PE2]interfaceloopback1[PE2-LoopBack1][PE2-LoopBack1]quit[PE2]ospf1[PE2-ospf-1]area0[][][]quit[PE2-ospf-1]quit
配置完成后,在PE1、P和PE2上执行displayiprouting-table命令可以看到已学到彼此的路由。以PE1的显示为例:
[PE1]displayiprouting-tableRouteFlags:R-relay,D-downloadtofib,T-tovpn-instance------------------------------------------------------------------------------RoutingTables:PublicDestinations:8Routes:8Destination//32/32/32/24/32/24/8/32
配置MPLS基本能力和LDP
配置P
[P][P]mpls[P-mpls]quit[P]mplsldp[P-mpls-ldp]quit[P]interfacevlanif20[P-Vlanif20]mpls[P-Vlanif20]mplsldp[P-Vlanif20]quit[P]interfacevlanif30[P-Vlanif30]mpls[P-Vlanif30]mplsldp[P-Vlanif30]quit
配置PE1。
[PE1][][]quit
配置PE1。
[PE1]mplsl2vpn[PE1-l2vpn]quit
配置PE1。
[PE1]vsia2static[PE1-vsi-a2]pwsignalldp[PE1-vsi-a2-ldp]vsi-id2[PE1-vsi-a2-ldp][PE1-vsi-a2-ldp]quit[PE1-vsi-a2]quit
配置PE1。
[PE1]interfacevlanif10[PE1-Vlanif10]l2bindingvsia2[PE1-Vlanif10]quit
在VSI上配置MAC地址学习限制规则:最多可以学习300个MAC地址,超过最大MAC地址学习数量的报文直接丢弃并进行告警提示。
[PE1]vsia2static[PE1-vsi-a2]mac-limitmaximum300actiondiscardalarmenable[PE1-vsi-a2]return
验证配置结果
CE2的配置文件
vlanbatch40interfaceGigabitEthernet1/0/0portlink-typetrunkporttrunkallow-passvlan40sysnamePE1vlanbatch1020mplsl2vpnmplsldpinterfaceVlanif10l2bindingvsia2interfaceGigabitEthernet1/0/0portlink-
P的配置文件
/0/0portlink-
PE2的配置文件
/0/0将GigabitEthernet1/0/1、GigabitEthernet1/0/2加入VLAN10。HUAWEIsystem-view[HUAWEI]sysnameSwitch[Switch]vlan10[Switch-vlan10]quit[Switch]interfacegigabitethernet1/0/2[Switch-GigabitEthernet1/0/2]portlink-typetrunk[Switch-GigabitEthernet1/0/2]porttrunkallow-passvlan10[Switch-GigabitEthernet1/0/2]quit[Switch]interfacegigabitethernet1/0/1[Switch-GigabitEthernet1/0/1]portlink-typehybrid[Switch-GigabitEthernet1/0/1]porthybridpvidvlan10[Switch-GigabitEthernet1/0/1]porthybriduntaggedvlan10在任意视图下执行displaycurrent-configuration命令,查看接口MAC地址学习的优先级配置是否正确。
[Switch]displaycurrent-configurationinterfacegigabitethernet1/0/1return配置文件
Switch的配置文件
vlanbatch10interfaceGigabitEthernet1/0/2portlink-typetrunkporttrunkallow-passvlan10开启MAC地址漂移检测功能HUAWEIsystem-view[HUAWEI]sysnameSwitch[Switch]mac-addressflappingdetection配置GE1/0/1、GE1/0/2接口MAC地址漂移后关闭
[Switch]interfacegigabitethernet1/0/1[Switch-GigabitEthernet1/0/1]mac-addressflappingactionerror-down[Switch-GigabitEthernet1/0/1]quit[Switch]interfacegigabitethernet1/0/2[Switch-GigabitEthernet1/0/2]mac-addressflappingactionerror-down[Switch-GigabitEthernet1/0/2]quit检查配置结果
配置完成后,当接口GE1/0/1的MAC地址漂移到接口GE1/0/2后,接口GE1/0/2关闭;使用displaymac-addressflappingrecord可查看到漂移记录。
[Switch]displaymac-addressflappingrecordS:starttimeE:time(Q):quitvlan(D):errordown-------------------------------------------------------------------------------Move-TimeVLANMAC-AddressOriginal-PortMove-PortsMoveNum-------------------------------------------------------------------------------S:2012-04-0117:22:361GE1/0/1GE1/0/2(D)83E:2012-04-0117:22:44-------------------------------------------------------------------------------Totalitemsonslot1:1配置文件
Switch的配置文件
error-downauto-recoverycausemac-address-flappinginterval500interfaceGigabitEthernet1/0/1mac-addressflappingactionerror-downreturn
