配置靜態(tài)mac表項(xiàng)

配置目標(biāo)

實(shí)現(xiàn)MAC地址和端口的靜態(tài)綁定。

工作原理

設(shè)備通過源MAC地址學(xué)習(xí)自動(dòng)建立MAC地址表時(shí)，無法區(qū)分合法用戶和非法用戶的報(bào)文，帶來了安全隱患。如果非法用戶將攻擊報(bào)文的源MAC地址偽裝成合法用戶的MAC地址，并從設(shè)備的其他接口進(jìn)入，設(shè)備就會(huì)學(xué)習(xí)到錯(cuò)誤的MAC地址表項(xiàng)，于是將本應(yīng)轉(zhuǎn)發(fā)給合法用戶的報(bào)文轉(zhuǎn)發(fā)給非法用戶。為了提高安全性，網(wǎng)絡(luò)管理員可手工在MAC地址表中加入特定MAC地址表項(xiàng)，將用戶設(shè)備與接口綁定，從而防止非法用戶騙取數(shù)據(jù)。

靜態(tài)MAC地址表項(xiàng)有如下特性：

• 靜態(tài)MAC地址表項(xiàng)不會(huì)老化，保存后設(shè)備重啟不會(huì)消失，只能手動(dòng)刪除。

• 靜態(tài)MAC地址表項(xiàng)中指定的VLAN必須已經(jīng)創(chuàng)建并且已經(jīng)加入綁定的端口。

• 靜態(tài)MAC地址表項(xiàng)中指定的MAC地址，必須是單播MAC地址，不能是組播和廣播MAC地址。

• 靜態(tài)MAC地址表項(xiàng)的優(yōu)先級(jí)高于動(dòng)態(tài)MAC地址表項(xiàng)，對(duì)靜態(tài)MAC地址進(jìn)行漂移的報(bào)文會(huì)被丟棄。

配置步驟

1. 執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。
2. 執(zhí)行命令mac-address static mac-address interface-type interface-number vlan vlan-id，添加靜態(tài)MAC表項(xiàng)。
3. 執(zhí)行命令commit，提交配置。

配置檢查

使用命令display mac-address static，查看配置的靜態(tài)MAC表項(xiàng)。