配置靜態mac表項
配置目標
實現MAC地址和端口的靜態綁定。
工作原理
設備通過源MAC地址學習自動建立MAC地址表時,無法區分合法用戶和非法用戶的報文,帶來了安全隱患。如果非法用戶將攻擊報文的源MAC地址偽裝成合法用戶的MAC地址,并從設備的其他接口進入,設備就會學習到錯誤的MAC地址表項,于是將本應轉發給合法用戶的報文轉發給非法用戶。為了提高安全性,網絡管理員可手工在MAC地址表中加入特定MAC地址表項,將用戶設備與接口綁定,從而防止非法用戶騙取數據。
靜態MAC地址表項有如下特性:
- 靜態MAC地址表項不會老化,保存后設備重啟不會消失,只能手動刪除。
- 靜態MAC地址表項中指定的VLAN必須已經創建并且已經加入綁定的端口。
- 靜態MAC地址表項中指定的MAC地址,必須是單播MAC地址,不能是組播和廣播MAC地址。
- 靜態MAC地址表項的優先級高于動態MAC地址表項,對靜態MAC地址進行漂移的報文會被丟棄。
配置步驟
- 執行命令system-view,進入系統視圖。
- 執行命令mac-address static mac-address interface-type interface-number vlan vlan-id,添加靜態MAC表項。
- 執行命令commit,提交配置。
配置檢查
使用命令display mac-address static,查看配置的靜態MAC表項。
