本篇讲解如何通过交换机实现非法MAC地址过滤功能。本篇以H3C S5500网管型交换机为例。

方案Ⅰ：MAC黑洞

由用户手工配置的一类特殊的MAC地址，当交换机接收到源地址或目的地址为黑洞MAC地址的报文时，会将该报文丢弃。

`system-view
[H3C]mac-address blackhole 11-22-33 vlan 1
`

方案Ⅱ：二层访问列表

二层IPv4 ACL根据报文的源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则，对报文进行相应的分析处理。 二层IPv4 ACL的序号取值范围为4000～4999。

`system-view
[H3C]acl number 4000
[H3C-acl-ethernetframe-4000]rule 0 deny source-mac 1111-2222-3333 ffff-ffff-ffff
[H3C-acl-ethernetframe-4000]quit
[H3C]interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]packet-filter 4000 inbound
`

方案Ⅲ：QOS策略

QoS策略包含了三个要素：类、流行为、策略。
用户可以通过QoS策略将指定的类和流行为绑定起来，方便的进行QoS配置。

类

类是用来识别流的。类的要素包括：类的名称和类的规则。
用户可以通过命令定义一系列的规则，来对报文进行分类。
同时用户可以通过命令指定规则之间的关系：and和or。

• and：报文只有匹配了所有的规则，设备才认为报文属于这个类。
• or：报文只要匹配了类中的一个规则，设备就认为报文属于这个类。

流行为

流行为用来定义针对报文所做的QoS动作。
流行为的要素包括：流行为的名称和流行为中定义的动作。
用户可以通过命令在一个流行为中定义多个动作。

策略

策略用来将指定的类和指定的流行为绑定起来。
策略的要素包括：策略名称、绑定在一起的类和流行为的名称。

QoS策略的配置过程

QoS策略的配置步骤如下：

(1) 定义类，并在类视图中定义一组流分类规则；

(2) 定义流行为，并在流行为视图中定义一组QoS动作；

(3) 定义策略，在策略视图下为使用的类指定对应的流行为；

(4) 在以太网端口视图或端口组视图下应用QoS策略。

` system-view  //进入系统视图
[H3C] traffic classifier  deny-mac operator or //定义名为deny-mac的类，匹配规则为or
[H3C-classifier-deny-mac]if-match source-mac 1234-5678-1234 //匹配源mac
[H3C-classifier-deny-mac]quit
[H3C]traffic behavior deny-mac  //定义流行为
[H3C-behavior-deny-mac]filter deny   //行为：拒绝
[H3C-behavior-deny-mac]quit
[H3C]qos policy deny-mac  //定义qos规则
[H3C-qospolicy-deny-mac]classifier deny-mac behavior deny-mac  //绑定类和行为
[H3C-qospolicy-deny-mac]quit
[H3C]interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]qos apply policy deny-mac inbound  //应用QOS策略