本篇讲解如何通过交换机实现非法MAC地址过滤功能。本篇以H3C S5500网管型交换机为例。
方案Ⅰ:MAC黑洞
由用户手工配置的一类特殊的MAC地址,当交换机接收到源地址或目的地址为黑洞MAC地址的报文时,会将该报文丢弃。
`system-view [H3C]mac-address blackhole 11-22-33 vlan 1 `
方案Ⅱ:二层访问列表
二层IPv4 ACL根据报文的源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则,对报文进行相应的分析处理。 二层IPv4 ACL的序号取值范围为4000~4999。
`system-view [H3C]acl number 4000 [H3C-acl-ethernetframe-4000]rule 0 deny source-mac 1111-2222-3333 ffff-ffff-ffff [H3C-acl-ethernetframe-4000]quit [H3C]interface GigabitEthernet 1/0/1 [H3C-GigabitEthernet1/0/1]packet-filter 4000 inbound `
方案Ⅲ:QOS策略
QoS策略包含了三个要素:类、流行为、策略。
用户可以通过QoS策略将指定的类和流行为绑定起来,方便的进行QoS配置。
类
类是用来识别流的。类的要素包括:类的名称和类的规则。
用户可以通过命令定义一系列的规则,来对报文进行分类。
同时用户可以通过命令指定规则之间的关系:and和or。
- and:报文只有匹配了所有的规则,设备才认为报文属于这个类。
- or:报文只要匹配了类中的一个规则,设备就认为报文属于这个类。
流行为
流行为用来定义针对报文所做的QoS动作。
流行为的要素包括:流行为的名称和流行为中定义的动作。
用户可以通过命令在一个流行为中定义多个动作。
策略
策略用来将指定的类和指定的流行为绑定起来。
策略的要素包括:策略名称、绑定在一起的类和流行为的名称。
QoS策略的配置过程
QoS策略的配置步骤如下:
(1) 定义类,并在类视图中定义一组流分类规则;
(2) 定义流行为,并在流行为视图中定义一组QoS动作;
(3) 定义策略,在策略视图下为使用的类指定对应的流行为;
(4) 在以太网端口视图或端口组视图下应用QoS策略。
` system-view //进入系统视图 [H3C] traffic classifier deny-mac operator or //定义名为deny-mac的类,匹配规则为or [H3C-classifier-deny-mac]if-match source-mac 1234-5678-1234 //匹配源mac [H3C-classifier-deny-mac]quit [H3C]traffic behavior deny-mac //定义流行为 [H3C-behavior-deny-mac]filter deny //行为:拒绝 [H3C-behavior-deny-mac]quit [H3C]qos policy deny-mac //定义qos规则 [H3C-qospolicy-deny-mac]classifier deny-mac behavior deny-mac //绑定类和行为 [H3C-qospolicy-deny-mac]quit [H3C]interface GigabitEthernet 1/0/1 [H3C-GigabitEthernet1/0/1]qos apply policy deny-mac inbound //应用QOS策略