H3C的区别,配置接口最多可以学习到的MAC地址数 mac-address max-mac-count count - 执行命令mac-limit alarm { disable | enable },配置当MAC地址数量达到限制后是否进行告警。 - 缺省情况下,对超过MAC地址学习限制的报文进行告警。
执行命令display mac-limit,可以查看MAC地址学习限制的配置是否正确。 接口MAC安全配置 (我认为此配置可较好的解决相关问题,周鹏) 进入相关接口 1、 port-security enable 使能接口安全功能 2、 port-security mac-address sticky 使能接口Sticky MAC功能。 3、 port-security protect-action { protect | restrict | shutdown } 配置接口安全功能的保护动作。 protect 当学习到的MAC地址数达到接口限制数时,接口将丢弃源地址在MAC表以外的报文。 restrict 当学习到的MAC地址数达到接口限制数时,接口将丢弃源地址在MAC表以外的报文,同时发出trap告警。 shutdown 当学习到的MAC地址数达到接口限制数时,接口将执行shutdown操作。 4、 port-security max-mac-num max-number 配置接口MAC地址学习限制数。 可选 port-security mac-address sticky [ mac-address vlan vlan-id ] 手动配置一条sticky-mac表项。 H3C的配置与华为基本相同。功能亦相同。再次不做赘述。
PS:H3C的文档易读性明显不如华为做的好。同样的内容花了我很多时间去找。
注意事项: 1、执行命令port-security aging-time time ,配置接口学习到的安全动态MAC地址的老化时间。 2、使能接口安全功能后,缺省情况下,接口学习的安全动态MAC地址不老化。若只启用接口安全功能 则 设备重启后安全动态MAC地址会丢失,需要重新学习。 3、Sticky MAC的主要作用是将接口学习到的动态MAC地址转换成静态MAC地址,可以理解为将MAC地址黏在接口上。当接口学习的最大MAC数量达到上限后,不再学习新的MAC地址,只允许这些Sticky MAC和交换机通信。这样一可以避免在设备重启后动态MAC丢失需要重新学习,二可以阻止其他非信任的MAC主机通过本接口和交换机通信。 (3)未知单播泛洪保护(unkonw unicast flooding protection) CISCO: Router(config)# mac-address-table unicast-flood limit 3 vlan 100 filter 5 limit限制每个源MAC地址以及每个VLAN的每秒单播泛洪个数. filter值规定了对单播泛洪流量进行多次实践的过滤。 除了filter 还有 alter(告警) shutdown关闭端口 两个值可选。 Router # show mac-address-table unicast-flood 其他方法: 禁止MAC地址学习 使用纯静态MAC表进行转发。MAC表中没有的则直接丢弃 mac-address learning disable 可在端口或VLAN中禁用 执行命令drop illegal-mac enable,配置S2352EI设备丢弃全0非法MAC地址报文。 缺省情况下,S2352EI设备没有配置丢弃全0非法MAC地址报文的功能
黑客精神不灭,*意志永存。
本文同时发在了通信人家园论坛:http://www.txrjy.com/thread-723472-1-1.html