H3C华三交换机静态、动态和黑洞MAC地址表项的典型应用场景和配置举例-华三代理商

在某一网络的H3C华三交换机Switch上连接有文件服务器Server、网管服务器NMS（Network Management Server）及用户网络。Server、NMS和用户网络都在VLAN 10中。

现要求：

配置Server的MAC为静态MAC地址表项，使用户发往服务器的报文只从GigabitEthernet1/0/2单播发送出去；

配置NMS的MAC为静态MAC地址表项，并要求连接NMS的端口GigabitEthernet1/0/10仅允许这台NMS接入，其他主机无法通过此端口通信；

连接用户网络的端口GigabitEthernet1/0/5通过源MAC地址学习自动建立用户网络的MAC地址表项；

在网络运行一段时间后，有黑客利用用户网络中的一台主机Host A生成大量源MAC地址不同的报文，使Switch上生成大量MAC地址表项，需要尽快防止黑客的这种攻击。

 

​MAC地址表组网示意图

配置思路

为了使端口GigabitEthernet1/0/10只转发来自NMS的报文，配置GigabitEthernet1/0/10最多可以学习到的MAC地址数为0。端口配置最多可以学习到的MAC地址数后，当端口收到源MAC地址不在MAC地址表里的报文会进行丢弃。

对于非法用户使用大量源MAC地址不同的报文攻击设备，导致设备MAC地址表资源耗尽的攻击，可以通过关闭端口或VLAN的MAC地址学习功能来防止这种攻击。