实现MAC地址表安全的几种方式
1、静态MAC地址表项:将一些固定的上行设备或者信任用户的MAC地址配置为静态MAC表项。可以保证其安全通信(这个禁止MAC地址学习功能联合使用)
2、黑洞MAC地址表项:防止黑客通过MAC地址攻击网络,将怀疑MAC地址的报文采取丢弃(丢弃怀疑MAC地址的报文)
3、动态MAC地址老化时间:合理配置动态MAC地址表项的老化时间,可以防止MAC地址爆炸式增长。(默认为300秒)
4、禁止MAC地址学习功能:对于网咯环境固定的场景或者已经明确转发路径的场景,通过配置禁止MAC地址学习功能,可以限制非信任用户接入,防止MAC地址攻击。提高网络安全性。(与静态MAC地址表项联合使用)
5、限制MAC地址学习数量:在安全性差的网络环境中,通过限制MAC地址学习数量,可以防止攻击通过变换MAC地址进行攻击。
配置命令
1、配置静态MAC表项
系统视图:mac-address static xxxx-xxxx-xxxx g0/0/1 vlan 10
[huawei]mac-address static mac-address interface-type interface-number vlan vlan-id
2、配置黑洞MAC表项
系统视图:mac-address blackhole XXXX-XXXX-XXXX vlan 10
[huawei]mac-address blackhole mac-address vlan vlan-id
3、配置动态MAC表项的老化时间
mac-address aging-time XX:XX:XX
[huawei]mac-address aging-time 300//默认为300s
4、禁止MAC地址学习功能
接口视图:mac-address learning disable [action{discard|forward}]
[huawei-gigabitethernet0/0/1]mac-address learning disable action discard//也可以基于VLAN
5、限制MAC地址学习数量
1)配置基于接口限制mac地址学习数量
[huawei-Gigabitethernet0/0/1]mac-limit maximum max-num
缺省情况下,不限制mac地址学习数量
