MAC地址相关的7种配置示例
前言
mac(media access control)地址用来定义网络设备的位置。mac地址由48比特长、12位的16进制数字组成,其中从左到右开始,0到23bit是厂商向ietf等机构申请用来标识厂商的代码,24到47bit由厂商自行分派,是各个厂商制造的所有网卡的一个唯一编号。
mac地址可以分为3种类型:
物理mac地址:这种类型的mac地址唯一的标识了以太网上的一个终端,该地址为全球唯一的硬件地址;
广播mac地址:全1的mac地址为广播地址(ff-ff-ff-ff-ff-ff),用来表示lan上的所有终端设备;
组播mac地址:除广播地址外,第8bit为1的mac地址为组播mac地址(例如01-00-00-00-00-00),用来代表lan上的一组终端。其中以01-80-c2开头的组播mac地址叫bpdu mac,一般作为协议报文的目的mac地址标示某种协议报文。
本文主要介绍mac地址相关的7种配置示例。
01配置静态mac地址示例
组网需求
如图 1 所示,用户主机pc的mac地址为0002-0002-0002,与switch的ge1/0/1接口相连。server服务器的mac地址为0004-0004-0004,与switch的ge1/0/2接口相连。用户主机pc和server服务器均在vlan2内通信。
为防止mac地址攻击,在switch的mac表中为用户主机添加一条静态表项。
为防止非法用户假冒server的mac地址窃取重要用户信息,在switch上为server服务器添加一条静态mac地址表项。
图 1 配置静态mac表组网图
配置思路
采用如下的思路配置mac表:
创建vlan,并将接口加入到vlan中,实现二层转发功能。
添加静态mac地址表项,防止非法用户攻击。
操作步骤
添加静态mac地址表项
# 创建vlan2,将接口gigabitethernet1/0/1、gigabitethernet1/0/2加入vlan2。
system-view[huawei] sysname switch[switch] vlan 2[switch-vlan2] quit[switch] interface gigabitethernet 1/0/1[switch-gigabitethernet1/0/1] port link-type access[switch-gigabitethernet1/0/1] port default vlan 2[switch-gigabitethernet1/0/1] quit[switch] interface gigabitethernet 1/0/2[switch-gigabitethernet1/0/2] port link-type access[switch-gigabitethernet1/0/2] port default vlan 2[switch-gigabitethernet1/0/2] quit
# 配置静态mac地址表项。
[switch] mac-address static 2-2-2 gigabitethernet 1/0/1 vlan 2[switch] mac-address static 4-4-4 gigabitethernet 1/0/2 vlan 2
验证配置结果
# 在任意视图下执行display mac-address static vlan 2命令,查看静态mac表是否添加成功。
[switch] display mac-address static vlan 2------------------------------------------------------------------------------- mac address vlan/vsi/bd learned-from type -------------------------------------------------------------------------------0002-0002-0002 2/-/- ge1/0/1 static 0004-0004-0004 2/-/- ge1/0/2 static-------------------------------------------------------------------------------total items displayed = 2
配置文件
switch的配置文件
#sysname switch#vlan batch 2#interface gigabitethernet1/0/1 port link-type access port default vlan 2#interface gigabitethernet1/0/2 port link-type access port default vlan 2#mac-address static 0002-0002-0002 gigabitethernet1/0/1 vlan 2mac-address static 0004-0004-0004 gigabitethernet1/0/2 vlan 2#return
02配置黑洞mac地址示例
组网需求
如图 2所示,交换机switch收到一个非法用户的访问,非法用户的mac地址为0005-0005-0005,所属vlan为vlan3。通过指定该mac地址为黑洞mac,实现非法用户的过滤。
图 2 配置黑洞mac表组网图
配置思路
采用如下的思路配置mac表:
创建vlan,实现二层转发功能。
添加黑洞mac表,防止mac地址攻击。
操作步骤
添加黑洞mac地址表项
# 创建vlan3。
system-view[huawei] sysname switch[switch] vlan 3[switch-vlan3] quit
# 添加黑洞mac地址表项。
[switch] mac-address blackhole 0005-0005-0005 vlan 3
验证配置结果
# 在任意视图下执行display mac-address blackhole命令,查看黑洞mac表是否添加成功。
[switch] display mac-address blackhole------------------------------------------------------------------------------- mac address vlan/vsi/bd learned-from type ------------------------------------------------------------------------------- 0005-0005-0005 3/-/- - blackhole ------------------------------------------------------------------------------- total items displayed = 1
配置文件
switch的配置文件
#sysname switch#vlan batch 3#mac-address blackhole 0005-0005-0005 vlan 3 #return
03配置基于接口的mac地址学习限制示例
组网需求
如图 3 所示,用户网络1和用户网络2通过lsw与switch相连,switch连接lsw的接口为ge1/0/1。用户网络1和用户网络2分别属于vlan10和vlan20。在switch上,为了控制接入用户数量,可以基于接口ge1/0/1配置mac地址学习限制功能。
图 3 配置基于接口的mac地址学习限制数组网图
配置思路
采用如下的思路配置基于接口的mac地址学习限制:
创建vlan,并将接口加入到vlan中,实现二层转发功能。
配置基于接口的mac地址学习限制,控制接入用户数量。
操作步骤
配置mac地址学习限制
# 将gigabitethernet1/0/1加入vlan10和vlan20。
system-view[huawei] sysname switch[switch] vlan batch 10 20[switch] interface gigabitethernet 1/0/1[switch-gigabitethernet1/0/1] port link-type hybrid[switch-gigabitethernet1/0/1] port hybrid tagged vlan 10 20
# 在接口gigabitethernet1/0/1上配置mac地址学习限制规则:最多可以学习100个mac地址,超过最大mac地址学习数量的报文丢弃,并进行告警提示。
[switch-gigabitethernet1/0/1] mac-limit maximum 100 action discard alarm enable[switch-gigabitethernet1/0/1] return
验证配置结果
# 在任意视图下执行display mac-limit命令,查看mac地址学习限制规则是否配置成功。
display mac-limitmac limit is enabled total mac limit rule count : 1 port vlan/vsi slot maximum rate(ms) action alarm ---------------------------------------------------------------------------- ge1/0/1 - - 100 - discard enable
配置文件
以下仅给出switch的配置文件。
#sysname switch#vlan batch 10 20#interface gigabitethernet1/0/1 port link-type hybrid port hybrid tagged vlan 10 20 mac-limit maximum 100#return
04配置基于vlan的mac地址学习限制示例
组网需求
如图 4 所示,用户网络1通过lsw1与switch相连,switch的接口为ge1/0/1。用户网络2通过lsw2与switch相连,switch的接口为ge1/0/2。ge1/0/1、ge1/0/2同属于vlan2。为控制接入用户数,对vlan2进行mac地址学习的限制。
图 4 配置基于vlan的mac地址学习限制组网图
配置思路
采用如下的思路配置基于vlan的mac地址学习限制:
创建vlan,并将接口加入到vlan中,实现二层转发功能。
配置vlan的mac地址学习限制,实现防止mac地址攻击,控制接入用户数量。
操作步骤
配置mac地址学习限制
# 将gigabitethernet1/0/1、gigabitethernet1/0/2加入vlan2。
system-view[huawei] sysname switch[switch] vlan 2[switch-vlan2] quit[switch] interface gigabitethernet 1/0/1[switch-gigabitethernet1/0/1] port link-type hybrid[switch-gigabitethernet1/0/1] port hybrid pvid vlan 2[switch-gigabitethernet1/0/1] port hybrid untagged vlan 2[switch-gigabitethernet1/0/1] quit[switch] interface gigabitethernet 1/0/2[switch-gigabitethernet1/0/2] port link-type hybrid[switch-gigabitethernet1/0/2] port hybrid pvid vlan 2[switch-gigabitethernet1/0/2] port hybrid untagged vlan 2[switch-gigabitethernet1/0/2] quit
# 在vlan2上配置mac地址学习限制规则:最多可以学习100个mac地址,超过最大mac地址学习数量的报文继续转发但不加入mac地址表,并进行告警提示。
[switch] vlan 2[switch-vlan2] mac-limit maximum 100 action forward alarm enable[switch-vlan2] return
验证配置结果
# 在任意视图下执行display mac-limit命令,查看mac地址学习限制规则是否配置成功。
display mac-limitmac limit is enabledtotal mac limit rule count : 1port vlan/vsi slot maximum rate(ms) action alarm----------------------------------------------------------------------------- 2 - 100 - forward enable
配置文件
以下仅给出switch的配置文件。
#sysname switch#vlan batch 2#vlan 2 mac-limit maximum 100 action forward#interface gigabitethernet1/0/1 port link-type hybrid port hybrid pvid vlan 2 port hybrid untagged vlan 2#interface gigabitethernet1/0/2 port link-type hybrid port hybrid pvid vlan 2 port hybrid untagged vlan 2#return
05配置基于vsi的mac地址学习限制示例
组网需求
如图 5,某企业机构,自建骨干网。为了保证骨干网的安全,在pe设备上通过配置基于vsi的mac地址学习限制功能,实现对ce的接入控制。
图 5 配置基于vsi的mac地址学习限制组网图
配置思路
采用如下的思路配置基于vsi的mac地址学习限制:
在骨干网上配置路由协议实现互通。
在pe之间建立远端ldp会话。
在pe间建立传输业务数据所使用的隧道。
在pe上使能mpls l2vpn。
在pe上创建vsi,指定信令为ldp。
在pe设备基于vsi配置mac地址学习限制,完成对ce的接入控制。
操作步骤
配置各接口所属的vlan以及相关接口ip地址
# 配置ce1。
system-view[huawei] sysname ce1[ce1] vlan 10[ce1-vlan10] quit[ce1] interface vlanif 10[ce1-vlanif10] ip address 10.1.1.1 255.255.255.0[ce1-vlanif10] quit[ce1] interface gigabitethernet 1/0/0[ce1-gigabitethernet1/0/0] port link-type trunk[ce1-gigabitethernet1/0/0] port trunk allow-pass vlan 10[ce1-gigabitethernet1/0/0] quit
# 配置ce2。
system-view[huawei] sysname ce2[ce2] vlan 40[ce2-vlan40] quit[ce2] interface vlanif 40[ce2-vlanif40] ip address 10.1.1.2 255.255.255.0[ce2-vlanif40] quit[ce2] interface gigabitethernet 1/0/0[ce2-gigabitethernet1/0/0] port link-type trunk[ce2-gigabitethernet1/0/0] port trunk allow-pass vlan 40[ce2-gigabitethernet1/0/0] quit
# 配置pe1。
system-view[huawei] sysname pe1[pe1] vlan batch 10 20[pe1] interface vlanif 20[pe1-vlanif20] ip address 4.4.4.4 255.255.255.0[pe1-vlanif20] quit[pe1] interface gigabitethernet 1/0/0[pe1-gigabitethernet1/0/0] port link-type trunk[pe1-gigabitethernet1/0/0] port trunk allow-pass vlan 10[pe1-gigabitethernet1/0/0] quit[pe1] interface gigabitethernet 2/0/0[pe1-gigabitethernet2/0/0] port link-type trunk[pe1-gigabitethernet2/0/0] port trunk allow-pass vlan 20[pe1-gigabitethernet2/0/0] quit
# 配置p。
system-view[huawei] sysname p[p] vlan batch 20 30[p] interface vlanif 20[p-vlanif20] ip address 4.4.4.2 255.255.255.0[p-vlanif20] quit[p] interface vlanif 30[p-vlanif30] ip address 5.5.5.5 255.255.255.0[p-vlanif30] quit[p] interface gigabitethernet 1/0/0[p-gigabitethernet1/0/0] port link-type trunk[p-gigabitethernet1/0/0] port trunk allow-pass vlan 20[p-gigabitethernet1/0/0] quit[p] interface gigabitethernet 2/0/0[p-gigabitethernet2/0/0] port link-type trunk[p-gigabitethernet2/0/0] port trunk allow-pass vlan 30[p-gigabitethernet2/0/0] quit
# 配置pe2。
system-view[huawei] sysname pe2[pe2] vlan batch 30 40[pe2] interface vlanif 30[pe2-vlanif30] ip address 5.5.5.2 255.255.255.0[pe2-vlanif30] quit[pe2] interface gigabitethernet 1/0/0[pe2-gigabitethernet1/0/0] port link-type trunk[pe2-gigabitethernet1/0/0] port trunk allow-pass vlan 30[pe2-gigabitethernet1/0/0] quit[pe2] interface gigabitethernet 2/0/0[pe2-gigabitethernet2/0/0] port link-type trunk[pe2-gigabitethernet2/0/0] port trunk allow-pass vlan 40[pe2-gigabitethernet2/0/0] quit
配置igp,本例中使用ospf。
配置ospf时,注意需要发布pe1、p和pe2的32位loopback接口地址(lsr-id)。
# 配置pe1。
[pe1] router id 1.1.1.1[pe1] interface loopback 1[pe1-loopback1] ip address 1.1.1.1 32[pe1-loopback1] quit[pe1] ospf 1[pe1-ospf-1] area 0[pe1-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0[pe1-ospf-1-area-0.0.0.0] network 4.4.4.4 0.0.0.255[pe1-ospf-1-area-0.0.0.0] quit[pe1-ospf-1] quit
# 配置p。
[p] router id 2.2.2.2[p] interface loopback 1[p-loopback1] ip address 2.2.2.2 32[p-loopback1] quit[p] ospf 1[p-ospf-1] area 0[p-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.0[p-ospf-1-area-0.0.0.0] network 4.4.4.2 0.0.0.255[p-ospf-1-area-0.0.0.0] network 5.5.5.5 0.0.0.255[p-ospf-1-area-0.0.0.0] quit[p-ospf-1] quit
# 配置pe2。
[pe2] router id 3.3.3.3[pe2] interface loopback 1[pe2-loopback1] ip address 3.3.3.3 32[pe2-loopback1] quit[pe2] ospf 1[pe2-ospf-1] area 0[pe2-ospf-1-area-0.0.0.0] network 3.3.3.3 0.0.0.0[pe2-ospf-1-area-0.0.0.0] network 5.5.5.2 0.0.0.255[pe2-ospf-1-area-0.0.0.0] quit[pe2-ospf-1] quit
配置完成后,在pe1、p和pe2上执行display ip routing-table命令可以看到已学到彼此的路由。以pe1的显示为例:
[pe1] display ip routing-table route flags: r - relay, d - download to fib, t - to vpn-instance ------------------------------------------------------------------------------ routing tables: public destinations : 8 routes : 8 destination/mask proto pre cost flags nexthop interface 1.1.1.1/32 direct 0 0 d 127.0.0.1 loopback1 2.2.2.2/32 ospf 10 1 d 4.4.4.2 vlanif20 3.3.3.3/32 ospf 10 2 d 4.4.4.2 vlanif20 4.4.4.0/24 direct 0 0 d 4.4.4.4 vlanif20 4.4.4.4/32 direct 0 0 d 127.0.0.1 vlanif20 5.5.5.0/24 ospf 10 2 d 4.4.4.2 vlanif20 127.0.0.0/8 direct 0 0 d 127.0.0.1 inloopback0 127.0.0.1/32 direct 0 0 d 127.0.0.1 inloopback0
配置mpls基本能力和ldp
# 配置pe1
[pe1] mpls lsr-id 1.1.1.1[pe1] mpls[pe1-mpls] quit[pe1] mpls ldp[pe1-mpls-ldp] quit[pe1] interface vlanif 20[pe1-vlanif20] mpls[pe1-vlanif20] mpls ldp[pe1-vlanif20] quit
# 配置p
[p] mpls lsr-id 2.2.2.2[p] mpls[p-mpls] quit[p] mpls ldp[p-mpls-ldp] quit[p] interface vlanif 20[p-vlanif20] mpls[p-vlanif20] mpls ldp[p-vlanif20] quit[p] interface vlanif 30[p-vlanif30] mpls[p-vlanif30] mpls ldp[p-vlanif30] quit
# 配置pe2
[pe2] mpls lsr-id 3.3.3.3[pe2] mpls[pe2-mpls] quit[pe2] mpls ldp[pe2-mpls-ldp] quit[pe2] interface vlanif 30[pe2-vlanif30] mpls[pe2-vlanif30] mpls ldp[pe2-vlanif30] quit
配置完成后,在pe1、p和pe2上执行display mpls ldp session命令可以看到pe1和p之间或pe2和p之间的对等体的status项为“operational”,即对等体关系已建立。执行display mpls lsp命令可以看到lsp的建立情况。以pe1的显示为例:
[pe1] display mpls ldp session ldp session(s) in public network codes: lam(label advertisement mode), ssnage unit(ddddmm) a '*' before a session means the session is being deleted. ------------------------------------------------------------------------------ peerid status lam ssnrole ssnage kasent/rcv ------------------------------------------------------------------------------ 2.2.2.2:0 operational du passive 00029 3717/3717 ------------------------------------------------------------------------------ total: 1 session(s) found.
在pe之间建立远端ldp会话
# 配置pe1。
[pe1] mpls ldp remote-peer 3.3.3.3[pe1-mpls-ldp-remote-3.3.3.3] remote-ip 3.3.3.3[pe1-mpls-ldp-remote-3.3.3.3] quit
# 配置pe2。
[pe2] mpls ldp remote-peer 1.1.1.1[pe2-mpls-ldp-remote-1.1.1.1] remote-ip 1.1.1.1[pe2-mpls-ldp-remote-1.1.1.1] quit
配置完成后,在pe1或pe2上执行display mpls ldp session命令可以看到pe1和pe2之间的对等体的status项为“operational”,即远端对等体关系已建立。
在pe上使能mpls l2vpn
# 配置pe1。
[pe1] mpls l2vpn[pe1-l2vpn] quit
# 配置pe2。
[pe2] mpls l2vpn[pe2-l2vpn] quit
在pe上配置vsi
# 配置pe1。
[pe1] vsi a2 static[pe1-vsi-a2] pwsignal ldp[pe1-vsi-a2-ldp] vsi-id 2[pe1-vsi-a2-ldp] peer 3.3.3.3[pe1-vsi-a2-ldp] quit[pe1-vsi-a2] quit
# 配置pe2。
[pe2] vsi a2 static[pe2-vsi-a2] pwsignal ldp[pe2-vsi-a2-ldp] vsi-id 2[pe2-vsi-a2-ldp] peer 1.1.1.1[pe2-vsi-a2-ldp] quit[pe2-vsi-a2] quit
在pe上配置vsi与接口的绑定
# 配置pe1。
[pe1] interface vlanif 10[pe1-vlanif10] l2 binding vsi a2[pe1-vlanif10] quit
# 配置pe2。
[pe2] interface vlanif 40[pe2-vlanif40] l2 binding vsi a2[pe2-vlanif40] quit
验证配置结果
完成上述配置后,在pe1上执行display vsi name a2 verbose命令,可以看到名字为a2的vsi建立了一条pw到pe2,vsi状态为up。
[pe1] display vsi name a2 verbose ***vsi name : a2 administrator vsi : no isolate spoken : disable vsi index : 0 pw signaling : ldp member discovery style : static pw mac learn style : unqualify encapsulation type : vlan mtu : 1500 diffserv mode : uniform mpls exp : -- domainid : 255 domain name : ignore acstate : disable p2p vsi : disable create time : 0 days, 0 hours, 5 minutes, 1 seconds vsi state : up vsi id : 2 *peer router id : 3.3.3.3 negotiation-vc-id : 2 primary or secondary : primary ignore-standby-state : no vc label : 4098 peer type : dynamic session : up tunnel id : 0x1 broadcast tunnel id : 0x1 broad backuptunnel id : 0x0 ckey : 2 nkey : 1 stp enable : 0 pwindex : 0 control word : disable interface name : vlanif10 state : up access port : false last up time : 2010/12/30 1118 total up time : 0 days, 0 hours, 1 minutes, 35 seconds **pw information: *peer ip address : 3.3.3.3 pw state : up local vc label : 4098 remote vc label : 4098 remote control word : disable pw type : label local vccv : alert lsp-ping bfd remote vccv : alert lsp-ping bfd tunnel id : 0x1 broadcast tunnel id : 0x1 broad backuptunnel id : 0x0 ckey : 0x2 nkey : 0x1 main pw token : 0x1 slave pw token : 0x0 tnl type : lsp outinterface : vlanif20 backup outinterface : stp enable : 0 pw last up time : 2010/12/30 1103 pw total up time : 0 days, 0 hours, 1 minutes, 35 seconds
在ce1(10.1.1.1)上能够ping通ce2(10.1.1.2)。
[ce1] ping 10.1.1.2 ping 10.1.1.2: 56 data bytes, press ctrl_c to break reply from 10.1.1.2: bytes=56 sequence=1 ttl=255 time=90 ms reply from 10.1.1.2: bytes=56 sequence=2 ttl=255 time=77 ms reply from 10.1.1.2: bytes=56 sequence=3 ttl=255 time=34 ms reply from 10.1.1.2: bytes=56 sequence=4 ttl=255 time=46 ms reply from 10.1.1.2: bytes=56 sequence=5 ttl=255 time=94 ms --- 10.1.1.2 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 34/68/94 ms
在pe1的vsi上配置mac地址学习限制
# 在vsi上配置mac地址学习限制规则:最多可以学习300个mac地址,超过最大mac地址学习数量的报文直接丢弃并进行告警提示。
[pe1] vsi a2 static[pe1-vsi-a2] mac-limit maximum 300 action discard alarm enable[pe1-vsi-a2] return
验证配置结果
# 在任意视图下执行display mac-limit命令,查看mac地址学习限制规则是否配置成功。
display mac-limitmac limit is enabledtotal mac limit rule count : 1port vlan/vsi slot maximum rate(ms) action alarm----------------------------------------------------------------------------- a2 - 300 - discard enable
配置文件
ce1的配置文件
#sysname ce1#vlan batch 10#interface vlanif10 ip address 10.1.1.1 255.255.255.0#interface gigabitethernet1/0/0 port link-type trunk port trunk allow-pass vlan 10#return
ce2的配置文件
#sysname ce2#vlan batch 40#interface vlanif40 ip address 10.1.1.2 255.255.255.0#interface gigabitethernet1/0/0 port link-type trunk port trunk allow-pass vlan 40#return
pe1的配置文件
#sysname pe1#router id 1.1.1.1#vlan batch 10 20#mpls lsr-id 1.1.1.1mpls#mpls l2vpn#vsi a2 static mac-limit maximum 300 pwsignal ldp vsi-id 2 peer 3.3.3.3# mpls ldp#mpls ldp remote-peer 3.3.3.3 remote-ip 3.3.3.3#interface vlanif10 l2 binding vsi a2#interface vlanif20 ip address 4.4.4.4 255.255.255.0 mpls mpls ldp#interface gigabitethernet1/0/0 port link-type trunk port trunk allow-pass vlan 10#interface gigabitethernet2/0/0 port link-type trunk port trunk allow-pass vlan 20#interface loopback1 ip address 1.1.1.1 255.255.255.255#ospf 1 area 0.0.0.0 network 1.1.1.1 0.0.0.0 network 4.4.4.0 0.0.0.255#return
p的配置文件
#sysname p#router id 2.2.2.2#vlan batch 20 30#mpls lsr-id 2.2.2.2mpls#mpls ldp#interface vlanif20 ip address 4.4.4.2 255.255.255.0 mpls mpls ldp#interface vlanif30 ip address 5.5.5.5 255.255.255.0 mpls mpls ldp#interface gigabitethernet1/0/0 port link-type trunk port trunk allow-pass vlan 20#interface gigabitethernet2/0/0 port link-type trunk port trunk allow-pass vlan 30#interface loopback1 ip address 2.2.2.2 255.255.255.255#ospf 1 area 0.0.0.0 network 2.2.2.2 0.0.0.0 network 4.4.4.0 0.0.0.255 network 5.5.5.0 0.0.0.255#return
pe2的配置文件
#sysname pe2#router id 3.3.3.3#vlan batch 30 40#mpls lsr-id 3.3.3.3mpls#mpls l2vpn#vsi a2 static pwsignal ldp vsi-id 2 peer 1.1.1.1#mpls ldp#mpls ldp remote-peer 1.1.1.1 remote-ip 1.1.1.1#interface vlanif30 ip address 5.5.5.2 255.255.255.0 mpls mpls ldp#interface vlanif40 l2 binding vsi a2#interface gigabitethernet1/0/0 port link-type trunk port trunk allow-pass vlan 30#interface gigabitethernet2/0/0 port link-type trunk port trunk allow-pass vlan 40#interface loopback1 ip address 3.3.3.3 255.255.255.255#ospf 1 area 0.0.0.0 network 3.3.3.3 0.0.0.0 network 5.5.5.0 0.0.0.255#return
06配置mac防漂移示例
组网需求
某企业网络中,用户需要访问企业的服务器。如果某些非法用户从其他接口假冒服务器的mac地址发送报文,则服务器的mac地址将在其他接口学习到。这样用户发往服务器的报文就会发往非法用户,不仅会导致用户与服务器不能正常通信,还会导致一些重要用户信息被窃取。
如图 6 所示,为了提高服务器安全性,防止被非法用户攻击,可配置mac防漂移功能。
图 6 配置mac防漂移组网图
配置思路
采用如下的思路配置mac防漂移:
创建vlan,并将接口加入到vlan中,实现二层转发功能。
在服务器连接的接口上配置mac防漂移功能,实现mac地址防漂移。
操作步骤
创建vlan,并将接口加入到vlan中。
# 将gigabitethernet1/0/1、gigabitethernet1/0/2加入vlan10。
system-view[huawei] sysname switch[switch] vlan 10[switch-vlan10] quit[switch] interface gigabitethernet 1/0/2[switch-gigabitethernet1/0/2] port link-type trunk[switch-gigabitethernet1/0/2] port trunk allow-pass vlan 10 [switch-gigabitethernet1/0/2] quit[switch] interface gigabitethernet 1/0/1[switch-gigabitethernet1/0/1] port link-type hybrid[switch-gigabitethernet1/0/1] port hybrid pvid vlan 10[switch-gigabitethernet1/0/1] port hybrid untagged vlan 10
# 在gigabitethernet1/0/1上配置mac地址学习的优先级为2。
[switch-gigabitethernet1/0/1] mac-learning priority 2[switch-gigabitethernet1/0/1] quit
验证配置结果
# 在任意视图下执行display current-configuration命令,查看接口mac地址学习的优先级配置是否正确。
[switch] display current-configuration interface gigabitethernet 1/0/1#interface gigabitethernet1/0/1 port link-type hybrid port hybrid pvid vlan 10 port hybrid untagged vlan 10 mac-learning priority 2#return
配置文件
switch的配置文件
#sysname switch#vlan batch 10#interface gigabitethernet1/0/1 port link-type hybrid port hybrid pvid vlan 10 port hybrid untagged vlan 10 mac-learning priority 2#interface gigabitethernet1/0/2 port link-type trunk port trunk allow-pass vlan 10#return
07配置mac地址漂移检测示例
组网需求
如图 7 所示,网络中两台lsw间网线误接形成了网络环路,引起mac地址发生漂移、mac地址表震荡。
为了能够及时检测网络中出现的环路,可以在switch上配置mac地址漂移检测功能,通过检测是否发生mac地址漂移来判断网络中存在的环路,从而排除故障。
图 7 配置mac地址漂移检测应用组网图
配置思路
采用如下思路配置mac地址漂移检测功能:
开启mac地址漂移检测功能,实现检测网络中是否存在mac地址漂移。
配置mac地址漂移表项的老化时间。
配置接口mac地址漂移后的处理动作,实现破除环路。
操作步骤
#开启mac地址漂移检测功能
system-view[huawei] sysname switch[switch] mac-address flapping detection
#配置mac地址漂移表项的老化时间
[switch] mac-address flapping aging-time 500
#配置ge1/0/1、ge1/0/2接口mac地址漂移后关闭
[switch] interface gigabitethernet 1/0/1[switch-gigabitethernet1/0/1] mac-address flapping action error-down[switch-gigabitethernet1/0/1] quit[switch] interface gigabitethernet 1/0/2[switch-gigabitethernet1/0/2] mac-address flapping action error-down[switch-gigabitethernet1/0/2] quit
#配置被shutdown接口的自动恢复功能、自动恢复时间
[switch] error-down auto-recovery cause mac-address-flapping interval 500
#检查配置结果
配置完成后,当接口ge1/0/1的mac地址漂移到接口ge1/0/2后,接口ge1/0/2关闭;使用display mac-address flapping record可查看到漂移记录。
[switch] display mac-address flapping record s : start time e : end time (q) : quit vlan (d) : error down -------------------------------------------------------------------------------move-time vlan mac-address original-port move-ports movenum-------------------------------------------------------------------------------s:2012-04-01 1736 1 0000-0000-0007 ge1/0/1 ge1/0/2(d) 83e:2012-04-01 1744-------------------------------------------------------------------------------total items on slot 1: 1
配置文件
switch的配置文件
#sysname switch# error-down auto-recovery cause mac-address-flapping interval 500 # mac-address flapping aging-time 500 #interface gigabitethernet1/0/1 mac-address flapping action error-down #interface gigabitethernet1/0/2 mac-address flapping action error-down #return
BOE京东方携创维推全球首款主动式玻璃基Mini LED电视
物联网最新技术可穿戴设备可以在任何环境包括外太空使用了
水质传感器市场分析
微流控芯片技术的应用领域有哪些
5G切片技术,为5G带来无限生机
MAC地址相关的7种配置示例
德索告诉你LVDS连接器对设计和对材料的要求
小米6发布会几点开始? 小米6发布会直播网址介绍
数明半导体高压、高速MOSFET/IGBT 驱动器通过AEC-Q100认证
关于FPGA四输入、六输入基本逻辑单元LUT的一点理解
有方科技携手中国移动共助物联产业智能化升级
基于电源管理芯片RTQ2134-QA进行光电式焊接检查封装
2021年应关注的四个大数据趋势
万用表怎么使用,它是如何工作的
什么是静电 静电到底有多恐怖如何预防静电
高频PCB要如何选择正确的材料?
直流减速电机如何接线 直流减速电机原理图
光耦坏了对电路的影响
一场缺芯引起的全产业链脱轨的恶性循环正在上演
点胶加工在提升产品的EMI电磁屏蔽性能中的应用
mac(media access control)地址用来定义网络设备的位置。mac地址由48比特长、12位的16进制数字组成,其中从左到右开始,0到23bit是厂商向ietf等机构申请用来标识厂商的代码,24到47bit由厂商自行分派,是各个厂商制造的所有网卡的一个唯一编号。
mac地址可以分为3种类型:
物理mac地址:这种类型的mac地址唯一的标识了以太网上的一个终端,该地址为全球唯一的硬件地址;
广播mac地址:全1的mac地址为广播地址(ff-ff-ff-ff-ff-ff),用来表示lan上的所有终端设备;
组播mac地址:除广播地址外,第8bit为1的mac地址为组播mac地址(例如01-00-00-00-00-00),用来代表lan上的一组终端。其中以01-80-c2开头的组播mac地址叫bpdu mac,一般作为协议报文的目的mac地址标示某种协议报文。
本文主要介绍mac地址相关的7种配置示例。
01配置静态mac地址示例
组网需求
如图 1 所示,用户主机pc的mac地址为0002-0002-0002,与switch的ge1/0/1接口相连。server服务器的mac地址为0004-0004-0004,与switch的ge1/0/2接口相连。用户主机pc和server服务器均在vlan2内通信。
为防止mac地址攻击,在switch的mac表中为用户主机添加一条静态表项。
为防止非法用户假冒server的mac地址窃取重要用户信息,在switch上为server服务器添加一条静态mac地址表项。
图 1 配置静态mac表组网图
配置思路
采用如下的思路配置mac表:
创建vlan,并将接口加入到vlan中,实现二层转发功能。
添加静态mac地址表项,防止非法用户攻击。
操作步骤
添加静态mac地址表项
# 创建vlan2,将接口gigabitethernet1/0/1、gigabitethernet1/0/2加入vlan2。
system-view[huawei] sysname switch[switch] vlan 2[switch-vlan2] quit[switch] interface gigabitethernet 1/0/1[switch-gigabitethernet1/0/1] port link-type access[switch-gigabitethernet1/0/1] port default vlan 2[switch-gigabitethernet1/0/1] quit[switch] interface gigabitethernet 1/0/2[switch-gigabitethernet1/0/2] port link-type access[switch-gigabitethernet1/0/2] port default vlan 2[switch-gigabitethernet1/0/2] quit
# 配置静态mac地址表项。
[switch] mac-address static 2-2-2 gigabitethernet 1/0/1 vlan 2[switch] mac-address static 4-4-4 gigabitethernet 1/0/2 vlan 2
验证配置结果
# 在任意视图下执行display mac-address static vlan 2命令,查看静态mac表是否添加成功。
[switch] display mac-address static vlan 2------------------------------------------------------------------------------- mac address vlan/vsi/bd learned-from type -------------------------------------------------------------------------------0002-0002-0002 2/-/- ge1/0/1 static 0004-0004-0004 2/-/- ge1/0/2 static-------------------------------------------------------------------------------total items displayed = 2
配置文件
switch的配置文件
#sysname switch#vlan batch 2#interface gigabitethernet1/0/1 port link-type access port default vlan 2#interface gigabitethernet1/0/2 port link-type access port default vlan 2#mac-address static 0002-0002-0002 gigabitethernet1/0/1 vlan 2mac-address static 0004-0004-0004 gigabitethernet1/0/2 vlan 2#return
02配置黑洞mac地址示例
组网需求
如图 2所示,交换机switch收到一个非法用户的访问,非法用户的mac地址为0005-0005-0005,所属vlan为vlan3。通过指定该mac地址为黑洞mac,实现非法用户的过滤。
图 2 配置黑洞mac表组网图
配置思路
采用如下的思路配置mac表:
创建vlan,实现二层转发功能。
添加黑洞mac表,防止mac地址攻击。
操作步骤
添加黑洞mac地址表项
# 创建vlan3。
system-view[huawei] sysname switch[switch] vlan 3[switch-vlan3] quit
# 添加黑洞mac地址表项。
[switch] mac-address blackhole 0005-0005-0005 vlan 3
验证配置结果
# 在任意视图下执行display mac-address blackhole命令,查看黑洞mac表是否添加成功。
[switch] display mac-address blackhole------------------------------------------------------------------------------- mac address vlan/vsi/bd learned-from type ------------------------------------------------------------------------------- 0005-0005-0005 3/-/- - blackhole ------------------------------------------------------------------------------- total items displayed = 1
配置文件
switch的配置文件
#sysname switch#vlan batch 3#mac-address blackhole 0005-0005-0005 vlan 3 #return
03配置基于接口的mac地址学习限制示例
组网需求
如图 3 所示,用户网络1和用户网络2通过lsw与switch相连,switch连接lsw的接口为ge1/0/1。用户网络1和用户网络2分别属于vlan10和vlan20。在switch上,为了控制接入用户数量,可以基于接口ge1/0/1配置mac地址学习限制功能。
图 3 配置基于接口的mac地址学习限制数组网图
配置思路
采用如下的思路配置基于接口的mac地址学习限制:
创建vlan,并将接口加入到vlan中,实现二层转发功能。
配置基于接口的mac地址学习限制,控制接入用户数量。
操作步骤
配置mac地址学习限制
# 将gigabitethernet1/0/1加入vlan10和vlan20。
system-view[huawei] sysname switch[switch] vlan batch 10 20[switch] interface gigabitethernet 1/0/1[switch-gigabitethernet1/0/1] port link-type hybrid[switch-gigabitethernet1/0/1] port hybrid tagged vlan 10 20
# 在接口gigabitethernet1/0/1上配置mac地址学习限制规则:最多可以学习100个mac地址,超过最大mac地址学习数量的报文丢弃,并进行告警提示。
[switch-gigabitethernet1/0/1] mac-limit maximum 100 action discard alarm enable[switch-gigabitethernet1/0/1] return
验证配置结果
# 在任意视图下执行display mac-limit命令,查看mac地址学习限制规则是否配置成功。
display mac-limitmac limit is enabled total mac limit rule count : 1 port vlan/vsi slot maximum rate(ms) action alarm ---------------------------------------------------------------------------- ge1/0/1 - - 100 - discard enable
配置文件
以下仅给出switch的配置文件。
#sysname switch#vlan batch 10 20#interface gigabitethernet1/0/1 port link-type hybrid port hybrid tagged vlan 10 20 mac-limit maximum 100#return
04配置基于vlan的mac地址学习限制示例
组网需求
如图 4 所示,用户网络1通过lsw1与switch相连,switch的接口为ge1/0/1。用户网络2通过lsw2与switch相连,switch的接口为ge1/0/2。ge1/0/1、ge1/0/2同属于vlan2。为控制接入用户数,对vlan2进行mac地址学习的限制。
图 4 配置基于vlan的mac地址学习限制组网图
配置思路
采用如下的思路配置基于vlan的mac地址学习限制:
创建vlan,并将接口加入到vlan中,实现二层转发功能。
配置vlan的mac地址学习限制,实现防止mac地址攻击,控制接入用户数量。
操作步骤
配置mac地址学习限制
# 将gigabitethernet1/0/1、gigabitethernet1/0/2加入vlan2。
system-view[huawei] sysname switch[switch] vlan 2[switch-vlan2] quit[switch] interface gigabitethernet 1/0/1[switch-gigabitethernet1/0/1] port link-type hybrid[switch-gigabitethernet1/0/1] port hybrid pvid vlan 2[switch-gigabitethernet1/0/1] port hybrid untagged vlan 2[switch-gigabitethernet1/0/1] quit[switch] interface gigabitethernet 1/0/2[switch-gigabitethernet1/0/2] port link-type hybrid[switch-gigabitethernet1/0/2] port hybrid pvid vlan 2[switch-gigabitethernet1/0/2] port hybrid untagged vlan 2[switch-gigabitethernet1/0/2] quit
# 在vlan2上配置mac地址学习限制规则:最多可以学习100个mac地址,超过最大mac地址学习数量的报文继续转发但不加入mac地址表,并进行告警提示。
[switch] vlan 2[switch-vlan2] mac-limit maximum 100 action forward alarm enable[switch-vlan2] return
验证配置结果
# 在任意视图下执行display mac-limit命令,查看mac地址学习限制规则是否配置成功。
display mac-limitmac limit is enabledtotal mac limit rule count : 1port vlan/vsi slot maximum rate(ms) action alarm----------------------------------------------------------------------------- 2 - 100 - forward enable
配置文件
以下仅给出switch的配置文件。
#sysname switch#vlan batch 2#vlan 2 mac-limit maximum 100 action forward#interface gigabitethernet1/0/1 port link-type hybrid port hybrid pvid vlan 2 port hybrid untagged vlan 2#interface gigabitethernet1/0/2 port link-type hybrid port hybrid pvid vlan 2 port hybrid untagged vlan 2#return
05配置基于vsi的mac地址学习限制示例
组网需求
如图 5,某企业机构,自建骨干网。为了保证骨干网的安全,在pe设备上通过配置基于vsi的mac地址学习限制功能,实现对ce的接入控制。
图 5 配置基于vsi的mac地址学习限制组网图
配置思路
采用如下的思路配置基于vsi的mac地址学习限制:
在骨干网上配置路由协议实现互通。
在pe之间建立远端ldp会话。
在pe间建立传输业务数据所使用的隧道。
在pe上使能mpls l2vpn。
在pe上创建vsi,指定信令为ldp。
在pe设备基于vsi配置mac地址学习限制,完成对ce的接入控制。
操作步骤
配置各接口所属的vlan以及相关接口ip地址
# 配置ce1。
system-view[huawei] sysname ce1[ce1] vlan 10[ce1-vlan10] quit[ce1] interface vlanif 10[ce1-vlanif10] ip address 10.1.1.1 255.255.255.0[ce1-vlanif10] quit[ce1] interface gigabitethernet 1/0/0[ce1-gigabitethernet1/0/0] port link-type trunk[ce1-gigabitethernet1/0/0] port trunk allow-pass vlan 10[ce1-gigabitethernet1/0/0] quit
# 配置ce2。
system-view[huawei] sysname ce2[ce2] vlan 40[ce2-vlan40] quit[ce2] interface vlanif 40[ce2-vlanif40] ip address 10.1.1.2 255.255.255.0[ce2-vlanif40] quit[ce2] interface gigabitethernet 1/0/0[ce2-gigabitethernet1/0/0] port link-type trunk[ce2-gigabitethernet1/0/0] port trunk allow-pass vlan 40[ce2-gigabitethernet1/0/0] quit
# 配置pe1。
system-view[huawei] sysname pe1[pe1] vlan batch 10 20[pe1] interface vlanif 20[pe1-vlanif20] ip address 4.4.4.4 255.255.255.0[pe1-vlanif20] quit[pe1] interface gigabitethernet 1/0/0[pe1-gigabitethernet1/0/0] port link-type trunk[pe1-gigabitethernet1/0/0] port trunk allow-pass vlan 10[pe1-gigabitethernet1/0/0] quit[pe1] interface gigabitethernet 2/0/0[pe1-gigabitethernet2/0/0] port link-type trunk[pe1-gigabitethernet2/0/0] port trunk allow-pass vlan 20[pe1-gigabitethernet2/0/0] quit
# 配置p。
system-view[huawei] sysname p[p] vlan batch 20 30[p] interface vlanif 20[p-vlanif20] ip address 4.4.4.2 255.255.255.0[p-vlanif20] quit[p] interface vlanif 30[p-vlanif30] ip address 5.5.5.5 255.255.255.0[p-vlanif30] quit[p] interface gigabitethernet 1/0/0[p-gigabitethernet1/0/0] port link-type trunk[p-gigabitethernet1/0/0] port trunk allow-pass vlan 20[p-gigabitethernet1/0/0] quit[p] interface gigabitethernet 2/0/0[p-gigabitethernet2/0/0] port link-type trunk[p-gigabitethernet2/0/0] port trunk allow-pass vlan 30[p-gigabitethernet2/0/0] quit
# 配置pe2。
system-view[huawei] sysname pe2[pe2] vlan batch 30 40[pe2] interface vlanif 30[pe2-vlanif30] ip address 5.5.5.2 255.255.255.0[pe2-vlanif30] quit[pe2] interface gigabitethernet 1/0/0[pe2-gigabitethernet1/0/0] port link-type trunk[pe2-gigabitethernet1/0/0] port trunk allow-pass vlan 30[pe2-gigabitethernet1/0/0] quit[pe2] interface gigabitethernet 2/0/0[pe2-gigabitethernet2/0/0] port link-type trunk[pe2-gigabitethernet2/0/0] port trunk allow-pass vlan 40[pe2-gigabitethernet2/0/0] quit
配置igp,本例中使用ospf。
配置ospf时,注意需要发布pe1、p和pe2的32位loopback接口地址(lsr-id)。
# 配置pe1。
[pe1] router id 1.1.1.1[pe1] interface loopback 1[pe1-loopback1] ip address 1.1.1.1 32[pe1-loopback1] quit[pe1] ospf 1[pe1-ospf-1] area 0[pe1-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0[pe1-ospf-1-area-0.0.0.0] network 4.4.4.4 0.0.0.255[pe1-ospf-1-area-0.0.0.0] quit[pe1-ospf-1] quit
# 配置p。
[p] router id 2.2.2.2[p] interface loopback 1[p-loopback1] ip address 2.2.2.2 32[p-loopback1] quit[p] ospf 1[p-ospf-1] area 0[p-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.0[p-ospf-1-area-0.0.0.0] network 4.4.4.2 0.0.0.255[p-ospf-1-area-0.0.0.0] network 5.5.5.5 0.0.0.255[p-ospf-1-area-0.0.0.0] quit[p-ospf-1] quit
# 配置pe2。
[pe2] router id 3.3.3.3[pe2] interface loopback 1[pe2-loopback1] ip address 3.3.3.3 32[pe2-loopback1] quit[pe2] ospf 1[pe2-ospf-1] area 0[pe2-ospf-1-area-0.0.0.0] network 3.3.3.3 0.0.0.0[pe2-ospf-1-area-0.0.0.0] network 5.5.5.2 0.0.0.255[pe2-ospf-1-area-0.0.0.0] quit[pe2-ospf-1] quit
配置完成后,在pe1、p和pe2上执行display ip routing-table命令可以看到已学到彼此的路由。以pe1的显示为例:
[pe1] display ip routing-table route flags: r - relay, d - download to fib, t - to vpn-instance ------------------------------------------------------------------------------ routing tables: public destinations : 8 routes : 8 destination/mask proto pre cost flags nexthop interface 1.1.1.1/32 direct 0 0 d 127.0.0.1 loopback1 2.2.2.2/32 ospf 10 1 d 4.4.4.2 vlanif20 3.3.3.3/32 ospf 10 2 d 4.4.4.2 vlanif20 4.4.4.0/24 direct 0 0 d 4.4.4.4 vlanif20 4.4.4.4/32 direct 0 0 d 127.0.0.1 vlanif20 5.5.5.0/24 ospf 10 2 d 4.4.4.2 vlanif20 127.0.0.0/8 direct 0 0 d 127.0.0.1 inloopback0 127.0.0.1/32 direct 0 0 d 127.0.0.1 inloopback0
配置mpls基本能力和ldp
# 配置pe1
[pe1] mpls lsr-id 1.1.1.1[pe1] mpls[pe1-mpls] quit[pe1] mpls ldp[pe1-mpls-ldp] quit[pe1] interface vlanif 20[pe1-vlanif20] mpls[pe1-vlanif20] mpls ldp[pe1-vlanif20] quit
# 配置p
[p] mpls lsr-id 2.2.2.2[p] mpls[p-mpls] quit[p] mpls ldp[p-mpls-ldp] quit[p] interface vlanif 20[p-vlanif20] mpls[p-vlanif20] mpls ldp[p-vlanif20] quit[p] interface vlanif 30[p-vlanif30] mpls[p-vlanif30] mpls ldp[p-vlanif30] quit
# 配置pe2
[pe2] mpls lsr-id 3.3.3.3[pe2] mpls[pe2-mpls] quit[pe2] mpls ldp[pe2-mpls-ldp] quit[pe2] interface vlanif 30[pe2-vlanif30] mpls[pe2-vlanif30] mpls ldp[pe2-vlanif30] quit
配置完成后,在pe1、p和pe2上执行display mpls ldp session命令可以看到pe1和p之间或pe2和p之间的对等体的status项为“operational”,即对等体关系已建立。执行display mpls lsp命令可以看到lsp的建立情况。以pe1的显示为例:
[pe1] display mpls ldp session ldp session(s) in public network codes: lam(label advertisement mode), ssnage unit(ddddmm) a '*' before a session means the session is being deleted. ------------------------------------------------------------------------------ peerid status lam ssnrole ssnage kasent/rcv ------------------------------------------------------------------------------ 2.2.2.2:0 operational du passive 00029 3717/3717 ------------------------------------------------------------------------------ total: 1 session(s) found.
在pe之间建立远端ldp会话
# 配置pe1。
[pe1] mpls ldp remote-peer 3.3.3.3[pe1-mpls-ldp-remote-3.3.3.3] remote-ip 3.3.3.3[pe1-mpls-ldp-remote-3.3.3.3] quit
# 配置pe2。
[pe2] mpls ldp remote-peer 1.1.1.1[pe2-mpls-ldp-remote-1.1.1.1] remote-ip 1.1.1.1[pe2-mpls-ldp-remote-1.1.1.1] quit
配置完成后,在pe1或pe2上执行display mpls ldp session命令可以看到pe1和pe2之间的对等体的status项为“operational”,即远端对等体关系已建立。
在pe上使能mpls l2vpn
# 配置pe1。
[pe1] mpls l2vpn[pe1-l2vpn] quit
# 配置pe2。
[pe2] mpls l2vpn[pe2-l2vpn] quit
在pe上配置vsi
# 配置pe1。
[pe1] vsi a2 static[pe1-vsi-a2] pwsignal ldp[pe1-vsi-a2-ldp] vsi-id 2[pe1-vsi-a2-ldp] peer 3.3.3.3[pe1-vsi-a2-ldp] quit[pe1-vsi-a2] quit
# 配置pe2。
[pe2] vsi a2 static[pe2-vsi-a2] pwsignal ldp[pe2-vsi-a2-ldp] vsi-id 2[pe2-vsi-a2-ldp] peer 1.1.1.1[pe2-vsi-a2-ldp] quit[pe2-vsi-a2] quit
在pe上配置vsi与接口的绑定
# 配置pe1。
[pe1] interface vlanif 10[pe1-vlanif10] l2 binding vsi a2[pe1-vlanif10] quit
# 配置pe2。
[pe2] interface vlanif 40[pe2-vlanif40] l2 binding vsi a2[pe2-vlanif40] quit
验证配置结果
完成上述配置后,在pe1上执行display vsi name a2 verbose命令,可以看到名字为a2的vsi建立了一条pw到pe2,vsi状态为up。
[pe1] display vsi name a2 verbose ***vsi name : a2 administrator vsi : no isolate spoken : disable vsi index : 0 pw signaling : ldp member discovery style : static pw mac learn style : unqualify encapsulation type : vlan mtu : 1500 diffserv mode : uniform mpls exp : -- domainid : 255 domain name : ignore acstate : disable p2p vsi : disable create time : 0 days, 0 hours, 5 minutes, 1 seconds vsi state : up vsi id : 2 *peer router id : 3.3.3.3 negotiation-vc-id : 2 primary or secondary : primary ignore-standby-state : no vc label : 4098 peer type : dynamic session : up tunnel id : 0x1 broadcast tunnel id : 0x1 broad backuptunnel id : 0x0 ckey : 2 nkey : 1 stp enable : 0 pwindex : 0 control word : disable interface name : vlanif10 state : up access port : false last up time : 2010/12/30 1118 total up time : 0 days, 0 hours, 1 minutes, 35 seconds **pw information: *peer ip address : 3.3.3.3 pw state : up local vc label : 4098 remote vc label : 4098 remote control word : disable pw type : label local vccv : alert lsp-ping bfd remote vccv : alert lsp-ping bfd tunnel id : 0x1 broadcast tunnel id : 0x1 broad backuptunnel id : 0x0 ckey : 0x2 nkey : 0x1 main pw token : 0x1 slave pw token : 0x0 tnl type : lsp outinterface : vlanif20 backup outinterface : stp enable : 0 pw last up time : 2010/12/30 1103 pw total up time : 0 days, 0 hours, 1 minutes, 35 seconds
在ce1(10.1.1.1)上能够ping通ce2(10.1.1.2)。
[ce1] ping 10.1.1.2 ping 10.1.1.2: 56 data bytes, press ctrl_c to break reply from 10.1.1.2: bytes=56 sequence=1 ttl=255 time=90 ms reply from 10.1.1.2: bytes=56 sequence=2 ttl=255 time=77 ms reply from 10.1.1.2: bytes=56 sequence=3 ttl=255 time=34 ms reply from 10.1.1.2: bytes=56 sequence=4 ttl=255 time=46 ms reply from 10.1.1.2: bytes=56 sequence=5 ttl=255 time=94 ms --- 10.1.1.2 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 34/68/94 ms
在pe1的vsi上配置mac地址学习限制
# 在vsi上配置mac地址学习限制规则:最多可以学习300个mac地址,超过最大mac地址学习数量的报文直接丢弃并进行告警提示。
[pe1] vsi a2 static[pe1-vsi-a2] mac-limit maximum 300 action discard alarm enable[pe1-vsi-a2] return
验证配置结果
# 在任意视图下执行display mac-limit命令,查看mac地址学习限制规则是否配置成功。
display mac-limitmac limit is enabledtotal mac limit rule count : 1port vlan/vsi slot maximum rate(ms) action alarm----------------------------------------------------------------------------- a2 - 300 - discard enable
配置文件
ce1的配置文件
#sysname ce1#vlan batch 10#interface vlanif10 ip address 10.1.1.1 255.255.255.0#interface gigabitethernet1/0/0 port link-type trunk port trunk allow-pass vlan 10#return
ce2的配置文件
#sysname ce2#vlan batch 40#interface vlanif40 ip address 10.1.1.2 255.255.255.0#interface gigabitethernet1/0/0 port link-type trunk port trunk allow-pass vlan 40#return
pe1的配置文件
#sysname pe1#router id 1.1.1.1#vlan batch 10 20#mpls lsr-id 1.1.1.1mpls#mpls l2vpn#vsi a2 static mac-limit maximum 300 pwsignal ldp vsi-id 2 peer 3.3.3.3# mpls ldp#mpls ldp remote-peer 3.3.3.3 remote-ip 3.3.3.3#interface vlanif10 l2 binding vsi a2#interface vlanif20 ip address 4.4.4.4 255.255.255.0 mpls mpls ldp#interface gigabitethernet1/0/0 port link-type trunk port trunk allow-pass vlan 10#interface gigabitethernet2/0/0 port link-type trunk port trunk allow-pass vlan 20#interface loopback1 ip address 1.1.1.1 255.255.255.255#ospf 1 area 0.0.0.0 network 1.1.1.1 0.0.0.0 network 4.4.4.0 0.0.0.255#return
p的配置文件
#sysname p#router id 2.2.2.2#vlan batch 20 30#mpls lsr-id 2.2.2.2mpls#mpls ldp#interface vlanif20 ip address 4.4.4.2 255.255.255.0 mpls mpls ldp#interface vlanif30 ip address 5.5.5.5 255.255.255.0 mpls mpls ldp#interface gigabitethernet1/0/0 port link-type trunk port trunk allow-pass vlan 20#interface gigabitethernet2/0/0 port link-type trunk port trunk allow-pass vlan 30#interface loopback1 ip address 2.2.2.2 255.255.255.255#ospf 1 area 0.0.0.0 network 2.2.2.2 0.0.0.0 network 4.4.4.0 0.0.0.255 network 5.5.5.0 0.0.0.255#return
pe2的配置文件
#sysname pe2#router id 3.3.3.3#vlan batch 30 40#mpls lsr-id 3.3.3.3mpls#mpls l2vpn#vsi a2 static pwsignal ldp vsi-id 2 peer 1.1.1.1#mpls ldp#mpls ldp remote-peer 1.1.1.1 remote-ip 1.1.1.1#interface vlanif30 ip address 5.5.5.2 255.255.255.0 mpls mpls ldp#interface vlanif40 l2 binding vsi a2#interface gigabitethernet1/0/0 port link-type trunk port trunk allow-pass vlan 30#interface gigabitethernet2/0/0 port link-type trunk port trunk allow-pass vlan 40#interface loopback1 ip address 3.3.3.3 255.255.255.255#ospf 1 area 0.0.0.0 network 3.3.3.3 0.0.0.0 network 5.5.5.0 0.0.0.255#return
06配置mac防漂移示例
组网需求
某企业网络中,用户需要访问企业的服务器。如果某些非法用户从其他接口假冒服务器的mac地址发送报文,则服务器的mac地址将在其他接口学习到。这样用户发往服务器的报文就会发往非法用户,不仅会导致用户与服务器不能正常通信,还会导致一些重要用户信息被窃取。
如图 6 所示,为了提高服务器安全性,防止被非法用户攻击,可配置mac防漂移功能。
图 6 配置mac防漂移组网图
配置思路
采用如下的思路配置mac防漂移:
创建vlan,并将接口加入到vlan中,实现二层转发功能。
在服务器连接的接口上配置mac防漂移功能,实现mac地址防漂移。
操作步骤
创建vlan,并将接口加入到vlan中。
# 将gigabitethernet1/0/1、gigabitethernet1/0/2加入vlan10。
system-view[huawei] sysname switch[switch] vlan 10[switch-vlan10] quit[switch] interface gigabitethernet 1/0/2[switch-gigabitethernet1/0/2] port link-type trunk[switch-gigabitethernet1/0/2] port trunk allow-pass vlan 10 [switch-gigabitethernet1/0/2] quit[switch] interface gigabitethernet 1/0/1[switch-gigabitethernet1/0/1] port link-type hybrid[switch-gigabitethernet1/0/1] port hybrid pvid vlan 10[switch-gigabitethernet1/0/1] port hybrid untagged vlan 10
# 在gigabitethernet1/0/1上配置mac地址学习的优先级为2。
[switch-gigabitethernet1/0/1] mac-learning priority 2[switch-gigabitethernet1/0/1] quit
验证配置结果
# 在任意视图下执行display current-configuration命令,查看接口mac地址学习的优先级配置是否正确。
[switch] display current-configuration interface gigabitethernet 1/0/1#interface gigabitethernet1/0/1 port link-type hybrid port hybrid pvid vlan 10 port hybrid untagged vlan 10 mac-learning priority 2#return
配置文件
switch的配置文件
#sysname switch#vlan batch 10#interface gigabitethernet1/0/1 port link-type hybrid port hybrid pvid vlan 10 port hybrid untagged vlan 10 mac-learning priority 2#interface gigabitethernet1/0/2 port link-type trunk port trunk allow-pass vlan 10#return
07配置mac地址漂移检测示例
组网需求
如图 7 所示,网络中两台lsw间网线误接形成了网络环路,引起mac地址发生漂移、mac地址表震荡。
为了能够及时检测网络中出现的环路,可以在switch上配置mac地址漂移检测功能,通过检测是否发生mac地址漂移来判断网络中存在的环路,从而排除故障。
图 7 配置mac地址漂移检测应用组网图
配置思路
采用如下思路配置mac地址漂移检测功能:
开启mac地址漂移检测功能,实现检测网络中是否存在mac地址漂移。
配置mac地址漂移表项的老化时间。
配置接口mac地址漂移后的处理动作,实现破除环路。
操作步骤
#开启mac地址漂移检测功能
system-view[huawei] sysname switch[switch] mac-address flapping detection
#配置mac地址漂移表项的老化时间
[switch] mac-address flapping aging-time 500
#配置ge1/0/1、ge1/0/2接口mac地址漂移后关闭
[switch] interface gigabitethernet 1/0/1[switch-gigabitethernet1/0/1] mac-address flapping action error-down[switch-gigabitethernet1/0/1] quit[switch] interface gigabitethernet 1/0/2[switch-gigabitethernet1/0/2] mac-address flapping action error-down[switch-gigabitethernet1/0/2] quit
#配置被shutdown接口的自动恢复功能、自动恢复时间
[switch] error-down auto-recovery cause mac-address-flapping interval 500
#检查配置结果
配置完成后,当接口ge1/0/1的mac地址漂移到接口ge1/0/2后,接口ge1/0/2关闭;使用display mac-address flapping record可查看到漂移记录。
[switch] display mac-address flapping record s : start time e : end time (q) : quit vlan (d) : error down -------------------------------------------------------------------------------move-time vlan mac-address original-port move-ports movenum-------------------------------------------------------------------------------s:2012-04-01 1736 1 0000-0000-0007 ge1/0/1 ge1/0/2(d) 83e:2012-04-01 1744-------------------------------------------------------------------------------total items on slot 1: 1
配置文件
switch的配置文件
#sysname switch# error-down auto-recovery cause mac-address-flapping interval 500 # mac-address flapping aging-time 500 #interface gigabitethernet1/0/1 mac-address flapping action error-down #interface gigabitethernet1/0/2 mac-address flapping action error-down #return
BOE京东方携创维推全球首款主动式玻璃基Mini LED电视
物联网最新技术可穿戴设备可以在任何环境包括外太空使用了
水质传感器市场分析
微流控芯片技术的应用领域有哪些
5G切片技术,为5G带来无限生机
MAC地址相关的7种配置示例
德索告诉你LVDS连接器对设计和对材料的要求
小米6发布会几点开始? 小米6发布会直播网址介绍
数明半导体高压、高速MOSFET/IGBT 驱动器通过AEC-Q100认证
关于FPGA四输入、六输入基本逻辑单元LUT的一点理解
有方科技携手中国移动共助物联产业智能化升级
基于电源管理芯片RTQ2134-QA进行光电式焊接检查封装
2021年应关注的四个大数据趋势
万用表怎么使用,它是如何工作的
什么是静电 静电到底有多恐怖如何预防静电
高频PCB要如何选择正确的材料?
直流减速电机如何接线 直流减速电机原理图
光耦坏了对电路的影响
一场缺芯引起的全产业链脱轨的恶性循环正在上演
点胶加工在提升产品的EMI电磁屏蔽性能中的应用