專(zhuān)業(yè)網(wǎng)絡(luò )產(chǎn)品渠道分銷(xiāo)服務(wù)商Ruckus優(yōu)科,安移通Aruba,?#37197;JX-link,華為,H3C
在某一網(wǎng)絡(luò )的H3C華三交換機Switch上連接有文件服務(wù)器Server、網(wǎng)管服務(wù)器NMS(Network Management Server)及用戶(hù)網(wǎng)絡(luò )。Server、NMS和用戶(hù)網(wǎng)絡(luò )都在VLAN 10中。
現要求:
配置Server的MAC為靜態(tài)MAC地址表項,使用戶(hù)發(fā)往服務(wù)器的報文只從GigabitEthernet1/0/2單播發(fā)送出去;
配置NMS的MAC為靜態(tài)MAC地址表項,并要求連接NMS的端口GigabitEthernet1/0/10僅允許這臺NMS接入,其他主機無(wú)法通過(guò)此端口通信;
連接用戶(hù)網(wǎng)絡(luò )的端口GigabitEthernet1/0/5通過(guò)源MAC地址學(xué)習自動(dòng)建立用戶(hù)網(wǎng)絡(luò )的MAC地址表項;
在網(wǎng)絡(luò )運行一段時(shí)間后,有黑客利用用戶(hù)網(wǎng)絡(luò )中的一臺主機Host A生成大量源MAC地址不同的報文,使Switch上生成大量MAC地址表項,需要盡快防止黑客的這種攻擊。
MAC地址表組網(wǎng)示意圖
配置思路
為了使端口GigabitEthernet1/0/10只轉發(fā)來(lái)自NMS的報文,配置GigabitEthernet1/0/10最多可以學(xué)習到的MAC地址數為0。端口配置最多可以學(xué)習到的MAC地址數后,當端口收到源MAC地址不在MAC地址表里的報文會(huì )進(jìn)行丟棄。
對于非法用戶(hù)使用大量源MAC地址不同的報文攻擊設備,導致設備MAC地址表資源耗盡的攻擊,可以通過(guò)關(guān)閉端口或VLAN的MAC地址學(xué)習功能來(lái)防止這種攻擊。