在某一网络的H3C华三交换机Switch上连接有文件服务器Server、网管服务器NMS(Network Management Server)及用户网络。Server、NMS和用户网络都在VLAN 10中。
现要求:
配置Server的MAC为静态MAC地址表项,使用户发往服务器的报文只从GigabitEthernet1/0/2单播发送出去;
配置NMS的MAC为静态MAC地址表项,并要求连接NMS的端口GigabitEthernet1/0/10仅允许这台NMS接入,其他主机无法通过此端口通信;
连接用户网络的端口GigabitEthernet1/0/5通过源MAC地址学习自动建立用户网络的MAC地址表项;
在网络运行一段时间后,有黑客利用用户网络中的一台主机Host A生成大量源MAC地址不同的报文,使Switch上生成大量MAC地址表项,需要尽快防止黑客的这种攻击。
MAC地址表组网示意图
配置思路
为了使端口GigabitEthernet1/0/10只转发来自NMS的报文,配置GigabitEthernet1/0/10最多可以学习到的MAC地址数为0。端口配置最多可以学习到的MAC地址数后,当端口收到源MAC地址不在MAC地址表里的报文会进行丢弃。
对于非法用户使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽的攻击,可以通过关闭端口或VLAN的MAC地址学习功能来防止这种攻击。
联系人:宋经理
地址: 北京市通州区永乐店镇联航大厦2476
