H3C如何过滤非法MAC(交换机篇)

17 五月, 2017

本篇讲解如何通过交换机实现非法MAC地址过滤功能。本篇以H3C S5500网管型交换机为例。

方案Ⅰ:MAC黑洞

由用户手工配置的一类特殊的MAC地址,当交换机接收到源地址或目的地址为黑洞MAC地址的报文时,会将该报文丢弃。

<H3C>system-view [H3C]mac-address blackhole 11-22-33 vlan 1

方案Ⅱ:二层访问列表

二层IPv4 ACL根据报文的源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则,对报文进行相应的分析处理。 二层IPv4 ACL的序号取值范围为4000~4999。

<H3C>system-view [H3C]acl number 4000 [H3C-acl-ethernetframe-4000]rule 0 deny source-mac 1111-2222-3333 ffff-ffff-ffff [H3C-acl-ethernetframe-4000]quit [H3C]interface GigabitEthernet 1/0/1 [H3C-GigabitEthernet1/0/1]packet-filter 4000 inbound

方案Ⅲ:QOS策略

QoS策略包含了三个要素:类、流行为、策略。
用户可以通过QoS策略将指定的类和流行为绑定起来,方便的进行QoS配置。

类是用来识别流的。类的要素包括:类的名称和类的规则。
用户可以通过命令定义一系列的规则,来对报文进行分类。
同时用户可以通过命令指定规则之间的关系:and和or。

  • and:报文只有匹配了所有的规则,设备才认为报文属于这个类。
  • or:报文只要匹配了类中的一个规则,设备就认为报文属于这个类。

流行为

流行为用来定义针对报文所做的QoS动作。
流行为的要素包括:流行为的名称和流行为中定义的动作。
用户可以通过命令在一个流行为中定义多个动作。

策略

策略用来将指定的类和指定的流行为绑定起来。
策略的要素包括:策略名称、绑定在一起的类和流行为的名称。

QoS策略的配置过程

QoS策略的配置步骤如下:

(1) 定义类,并在类视图中定义一组流分类规则;

(2) 定义流行为,并在流行为视图中定义一组QoS动作;

(3) 定义策略,在策略视图下为使用的类指定对应的流行为;

(4) 在以太网端口视图或端口组视图下应用QoS策略。

<H3C> system-view //进入系统视图 [H3C] traffic classifier deny-mac operator or //定义名为deny-mac的类,匹配规则为or [H3C-classifier-deny-mac]if-match source-mac 1234-5678-1234 //匹配源mac [H3C-classifier-deny-mac]quit [H3C]traffic behavior deny-mac //定义流行为 [H3C-behavior-deny-mac]filter deny //行为:拒绝 [H3C-behavior-deny-mac]quit [H3C]qos policy deny-mac //定义qos规则 [H3C-qospolicy-deny-mac]classifier deny-mac behavior deny-mac //绑定类和行为 [H3C-qospolicy-deny-mac]quit [H3C]interface GigabitEthernet 1/0/1 [H3C-GigabitEthernet1/0/1]qos apply policy deny-mac inbound //应用QOS策略