本篇講解如何通過交換機實現非法MAC地址過濾功能。本篇以H3C S5500網管型交換機為例。
方案Ⅰ:MAC黑洞
由用戶手工配置的一類特殊的MAC地址,當交換機接收到源地址或目的地址為黑洞MAC地址的報文時,會將該報文丟棄。
`system-view [H3C]mac-address blackhole 11-22-33 vlan 1 `
方案Ⅱ:二層訪問列表
二層IPv4 ACL根據報文的源MAC地址、目的MAC地址、VLAN優先級、二層協議類型等二層信息制定規則,對報文進行相應的分析處理。 二層IPv4 ACL的序號取值范圍為4000~4999。
`system-view [H3C]acl number 4000 [H3C-acl-ethernetframe-4000]rule 0 deny source-mac 1111-2222-3333 ffff-ffff-ffff [H3C-acl-ethernetframe-4000]quit [H3C]interface GigabitEthernet 1/0/1 [H3C-GigabitEthernet1/0/1]packet-filter 4000 inbound `
方案Ⅲ:QOS策略
QoS策略包含了三個要素:類、流行為、策略。
用戶可以通過QoS策略將指定的類和流行為綁定起來,方便的進行QoS配置。
類
類是用來識別流的。類的要素包括:類的名稱和類的規則。
用戶可以通過命令定義一系列的規則,來對報文進行分類。
同時用戶可以通過命令指定規則之間的關系:and和or。
- and:報文只有匹配了所有的規則,設備才認為報文屬於這個類。
- or:報文只要匹配了類中的一個規則,設備就認為報文屬於這個類。
流行為
流行為用來定義針對報文所做的QoS動作。
流行為的要素包括:流行為的名稱和流行為中定義的動作。
用戶可以通過命令在一個流行為中定義多個動作。
策略
策略用來將指定的類和指定的流行為綁定起來。
策略的要素包括:策略名稱、綁定在一起的類和流行為的名稱。
QoS策略的配置過程
QoS策略的配置步驟如下:
(1) 定義類,並在類視圖中定義一組流分類規則;
(2) 定義流行為,並在流行為視圖中定義一組QoS動作;
(3) 定義策略,在策略視圖下為使用的類指定對應的流行為;
(4) 在以太網端口視圖或端口組視圖下應用QoS策略。
` system-view //進入系統視圖 [H3C] traffic classifier deny-mac operator or //定義名為deny-mac的類,匹配規則為or [H3C-classifier-deny-mac]if-match source-mac 1234-5678-1234 //匹配源mac [H3C-classifier-deny-mac]quit [H3C]traffic behavior deny-mac //定義流行為 [H3C-behavior-deny-mac]filter deny //行為:拒絕 [H3C-behavior-deny-mac]quit [H3C]qos policy deny-mac //定義qos規則 [H3C-qospolicy-deny-mac]classifier deny-mac behavior deny-mac //綁定類和行為 [H3C-qospolicy-deny-mac]quit [H3C]interface GigabitEthernet 1/0/1 [H3C-GigabitEthernet1/0/1]qos apply policy deny-mac inbound //應用QOS策略