配置
拓撲
命令
<Huawei>system-view #進入系統視圖 [Huawei]sysname SW1 #重命名為SW1 [SW1]vlan 10 #創建vlan10 [SW1-vlan10]quit #返回上一層 [SW1]port-group VLAN10-group #創建端口組名字為VLAN10-group [SW1-port-group-vlan10-group]group-member g0/0/1 to g0/0/5 #將g0/0/1到g0/0/5加入到組 [SW1-port-group-vlan10-group]port link-type access #將組里所有接口改為access [SW1-port-group-vlan10-group]port default vlan 10 #將組里所有接口默認VLAN改為VLAN10 [SW1-port-group-vlan10-group]port-security enable #將組里所有端口安全打開 [SW1-port-group-vlan10-group]port-security mac-address sticky #將組里所有MAC都設置為粘連(類似綁定) #默認一個端口最大MAC數量為1,也可以用以下命令更改 [SW1-port-group-vlan10-group]port-security max-mac-num 10 #該為10個,這里就不做更改 [SW1-port-group-vlan10-group]quit #返回上一層 [SW1]interface g0/0/1 #進入接口g0/0/1 [SW1-GigabitEthernet0/0/1]port-security protect-action protect #設置為如果違反端口安全則丟包 [SW1-GigabitEthernet0/0/1]int g0/0/2 #進入接口g0/0/2 [SW1-GigabitEthernet0/0/2]port-security protect-action restrict #設置為如果違反端口安全則向交換機發送日志並丟包 #此設置為默認設置,所以不設置也是此條 [SW1-GigabitEthernet0/0/2]int g0/0/3 #進入接口g0/0/3 [SW1-GigabitEthernet0/0/3]port-security protect-action shutdown #設置為如果違反端口安全則向交換機發送日志,丟包並將端口shutdown #需要管理員重新開啟 [SW1-GigabitEthernet0/0/3]quit #返回上一層 [SW1]mac-address static 5489-984E-0AAE GigabitEthernet 0/0/4 vlan 10 #將MAC地址5489-984E-0AAE 與接口g0/0/4 Vlan10 綁定在一起 #綁定后MAC地址在此端口有新MAC表時類型會變為Secutiy [SW1]interface g0/0/4 #進入接口g0/0/4 [SW1-GigabitEthernet0/0/4]mac-address learning disable action discard #禁止端口學習MAC地址(模擬器不能模擬) [SW1-GigabitEthernet0/0/4]quit #返回上一層 [SW1]mac-address blackhole 5489-9887-03F8 vlan 10 #將MAC地址5489-9887-03F8 vlan10 設置為黑洞MAC表(類型黑名單)
測試
#首先用PC 1 ping PC 2 3 4 5 #PC 5是不通的因為他是黑洞MAC #下面我們來看一下交換機的MAC表
我們更改接口下的PC會出現什么呢 PC 1: 因為PC 1 設置的protect模式,所以如果他換PC也就是MAC變了 即無法通信,交換機不會有日志,接口也不會down PC 2: 因為PC 2 設置的restrict模式,也就是默認模式,他如果換MAC了 即無法通信,交換機上會有日志,接口不會down PC 3: 因為PC 3 設置的shutdown模式,所以如果他換MAC了 即無法通信,交換機上會有日志,接口也會down掉 需要管理員再次開啟 PC 4: 因為PC 4 設置的靜態MAC地址,並且設置了讓交換機的g0/0/4端口 不自動學習MAC所以他MAC換掉應該也是無法通信的,但模擬器模擬不出來 所以模擬器上的結果的可以通信。沒有設置不自動學習MAC就可以通信 PC 5: 因為PC 5 設置了一個黑洞MAC地址也就是PC 5的MAC所以 不管源MAC還是目標MAC只要有黑洞MAC的都無法通信