H3C如何过滤非法MAC(交换机篇) |
您所在的位置:网站首页 › mac黑洞命令 › H3C如何过滤非法MAC(交换机篇) |
|
本篇讲解如何通过交换机实现非法MAC地址过滤功能。本篇以H3C S5500网管型交换机为例。 方案Ⅰ:MAC黑洞由用户手工配置的一类特殊的MAC地址,当交换机接收到源地址或目的地址为黑洞MAC地址的报文时,会将该报文丢弃。 `system-view [H3C]mac-address blackhole 11-22-33 vlan 1 ` 方案Ⅱ:二层访问列表二层IPv4 ACL根据报文的源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则,对报文进行相应的分析处理。 二层IPv4 ACL的序号取值范围为4000~4999。 `system-view [H3C]acl number 4000 [H3C-acl-ethernetframe-4000]rule 0 deny source-mac 1111-2222-3333 ffff-ffff-ffff [H3C-acl-ethernetframe-4000]quit [H3C]interface GigabitEthernet 1/0/1 [H3C-GigabitEthernet1/0/1]packet-filter 4000 inbound ` 方案Ⅲ:QOS策略QoS策略包含了三个要素:类、流行为、策略。用户可以通过QoS策略将指定的类和流行为绑定起来,方便的进行QoS配置。 类 类是用来识别流的。类的要素包括:类的名称和类的规则。用户可以通过命令定义一系列的规则,来对报文进行分类。同时用户可以通过命令指定规则之间的关系:and和or。 and:报文只有匹配了所有的规则,设备才认为报文属于这个类。 or:报文只要匹配了类中的一个规则,设备就认为报文属于这个类。流行为 流行为用来定义针对报文所做的QoS动作。流行为的要素包括:流行为的名称和流行为中定义的动作。用户可以通过命令在一个流行为中定义多个动作。 策略 策略用来将指定的类和指定的流行为绑定起来。策略的要素包括:策略名称、绑定在一起的类和流行为的名称。 QoS策略的配置过程 QoS策略的配置步骤如下: (1) 定义类,并在类视图中定义一组流分类规则; (2) 定义流行为,并在流行为视图中定义一组QoS动作; (3) 定义策略,在策略视图下为使用的类指定对应的流行为; (4) 在以太网端口视图或端口组视图下应用QoS策略。 ` system-view //进入系统视图 [H3C] traffic classifier deny-mac operator or //定义名为deny-mac的类,匹配规则为or [H3C-classifier-deny-mac]if-match source-mac 1234-5678-1234 //匹配源mac [H3C-classifier-deny-mac]quit [H3C]traffic behavior deny-mac //定义流行为 [H3C-behavior-deny-mac]filter deny //行为:拒绝 [H3C-behavior-deny-mac]quit [H3C]qos policy deny-mac //定义qos规则 [H3C-qospolicy-deny-mac]classifier deny-mac behavior deny-mac //绑定类和行为 [H3C-qospolicy-deny-mac]quit [H3C]interface GigabitEthernet 1/0/1 [H3C-GigabitEthernet1/0/1]qos apply policy deny-mac inbound //应用QOS策略 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |