[H3C]配置命令之MAC地址表项应用:封禁MAC地址

这篇具有很好参考价值的文章主要介绍了[H3C]配置命令之MAC地址表项应用:封禁MAC地址。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

MAC(Media Access Control,媒体访问控制)地址表记录了 MAC 地址与接口的对应关系,以及接口所属的 VLAN 等信息。设备在转发报文时,根据报文的目的 MAC 地址查询 MAC 地址表,如果MAC地址表中包含与报文目的MAC地址对应的表项,则直接通过该表项中的出接口转发该报文;如果 MAC 地址表中没有包含报文目的 MAC 地址对应的表项时,设备将采取广播方式通过对应VLAN 内除接收接口外的所有接口转发该报文。

MAC地址表记录了目的MAC地址、MAC地址对应的出接口以及所属的VLAN ID。在转发数据时,设备根据报文中的目的MAC地址查询MAC地址表,快速定位出接口,从而减少广播。

MAC 地址表项的分类

  • 静态 MAC 地址表项:由用户手工配置,用于目的是某个 MAC 地址的报文从对应接口转发出去,表项不老化。静态 MAC 地址表项优先级高于自动生成的 MAC 地址表项。
  • 动态 MAC 地址表项:可以由用户手工配置,也可以由设备通过源 MAC 地址学习自动生成,用于目的是某个 MAC 地址的报文从对应接口转发出去,表项有老化时间。手工配置的动态MAC 地址表项优先级等于自动生成的 MAC 地址表项。
  • 黑洞 MAC 地址表项:由用户手工配置,用于丢弃源 MAC 地址或目的 MAC 地址为指定 MAC地址的报文(例如,出于安全考虑,可以禁止某个用户发送和接收报文),表项不老化。黑洞MAC 地址表项优先级高于自动生成的 MAC 地址表项。

一、示例:静态MAC地址表项及MAC黑洞

# 增加一个静态 MAC 地址表项,目的地址为 000f-e235-dc71,出接口为 GE1/0/1,且该接口属于 VLAN 2

<H3C> system-view

[H3C] mac-address static 000f-e235-dc71 interface GigabitEthernet 1/0/1 vlan 2

# 增加一个黑洞 MAC 地址表项,地址为 000f-e235-abcd,MAC地址或端口属于 VLAN 10

[H3C] mac-address blackhole 000f-e235-abcd vlan 10

# 配置动态 MAC 地址表项的老化时间为 500 秒

[H3C] mac-address timer aging 500

二、步骤:封禁MAC地址(MAC地址黑洞)

示例1:查找并封禁网络中私接路由器

说明:局域网中发现IP为192.168.1.1的TP-Link设备,此可能存在私接网络设备,通过IP地址查找对应MAC地址,然后在交换机中从上到下逐级查找该MAC所连接的接口。

1. 在PC的cmd命令行,使用arp -a命令查询IP对应的MAC地址,假设所得MAC为8C-16-45-F1-EB-A6

# 显示(所有)IP到MAC地址的地址转换表;也即在自动缓存中读取IP地址和mac地址的对应表

C:\>arp -a

# 显示指定IP地址192.168.1.1的对应MAC地址

C:\>arp -a 192.168.1.1

注:ARP是地址解析协议,通过IP地址找到设备的MAC地址。

2. 在交换机上逐级查询该MAC地址对应的接口,假设对应接口为接入交换机SW1中的G1/0/10口,VLAN为50

# 显示所有MAC地址信息(状态、接口、VLAN、Aging等)

<H3C> display mac-address

# 显示某一MAC为8C-16-45-F1-EB-A6的MAC地址信息(状态、接口、VLAN、Aging等)

<H3C> display mac-address 8C16-45F1-EBA6

3. 在对应交换机SW1中,将该MAC加入MAC地址黑洞,从而禁用该MAC地址

# 将8C-16-45-F1-EB-A6(所属vlan为50)加入MAC地址黑洞禁用该MAC

[SW1] mac-address blackhole 8C16-45F1-EBA6 vlan 50

注:通过display mac-address查看该MAC地址状态变化,State由Learned变为Blackhole。

4. 若需要禁用该MAC的对应接口,可直接关闭该接口

# 将交换机SW1接口G1/0/10关闭,禁用该接口

[SW1] interface GigabitEthernet 1/0/10

[SW1] shutdown

示例2:封禁中病毒IP地址对应PC机

说明:安全设备发现网络中感染病毒的PC的IP地址为10.131.102.72,封禁这台IP地址的PC。

1. 通过ping该IP地址测试PC是否在线:

A. 若PC在线,在交换机中通过arp命令显示IP地址对应的MAC地址及交换机接口,根据该IP对应的接口信息逐级查找该IP的接入交换机及其MAC地址,假设MAC地址为8C-16-45-F1-EB-A6

<H3C> display arp 10.131.102.72

B. 若PC不在线,则无法通过arp命令显示IP地址的MAC地址及交换机接口,此时可以通过查看DHCP服务器为客户端分配的IP地址信息,来获取该IP对应的MAC地址,假设得到的MAC地址为8C-16-45-F1-EB-A6

<H3C> display dhcp server ip-in-use

# 显示DHCP服务器为客户端分配的某一IP地址的信息

<H3C> display dhcp server ip-in-use ip 10.131.102.72

2. 在对应接入交换机SW1中,查找该IP对应的MAC和vlan,假设vlan为50,将该MAC加入MAC地址黑洞,从而禁用该MAC地址

[SW1] mac-address blackhole 8C16-45F1-EBA6 vlan 50

3. 在交换机SW1中,查看该MAC地址的状态,Blackhole为封禁状态,Learned为正常学习状态

[SW1] display mac-address 8C16-45F1-EBA6

三、命令格式

3.1 配置MAC地址表

# 全局配置静态/动态MAC地址表项

[H3C] mac-address { dynamic | static } mac-address interface interface-type interface-number vlan vlan-id

# 接口配置静态/动态MAC地址表项

[H3C-GigabitEthernet1/0/1] mac-address { dynamic | static } mac-address vlan vlan-id

# 配置目的黑洞MAC地址表项

[H3C] mac-address blackhole mac-address vlan vlan-id

# 关闭接口的MAC地址学习功能。注,关闭MAC地址学习功能可以有效防止这种攻击:黑客使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽,造成设备无法根据网络的变化更新MAC地址表。

[H3C-GigabitEthernet1/0/1] undo mac-address mac-learning enable

# 配置动态 MAC 地址表项的老化时间,缺省时间为为300秒

[H3C] mac-address timer { aging seconds | no-aging }

3.2 MAC地址表显示和维护

# 查看MAC地址表信息

<H3C> display mac-address [ mac-address [ vlan vlan-id ] | [ [ dynamic | static ] [ interface interface-type interface-number ] | blackhole ] [ vlan vlan-id ] [ count ] ]

# 显示MAC地址表动态表项的老化时间

<H3C> display mac-address aging-time

# 显示MAC地址学习功能的使能状态

<H3C> display mac-address mac-learning [ interface interface-type interface-number ]文章来源地址https://www.toymoban.com/news/detail-786982.html

到了这里,关于[H3C]配置命令之MAC地址表项应用:封禁MAC地址的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • H3C配置静态路由、下一跳地址,使PC相通

    一、网络拓扑  实验目的:配置静态地址,下一跳,使PC相通 概念解释: 1、路由器的作用 路由器的核心作用是实现网络互连,数据转发,路由器工作时需要建立和更新路由表,因为路由器互联的是不同网段,因此能隔离广播,能快速转发分组数据。 2、路由表 路由表,简单

    2024年02月09日
    浏览(43)
  • H3C交换机配置IP与MAC绑定

    IP+MAC方法一: 在全局模式使用arp static方式进行绑定,命令如下: arp static 172.16.10.1 C400-AD7B-C220 IP+MAC方法二: 进入接口使用arp filter方式进行绑定,命令如下: int GigabitEthernet1/0/1 arp filter binding 172.16.10.1 C400-AD7B-C220 IP+MAC方法三: 进入接口使用动态绑定表项的方式进行绑定,命

    2024年04月09日
    浏览(51)
  • H3C路由器基本配置命令

    1、system-view 进入系统视图 2、sysname R1 配置路由器名字为R1 3、display clock 查看当前系统时间 4、clock datetime 00:00:00 2/26/2023 用户模式下修改系统时间 配置控制台密码 Console: 1、user-interface aux0 在系统模式下进入图接口 2、authentication-mode passwd 登录方式为密码登录 3、set authentica

    2024年02月05日
    浏览(40)
  • h3c交换机配置命令整理分享

    华为3COM交换机配置命令详解 1、配置文件相关命令 [Quidway]display current-configuration ;显示当前生效的配置 [Quidway]display saved-configuration ;显示flash中配置文件,即下次上电启动时所用的配置文件 reset saved-configuration ;檫除旧的配置文件 reboot ;交换机重启 display version ;显示系统版

    2024年02月05日
    浏览(56)
  • H3C交换机配置基本命令详解

    H3C交换机配置基本命令详解 随着移动互联网趋势加快以及智能终端的.快速普及,WLAN应用需求在全球保持高速增长态势。下面是小编整理的关于H3C交换机配置基本命令详解,希望大家认真阅读! 1、配置主机名 [H3C]systemname H3C 2、配置console口密码 # 进入系统视图。 system-view # 进

    2024年02月03日
    浏览(47)
  • H3C路由器(通用)限速(命令行)配置方法

    1 配置需求或说明 1.1 适用产品系列 本手册适用于如下产品:MSR 全系列路由器 1.2 配置需求及实现的效果 MSR路由器G0/0接口连接公网,G0/1接口连接内网,内网网关地址为MSR路由器VLAN1虚接口地址192.168.1.1/24,需要实现对内网IP地址范围为192.168.1.2—192.168.1.254的终端进行限速,每

    2024年02月09日
    浏览(33)
  • H3C交换机配置备份与恢复(web界面/命令行形式)

    局域网维护中,有时候我们需要对网络设备的配置进行备份与还原。 相信有很多网管员备份配置都是采用display current命令查询当前设备运行配置信息,然后采用ctrl+c,ctrl+v的方式将信息保存到txt文档中;或者直接用捕捉屏幕输出的方法保存信息。 还原的时候再复制命令到交换

    2024年02月05日
    浏览(53)
  • 思科,华三,H3C命令

    取消/关闭 当前设置 思科:no  华为:undo  h3c:undo 查看、显示 思科:show  华为:display  h3c:display 退回上级 思科:exit  华为:quit  h3c:quit 设置主机名 思科:hostname  华为:sysname  h3c:sysname 进入全局模式 思科:en, config terminal  华为:system-view  h3c:system-view 删除文件 思科:delete  华为:del

    2024年02月03日
    浏览(40)
  • mac 安装H3C iNode + accessClient mac版

    一、下载安装 官网下载地址 https://www.h3c.com/cn/Service/Document_Software/Software_Download/IP_Management/  可以使用文末参考博文中的账号 yx800 密码 01230123登录下载 选择版本  下载  下载 H3C_iNode_PC_7.3_E0626.zip  文件后,解压下载到的PC端压缩包 ,解压后的目录名为 iNode: 解压 iNodeMan

    2024年02月22日
    浏览(30)
  • H3C交换机——ip/mac绑定

    目录 一、物理接口配置ip/mac绑定 1、进入接口 2、添加绑定 (1)只绑定ip地址 (2)只绑定mac地址 (3)同时绑定ip和mac地址 3、启用绑定 4、解除绑定 二、二层聚合口配置ip/mac绑定 1、进入聚合口 2、绑定ip和mac地址 3、解除绑定 三、DHCP配置ip/mac绑定 #说明:做了链路聚合的,

    2024年02月04日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包