在典型交换机 MAC 配置中配置基于接口的 MAC 地址学习限制的示例

网络图形

基于接口限制MAC地址学习次数介绍

交换机控制MAC地址学习数量的方式有两种：基于VLAN限制MAC地址学习数量和基于接口限制MAC地址学习数量。在客户端不经常变化的办公室，通过限制MAC地址学习来控制用户访问，可以防止黑客伪造大量不同源MAC地址的报文发送给设备，耗尽设备的MAC表项资源。当MAC地址表项资源已满时，将无法学习到正常的MAC地址二层交换机系统mac地址，报文只能广播转发二层交换机系统mac地址，浪费带宽资源。

相对于基于VLAN限制MAC地址学习数量，基于接口限制MAC地址学习数量更适用于中小企业每个接口的用户数相对固定且很少变化的情况。

配置说明和网络要求

如图所示，用户网络1和用户网络2通过LSW相连，连接LSW的接口为GE1/0/1。用户网络1和用户网络2分别属于VLAN 10和VLAN 20。为了控制接入用户数，可以配置基于GE1/0/1的MAC地址学习限制功能。

配置思路

配置基于接口的MAC地址学习限制如下：

创建VLAN，并将接口加入VLAN，实现二层转发。配置基于接口的MAC地址学习限制，控制接入用户数。

脚步

创建VLAN 10和VLAN 20，接口GE1/0/1加入VLAN 10和VLAN 20

-看法

[]

[] vlan batch 10 20 //创建VLAN 10和VLAN 20

[] 1/0/1

[-/0/1] port link-type trunk //交换机之间的接口类型推荐使用trunk

[-/0/1] port trunk allow-pass vlan 10 20 //接口GE1/0/1加入VLAN 10和VLAN 20

[-/0/1] 退出

接口GE1/0/1配置了MAC地址学习限制规则：最多可以学习100个MAC地址，超过最大学习MAC地址数的报文将被丢弃并告警。

[] 1/0/1

[-/0/1] mac-limit 100 //不同版本对包的默认处理动作不一致，建议在这里手动指定。默认开启告警二层交换机系统mac地址，无法手动指定

[-/0/1] 退出

验证配置结果

# 在任意视图下执行mac-limit命令，查看MAC地址学习限制规则是否配置成功。

[] mac 限制

MAC限制是

MAC 限制规则总数：1

/VSI SLOT Rate(ms) 告警

---------------------------------------------- ----------

GE1/0/1-- 100-

本系统及软件只用于个人封装技术研究交流使用，不得用于商业用途，且本站不承担任何技术及版权问题，请在试用后24小时内删除!