在某一網(wǎng)絡(luò)的H3C華三交換機(jī)Switch上連接有文件服務(wù)器Server、網(wǎng)管服務(wù)器NMS（Network Management Server）及用戶網(wǎng)絡(luò)。Server、NMS和用戶網(wǎng)絡(luò)都在VLAN 10中。

現(xiàn)要求：

配置Server的MAC為靜態(tài)MAC地址表項(xiàng)，使用戶發(fā)往服務(wù)器的報(bào)文只從GigabitEthernet1/0/2單播發(fā)送出去；

配置NMS的MAC為靜態(tài)MAC地址表項(xiàng)，并要求連接NMS的端口GigabitEthernet1/0/10僅允許這臺(tái)NMS接入，其他主機(jī)無(wú)法通過(guò)此端口通信；

連接用戶網(wǎng)絡(luò)的端口GigabitEthernet1/0/5通過(guò)源MAC地址學(xué)習(xí)自動(dòng)建立用戶網(wǎng)絡(luò)的MAC地址表項(xiàng)；

在網(wǎng)絡(luò)運(yùn)行一段時(shí)間后，有黑客利用用戶網(wǎng)絡(luò)中的一臺(tái)主機(jī)Host A生成大量源MAC地址不同的報(bào)文，使Switch上生成大量MAC地址表項(xiàng)，需要盡快防止黑客的這種攻擊。

 

?MAC地址表組網(wǎng)示意圖

配置思路

為了使端口GigabitEthernet1/0/10只轉(zhuǎn)發(fā)來(lái)自NMS的報(bào)文，配置GigabitEthernet1/0/10最多可以學(xué)習(xí)到的MAC地址數(shù)為0。端口配置最多可以學(xué)習(xí)到的MAC地址數(shù)后，當(dāng)端口收到源MAC地址不在MAC地址表里的報(bào)文會(huì)進(jìn)行丟棄。

對(duì)于非法用戶使用大量源MAC地址不同的報(bào)文攻擊設(shè)備，導(dǎo)致設(shè)備MAC地址表資源耗盡的攻擊，可以通過(guò)關(guān)閉端口或VLAN的MAC地址學(xué)習(xí)功能來(lái)防止這種攻擊。