在某一網絡的H3C華三交換機Switch上連接有文件服務器Server、網管服務器NMS(Network Management Server)及用戶網絡。Server、NMS和用戶網絡都在VLAN 10中。
現(xiàn)要求:
配置Server的MAC為靜態(tài)MAC地址表項,使用戶發(fā)往服務器的報文只從GigabitEthernet1/0/2單播發(fā)送出去;
配置NMS的MAC為靜態(tài)MAC地址表項,并要求連接NMS的端口GigabitEthernet1/0/10僅允許這臺NMS接入,其他主機無法通過此端口通信;
連接用戶網絡的端口GigabitEthernet1/0/5通過源MAC地址學習自動建立用戶網絡的MAC地址表項;
在網絡運行一段時間后,有黑客利用用戶網絡中的一臺主機Host A生成大量源MAC地址不同的報文,使Switch上生成大量MAC地址表項,需要盡快防止黑客的這種攻擊。
?MAC地址表組網示意圖
配置思路
為了使端口GigabitEthernet1/0/10只轉發(fā)來自NMS的報文,配置GigabitEthernet1/0/10最多可以學習到的MAC地址數(shù)為0。端口配置最多可以學習到的MAC地址數(shù)后,當端口收到源MAC地址不在MAC地址表里的報文會進行丟棄。
對于非法用戶使用大量源MAC地址不同的報文攻擊設備,導致設備MAC地址表資源耗盡的攻擊,可以通過關閉端口或VLAN的MAC地址學習功能來防止這種攻擊。
聯(lián)系人:宋經理
地址: 北京市通州區(qū)永樂店鎮(zhèn)聯(lián)航大廈2476