如何过滤非法MAC

方案Ⅰ：MAC黑洞

由用户手工配置的一类特殊的MAC地址，当交换机接收到源地址或目的地址为黑洞MAC地址的报文时，会将该报文丢弃。

【命令】

mac-address blackhole mac-address vlan vlan-id
undo mac-address [ blackhole | dynamic | static ] [ mac-address ] vlan vlan-id

blackhole：目的黑洞MAC地址表项。没有老化时间，可以添加/删除。当报文的目的MAC地址与目的黑洞MAC地址表项匹配后该报文被丢弃。
mac-address：MAC地址，格式为H-H-H。在配置时，用户可以省去MAC地址中每段开头的“0”，例如输入“f-e2-1”即表示输入的MAC地址为“000f-00e2-0001”。
vlan vlan-id：指定以太网端口所属的VLAN。vlan-id为指定VLAN的编号，取值范围为1～4094。该VLAN必须已经创建。

system-view
[H3C]mac-address blackhole 001a-64da-6c26 vlan 4

或者在三层交换上：

[M0-5100]arp static X.X.X.X 0000-0000-0000 （禁止某个IP，那个MAC只要是个从来不会出现的就O）

或者

[M0-5100]arp static 192.168.1.100 xxxx-xxxx-xxxx （禁止某个MAC，那个IP只要是个不会用到的就Ok）

H3C三层基本都支持这条命令

方案Ⅱ：二层访问列表

二层IPv4 ACL根据报文的源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则，对报文进行相应的分析处理。 二层IPv4 ACL的序号取值范围为4000～4999。

system-view
[H3C]acl number 4000
[H3C-acl-ethernetframe-4000]rule 0 deny source-mac 1111-2222-3333 ffff-ffff-ffff
[H3C-acl-ethernetframe-4000]quit
[H3C]interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]packet-filter 4000 inbound

方案Ⅲ：QOS策略

QoS策略包含了三个要素：类、流行为、策略。
用户可以通过QoS策略将指定的类和流行为绑定起来，方便的进行QoS配置。

类

类是用来识别流的。类的要素包括：类的名称和类的规则。
用户可以通过命令定义一系列的规则，来对报文进行分类。
同时用户可以通过命令指定规则之间的关系：and和or。

• and：报文只有匹配了所有的规则，设备才认为报文属于这个类。

• or：报文只要匹配了类中的一个规则，设备就认为报文属于这个类。

流行为

流行为用来定义针对报文所做的QoS动作。
流行为的要素包括：流行为的名称和流行为中定义的动作。
用户可以通过命令在一个流行为中定义多个动作。

策略

策略用来将指定的类和指定的流行为绑定起来。
策略的要素包括：策略名称、绑定在一起的类和流行为的名称。

QoS策略的配置过程

QoS策略的配置步骤如下：

(1)        定义类，并在类视图中定义一组流分类规则；

(2)        定义流行为，并在流行为视图中定义一组QoS动作；

(3)        定义策略，在策略视图下为使用的类指定对应的流行为；

(4)        在以太网端口视图或端口组视图下应用QoS策略。

system-view  //进入系统视图
[H3C] traffic classifier  deny-mac operator or //定义名为deny-mac的类，匹配规则为or
[H3C-classifier-deny-mac]if-match source-mac 1234-5678-1234 //匹配源mac
[H3C-classifier-deny-mac]quit
[H3C]traffic behavior deny-mac  //定义流行为
[H3C-behavior-deny-mac]filter deny   //行为：拒绝
[H3C-behavior-deny-mac]quit
[H3C]qos policy deny-mac  //定义qos规则
[H3C-qospolicy-deny-mac]classifier deny-mac behavior deny-mac  //绑定类和行为
[H3C-qospolicy-deny-mac]quit
[H3C]interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]qos apply policy deny-mac inbound  //应用QOS策略

H3C交换机限速策略

本例使用H3C S5500网管型交换机

不同的设备型号和软件版本可能导致部分命令不可用

Ⅰ  speed

这是最简单的端口限速方法，但因限制精度较小(10/100/1000Mbps)，使用场景有限。

system-view 
[H3C]interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]speed 10
[H3C-GigabitEthernet1/0/1]speed 100
[H3C-GigabitEthernet1/0/1]speed 1000

Ⅱ  Line Rate(lr)

常用的限速命令，能精确限制限制流量速率，精度为16或者64的整数倍。

system-view 
[H3C]interface GigabitEthernet 1/0/1
H3C-GigabitEthernet1/0/1]qos lr inbound cir 1024

Ⅲ QOS

QOS能对流量进行整形、监管、拥塞避免，相对于前面两种方法，QOS无疑要强大灵活很多。因为其功能强大，不可避免的配置上略显麻烦，本篇主要目的是如何实现端口限速。

system-view 
[H3C]acl nu 3000
[H3C-acl-adv-3000]
[H3C-acl-adv-3000]rule 0 permit ip  //匹配所有
[H3C-acl-adv-3000]quit     
[H3C] traffic classifier behavior fr
[H3C-classifier-fr]if-match acl 3000 
[H3C-classifier-fr]quit
[H3C]traffic behavior fr  
[H3C-behavior-fr]car cir 1024
[H3C-behavior-fr]quit
[H3C]qos policy fr  //定义qos规则
[H3C-qospolicy-fr]classifier fr behavior fr  //绑定类和行为
[H3C-qospolicy-fr]quit
[H3C]interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]qos apply policy fr inbound  //应用QOS策略

部分高端型号无需定义 类和 行为，直接 在接口下应用QOS策略，如下：

[H3C-GigabitEthernet1/0/1]qos car inbound acl 3000 cir 1024

分析上述QOS命令，我们可以利用它制定更多的精细化控制，比如需要对udp流量进行监控，只需要将引用的acl改为

[H3C-acl-adv-3000]rule 0 permit udp

CAR作为流量监管的技术，就是对流量进行控制，通过监督进入网络的流量速率，对超出部分的流量进行丢弃“惩罚”，至于如何惩罚可由用户自行定义。

扫一扫