组网需求
某企业网络中,用户需要访问企业的服务器。如果某些非法用户从其他接口假冒服务器的MAC 地址发送报文,则服务器的 MAC 地址将在其他接口学习到。这样用户发往服务器的报文就会发往非法用户,不仅会导致用户与服务器不能正常通信,还会导致一 些重要用户信息被窃取。
如 图 2-16 所示,为了提高服务器安全性,防止被非法用户攻击,可配置 MAC 防漂移功能。
配置思路
采用如下的思路配置 MAC 防漂移:
- 创建 VLAN ,并将接口加入到 VLAN 中,实现二层转发功能。
- 在服务器连接的接口上配置 MAC 防漂移功能,实现 MAC 地址防漂移。
操作步骤
步骤 1 创建 VLAN ,并将接口加入到 VLAN 中。
将 GigabitEthernet0/0/1 、 GigabitEthernet0/0/2 加入 VLAN10 。
<HUAWEI> system-view
HUAWEI\] **sysname Switch** \[Switch\] **vlan 10** \[Switch-vlan10\] **quit** \[Switch\] **interface gigabitethernet 0/0/2** \[Switch-GigabitEthernet0/0/2\] **port link-type trunk** \[Switch-GigabitEthernet0/0/2\] **port trunk allow-pass vlan 10** \[Switch-GigabitEthernet0/0/2\] **quit** \[Switch\] **interface gigabitethernet 0/0/1** \[Switch-GigabitEthernet0/0/1\] **port link-type hybrid** \[Switch-GigabitEthernet0/0/1\] **port hybrid pvid vlan 10** \[Switch-GigabitEthernet0/0/1\] **port hybrid untagged vlan 10** **步骤** **2** # 在 GigabitEthernet0/0/1 上配置 MAC 地址学习的优先级为 2 。 \[Switch-GigabitEthernet0/0/1\] **mac-learning priority 2** \[Switch-GigabitEthernet0/0/1\] **quit** **步骤** **3** 验证配置结果 # 在任意视图下执行display current-configuration 命令,查看接口MAC地址学习的 优先级配置是否正确。 \[Switch\] display current-configuration**interface gigabitethernet 0/0/1** # interface GigabitEthernet0/0/1 port link-type hybrid port hybrid pvid vlan 10 port hybrid untagged vlan 10 mac-learning priority 2 # return **----** **结束** **配置文件** Switch 的配置文件 # sysname Switch # vlan batch 10 # interface GigabitEthernet0/0/1 port link-type hybrid port hybrid pvid vlan 10 port hybrid untagged vlan 10 mac-learning priority 2 # interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 10 # return