[H3C]配置命令之MAC地址表项应用：封禁MAC地址

Mac（Media Access Control，媒体访问控制）地址表记录了 MAC 地址与接口的对应关系，以及接口所属的 VLAN 等信息。设备在转发报文时，根据报文的目的 MAC 地址查询 MAC 地址表，如果MAC地址表中包含与报文目的MAC地址对应的表项，则直接通过该表项中的出接口转发该报文；如果 MAC 地址表中没有包含报文目的 MAC 地址对应的表项时，设备将采取广播方式通过对应VLAN 内除接收接口外的所有接口转发该报文。

MAC地址表记录了目的MAC地址、MAC地址对应的出接口以及所属的VLAN ID。在转发数据时，设备根据报文中的目的MAC地址查询MAC地址表，快速定位出接口，从而减少广播。

MAC 地址表项的分类

• 静态 MAC 地址表项：由用户手工配置，用于目的是某个 MAC 地址的报文从对应接口转发出去，表项不老化。静态 MAC 地址表项优先级高于自动生成的 MAC 地址表项。
• 动态 MAC 地址表项：可以由用户手工配置，也可以由设备通过源 MAC 地址学习自动生成，用于目的是某个 MAC 地址的报文从对应接口转发出去，表项有老化时间。手工配置的动态MAC 地址表项优先级等于自动生成的 MAC 地址表项。
• 黑洞 MAC 地址表项：由用户手工配置，用于丢弃源 MAC 地址或目的 MAC 地址为指定 MAC地址的报文（例如，出于安全考虑，可以禁止某个用户发送和接收报文），表项不老化。黑洞MAC 地址表项优先级高于自动生成的 MAC 地址表项。

一、示例：静态MAC地址表项及MAC黑洞

# 增加一个静态 MAC 地址表项，目的地址为 000f-e235-dc71，出接口为 GE1/0/1，且该接口属于 VLAN 2

system-view

[H3C] mac-address static 000f-e235-dc71 interface GigabitEthernet 1/0/1 vlan 2

# 增加一个黑洞 MAC 地址表项，地址为 000f-e235-abcd，MAC地址或端口属于 VLAN 10

[H3C] mac-address blackhole 000f-e235-abcd vlan 10

# 配置动态 MAC 地址表项的老化时间为 500 秒

[H3C] mac-address timer aging 500

二、步骤：封禁MAC地址（MAC地址黑洞）

示例1：查找并封禁网络中私接路由器

说明：局域网中发现IP为192.168.1.1的TP-Link设备，此可能存在私接网络设备，通过IP地址查找对应MAC地址，然后在交换机中从上到下逐级查找该MAC所连接的接口。

1. 在PC的cmd命令行，使用arp -a命令查询IP对应的MAC地址，假设所得MAC为8C-16-45-F1-EB-A6

# 显示（所有）IP到MAC地址的地址转换表；也即在自动缓存中读取IP地址和mac地址的对应表

C:\>arp -a

# 显示指定IP地址192.168.1.1的对应MAC地址

C:\>arp -a 192.168.1.1

注：ARP是地址解析协议，通过IP地址找到设备的MAC地址。

2. 在交换机上逐级查询该MAC地址对应的接口，假设对应接口为接入交换机SW1中的G1/0/10口，VLAN为50

# 显示所有MAC地址信息（状态、接口、VLAN、Aging等）

display mac-address

# 显示某一MAC为8C-16-45-F1-EB-A6的MAC地址信息（状态、接口、VLAN、Aging等）

display mac-address 8C16-45F1-EBA6

3. 在对应交换机SW1中，将该MAC加入MAC地址黑洞，从而禁用该MAC地址

# 将8C-16-45-F1-EB-A6（所属vlan为50）加入MAC地址黑洞禁用该MAC

[SW1] mac-address blackhole 8C16-45F1-EBA6 vlan 50

注：通过display mac-address查看该MAC地址状态变化，State由Learned变为Blackhole。

4. 若需要禁用该MAC的对应接口，可直接关闭该接口

# 将交换机SW1接口G1/0/10关闭，禁用该接口

[SW1] interface GigabitEthernet 1/0/10

[SW1] shutdown

示例2：封禁中病毒IP地址对应PC机

说明：安全设备发现网络中感染病毒的PC的IP地址为10.131.102.72，封禁这台IP地址的PC。

1. 通过ping该IP地址测试PC是否在线：

A. 若PC在线，在交换机中通过arp命令显示IP地址对应的MAC地址及交换机接口，根据该IP对应的接口信息逐级查找该IP的接入交换机及其MAC地址，假设MAC地址为8C-16-45-F1-EB-A6

display arp 10.131.102.72

B. 若PC不在线，则无法通过arp命令显示IP地址的MAC地址及交换机接口，此时可以通过查看DHCP服务器为客户端分配的IP地址信息，来获取该IP对应的MAC地址，假设得到的MAC地址为8C-16-45-F1-EB-A6

display dhcp server ip-in-use

# 显示DHCP服务器为客户端分配的某一IP地址的信息

display dhcp server ip-in-use ip 10.131.102.72

2. 在对应接入交换机SW1中，查找该IP对应的MAC和vlan，假设vlan为50，将该MAC加入MAC地址黑洞，从而禁用该MAC地址

[SW1] mac-address blackhole 8C16-45F1-EBA6 vlan 50

3. 在交换机SW1中，查看该MAC地址的状态，Blackhole为封禁状态，Learned为正常学习状态

[SW1] display mac-address 8C16-45F1-EBA6

三、命令格式

3.1 配置MAC地址表

# 全局配置静态/动态MAC地址表项

[H3C] mac-address { dynamic | static } mac-address interface interface-type interface-number vlan vlan-id

# 接口配置静态/动态MAC地址表项

[H3C-GigabitEthernet1/0/1] mac-address { dynamic | static } mac-address vlan vlan-id

# 配置目的黑洞MAC地址表项

[H3C] mac-address blackhole mac-address vlan vlan-id

# 关闭接口的MAC地址学习功能。注，关闭MAC地址学习功能可以有效防止这种攻击：黑客使用大量源MAC地址不同的报文攻击设备，导致设备MAC地址表资源耗尽，造成设备无法根据网络的变化更新MAC地址表。

[H3C-GigabitEthernet1/0/1] undo mac-address mac-learning enable

# 配置动态 MAC 地址表项的老化时间，缺省时间为为300秒

[H3C] mac-address timer { aging seconds | no-aging }

3.2 MAC地址表显示和维护

# 查看MAC地址表信息

display mac-address [ mac-address [ vlan vlan-id ] | [ [ dynamic | static ] [ interface interface-type interface-number ] | blackhole ] [ vlan vlan-id ] [ count ] ]

# 显示MAC地址表动态表项的老化时间

display mac-address aging-time

# 显示MAC地址学习功能的使能状态

display mac-address mac-learning [ interface interface-type interface-number ]

来源地址：https://blog.csdn.net/CINOCT/article/details/128525600