mac地址黑名单配置

黑名单功能配置举例

1.4.1  组网需求

网络管理员通过流量分析发现外部网络中存在一个攻击者Host D，需要将来自Host D的报文在Device上永远过滤掉。另外，网络管理员为了控制内部网络的Web认证用户Host C的访问行为，当该用户登录失败次数超过6次，需要将Device上收到的Host C的报文阻止10分钟。

1.4.2  组网图

图1-1 黑名单配置典型组网图

1.4.3  配置步骤

# 配置各接口的IP地址，略。

# 使能黑名单功能。

<Device> system-view

[Device] blacklist enable

# 将Host D的IP地址5.5.5.5添加到黑名单中，缺省永不老化。

[Device] blacklist ip 5.5.5.5

1.4.4  验证配置结果

完成以上配置后，可以通过display blacklist all命令查看已添加的黑名单信息。

[Device] display blacklist all

                    Blacklist information

------------------------------------------------------------------------------

Blacklist                               : enabled

Blacklist items                         : 2

------------------------------------------------------------------------------

IP              Type   Aging started       Aging finished      Dropped packets

                       YYYY/MM/DD hh:mm:ss YYYY/MM/DD hh:mm:ss

5.5.5.5         manual 2011/04/09 16:02:20 Never               0

192.168.1.4     manual 2011/04/09 16:02:26 2011/04/09 16:12:26 0

配置生效后，Device对来自Host D的报文一律进行丢弃处理，除非管理员认为Host D不再是攻击者，通过undo blacklist ip 5.5.5.5将其从黑名单中删除；如果Device接收到来自Host C的报文，Web认证失败次数超过6次，则在10分钟之内，对其进行丢弃处理，10分钟之后，才进行正常转发。