- MAC地址表组成
- 端口安全
- MAC地址表漂移
一、MAC地址表组成
MAC地址表项有三类:
1、动态表项 : 接口通过源MAC地址学习,老化时间300s,
系统复位后或接口热插拔,表项消失。
2、静态表项: 手工配置的,,并下发到各接口板,表项不会老化
系统复位或者热插拔,表项不会消失
3、黑洞表项: 手工配置,并下发到各接口板,表项不会老化
配置黑洞MAC后,源或者目的MAC地址是黑洞MAC地址的报文会丢弃
MAC地址表的组成:主要由 MAC地址、VLAN tag 、 接口port 、类型type 组成。
配置MAC地址命令:
配置MAC地址:
1、 静态MAC地址 : mac-address static 0011-2233-4455 g0/0/1 vlan 1。
2、配置黑洞MAC : mac-address blackhole 0011-2233-4455
3、配置动态MAC地址老化时间: mac-address aging-time 40 (默认是秒 默认300s)
二、端口安全
概述 : 端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
安全MAC地址分为三类:
1、安全动态MAC地址 : 使能端口安全功能所转换的MAC地址,
重启丢失,会老化,只能通过动态学习。
2、安全静态MAC地址 : 使能端口安全功能时候手工配置的静态MAC地址
重启不丢失,不会老化,只能手工配置
3、Sticky MAC地址 : 使能端口安全功能又使能Sticky MACd功能后的MAC地址
重启不丢失,不会老化,可以通过手工配置
配置安全MAC功能:
配置安全MAC功能:
1、使能端口安全功能 接口下: port-security enable
2、配置端口安全保护动作: port-security protect-action shutdown
//这里有三种动作:保护protect,限制restrict,关闭shutdown,
默认是关闭动作,其中保护动作,会丢弃报文,但是不发送告警日志,
限制动作,会丢弃报文,但是会发送告警日志。
关闭动作 也会发送日志信息
3、配置端口动态MAC地址学习数量: port-security max-mac-num 5
4、配置端口动态MAC地址老化时间: port-security aging-time 1000
配置 Sticky MAC功能:
1、 port-security enable 使能接口安全
2、port-security mac-address sticky 使能 sticky mac功能
三、MAC地址表漂移
概述: MAC地址漂移是指设备上一个VLAN内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。
防漂移机制: 1、提高接口MAC地址学习优先级;
2、不允许相同优先级的接口发生MAC地址表项覆盖。
MAC地址表防漂移检测:MAC地址漂移检测是利用MAC地址出接口跳变的现象,检测MAC地址是否发生漂移的功能。
MAC地址防漂移配置:
配置接口MAC地址学习优先级
[Huawei-GigabitEthernet0/0/2]mac-learning priority 3
//配置接口学习MAC地址的y优先级为3,默认为0,数值越大优先级越高
配置不允许相同优先级接口MAC地址漂移
[Huawei]undo mac-learning priority 3 allow-flapping
//配置不允许相同优先级的接口发生MAC地址漂移
配置全局MAC地址漂移检测
[Huawei]mac-address flapping detection
//配置全局MAC地址漂移检测功能
配置基于VLAN的MAC地址漂移检测
[Huawei]vlan 2
[Huawei-vlan2]loop-detect eth-loop block-time 100 retry-times 3
//配置MAC地址漂移检测功能