LAN技术 -- MAC地址表、端口安全

•  MAC地址表组成
• 端口安全
• MAC地址表漂移 

一、MAC地址表组成

MAC地址表项有三类：

1、动态表项 ： 接口通过源MAC地址学习，老化时间300s，

                        系统复位后或接口热插拔，表项消失。

2、静态表项： 手工配置的，，并下发到各接口板，表项不会老化

                        系统复位或者热插拔，表项不会消失

3、黑洞表项： 手工配置，并下发到各接口板，表项不会老化

                        配置黑洞MAC后，源或者目的MAC地址是黑洞MAC地址的报文会丢弃

MAC地址表的组成：主要由 MAC地址、VLAN tag 、 接口port  、类型type 组成。

 配置MAC地址命令：

配置MAC地址：   
1、 静态MAC地址 ：    mac-address static 0011-2233-4455 g0/0/1 vlan 1。
2、配置黑洞MAC  ：    mac-address blackhole  0011-2233-4455
3、配置动态MAC地址老化时间：   mac-address  aging-time 40 （默认是秒  默认300s）

二、端口安全

概述 ： 端口安全(Port Security）通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC、安全静态MAC和Sticky MAC)，阻止非法用户通过本接口和交换机通信，从而增强设备的安全性。

安全MAC地址分为三类：

1、安全动态MAC地址 ： 使能端口安全功能所转换的MAC地址，

                                        重启丢失，会老化，只能通过动态学习。

2、安全静态MAC地址 ： 使能端口安全功能时候手工配置的静态MAC地址

                                        重启不丢失，不会老化，只能手工配置

3、Sticky MAC地址 ： 使能端口安全功能又使能Sticky MACd功能后的MAC地址

                                        重启不丢失，不会老化，可以通过手工配置

配置安全MAC功能：

配置安全MAC功能：  
               1、使能端口安全功能   接口下：  port-security enable
               2、配置端口安全保护动作：  port-security protect-action shutdown
                    
                      //这里有三种动作：保护protect，限制restrict，关闭shutdown，
                        默认是关闭动作，其中保护动作，会丢弃报文，但是不发送告警日志，
                        限制动作，会丢弃报文，但是会发送告警日志。
                        关闭动作 也会发送日志信息
               3、配置端口动态MAC地址学习数量：  port-security max-mac-num 5
               4、配置端口动态MAC地址老化时间：  port-security aging-time 1000
 
配置  Sticky MAC功能：
               1、 port-security enable     使能接口安全
               2、port-security mac-address sticky  使能 sticky mac功能

三、MAC地址表漂移 

概述： MAC地址漂移是指设备上一个VLAN内有两个端口学习到同一个MAC地址，后学习到的MAC地址表项覆盖原MAC地址表项的现象。

防漂移机制： 1、提高接口MAC地址学习优先级;

                       2、不允许相同优先级的接口发生MAC地址表项覆盖。

MAC地址表防漂移检测：MAC地址漂移检测是利用MAC地址出接口跳变的现象，检测MAC地址是否发生漂移的功能。

MAC地址防漂移配置：

配置接口MAC地址学习优先级
[Huawei-GigabitEthernet0/0/2]mac-learning priority 3
//配置接口学习MAC地址的y优先级为3，默认为0，数值越大优先级越高
 
配置不允许相同优先级接口MAC地址漂移
[Huawei]undo mac-learning priority 3 allow-flapping
//配置不允许相同优先级的接口发生MAC地址漂移
 
配置全局MAC地址漂移检测
[Huawei]mac-address flapping detection
//配置全局MAC地址漂移检测功能
 
配置基于VLAN的MAC地址漂移检测
[Huawei]vlan 2
[Huawei-vlan2]loop-detect eth-loop block-time 100 retry-times 3
//配置MAC地址漂移检测功能