MAC地址表的管理命令及命令地址学习功能详解

在网络中，MAC地址是设备不变的物理地址。控制MAC地址的访问控制了交换机的端口访问，所以端口安全也是MAC的安全。在交换机中，CAM（Content Addressable Memory，Content Addressable Memory Table）表，也称为MAC地址表，记录了与交换机相连的设备的MAC地址、端口号、vlan的对应关系。

一、MAC地址表分为三个

1、静态MAC地址表，手动绑定，优先级高于动态MAC地址表

2、动态MAC地址表，交换机收到数据帧后会将源mac学习到MAC地址表中

3、黑洞MAC地址表，手动绑定或自动学习，用于丢弃指定MAC地址

二、MAC地址表管理命令

1、查看mac地址表

显示mac地址

2、配置静态mac地址表

[华为] mac-address static 5489-98C0-7E34 GigabitEthernet 0/0/1 vlan 1 绑定g0/0/1接口的mac地址在vlan1有效

3、配置黑洞mac地址表

[华为] mac-address blackhole 5489-987f-161a vlan 1 当源或目的是vlan1中的这个mac时丢帧

4、禁止端口学习mac地址，可以在端口或者vlan中禁用mac地址学习功能

[Huawei-GigabitEthernet0/0/1]mac-address learning disable action discard

禁止学习mac地址简述交换机的mac地址的学习过程，丢弃所有收到的帧简述交换机的mac地址的学习过程，也可以在vlan中配置

[Huawei-GigabitEthernet0/0/1] mac-address learning disable action forward

禁止学习mac地址，但是接收到的帧会以微红色的方式转发（交换机转发未知的目的mac地址），也可以在vlan中配置

5、限制学习的MAC地址数量，可以在ports或者vlans中配置

[Huawei-GigabitEthernet0/0/1]mac-limit 最大9告警使能

交换机将学习的MAC地址数量限制为9个，超过数量会报警。多余的MAC号不会被端口学习到，但是可以通过flooding的方式转发（交换机转发到未知的目的MAC地址），也可以在vlan中配置

6、配置端口安全动态mac地址

该功能是将动态学习到的MAC地址设置为安全属性，其他没有学习到的非安全MAC地址的帧会被端口丢弃

[Huawei-GigabitEthernet0/0/3]port-security enable 开启端口安全

[Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1 限制安全MAC地址的最大数量为1，默认为1

[华为-GigabitEthernet0/0/3]端口-安全保护-动作？配置处理其他非安全mac地址数据帧的动作

protect Discard 报文被丢弃，不产生告警信息

限制丢弃数据包和警告丢弃，生成告警信息（默认）

shutdown Shutdown 丢弃并关闭端口

[Huawei-GigabitEthernet0/0/3]port-security ageing-time 300 设置安全MAC地址的老化时间为300s。默认不老化。

在端口安全动态MAC地址中，如果如上配置，则将g0/0/3端口上学习到的第一个MAC地址设置为安全MAC地址，其他MAC地址不在接入端口上转发。300s 后刷新安全 MAC 地址表，重新学习安全 MAC 地址。端口（以哪个 MAC 地址为准）将被学习并设置为安全 MAC 地址，但安全 MAC 地址将在交换机重新启动后被清除并重新学习。

7、配置端口安全性粘贴 MAC 地址

该功能与端口安全动态mac地址一致，

唯一不同的是，粘贴的MAC地址不会老化，重启交换机后依然存在。

动态安全mac地址只能动态学习

安全粘贴 MAC 可以动态学习或手动配置。

[Huawei-GigabitEthernet0/0/3]port-security enable 开启端口安全

[Huawei-GigabitEthernet0/0/3]port-security mac-address sticky 开启安全MAC地址粘贴功能

[Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1 限制安全MAC地址的最大数量为1，默认为1

[Huawei-GigabitEthernet0/0/3]port-security mac-address sticky 5489-98D8-71D5 vlan 1 手动绑定粘贴MAC地址和所属vlan

[Huawei-GigabitEthernet0/0/3]port-securityprotect-action restrict 配置其他非安全mac地址数据帧的处理动作

查看粘贴 MAC 地址状态

[Huawei-GigabitEthernet0/0/3]显示mac-address

slot 0的MAC地址表：

————————————————– —————————————–

MAC 地址 VLAN/ PEVLAN CEVLAN 端口类型 LSP/LSR-ID

VSI/SI MAC-隧道

————————————————– —————————————–

5489-98d8-71d5 1 – – GE0/0/3 粘性 –

————————————————– —————————————–

插槽 0 上显示的匹配项总数 = 1

[华为-千兆以太网0/0/3]

8、配置MAC地址防漂移功能

MAC地址漂移是指在一个接口上学习到的MAC地址也在同一个vlan的其他接口上学习到，这样后面学习到的MAC地址信息会覆盖前面学习到的MAC地址信息（出接口变化频繁）。,

这种情况大部分发生在发生循环时，因此该功能也可用于排查和解决循环问题。

MAC地址漂移预防功能的原理如下：

1）在接口上配置优先级。优先级较高的接口学习到的MAC地址不会在其他桶vlan的优先级较低的接口上学习到。

2）如果优先级相同，可以配置不允许相同优先级的接口学习相同的MAC地址。

[Huawei]mac-address folapping detection 开启全局MAC地址漂移检测功能。

[华为]接口g0/0/2

[Huawei-GigabitEthernet0/0/2]mac-learning priority 3 设置g0/0/2的接口优先级为3，默认为0

[Huawei-GigabitEthernet0/0/2]mac-address flapping trigger error-down MAC地址漂移后接口关闭

[华为-GigabitEthernet0/0/2]退出

[华为]接口g0/0/3

[Huawei-GigabitEthernet0/0/3]mac-address flapping trigger error-down MAC地址漂移后接口关闭。

[华为-GigabitEthernet0/0/3]退出

配置完成后，当g0/0/2的MAC地址漂移到g0/0/3的MAC地址时，g0/0/3的端口会被关闭。

查看MAC地址漂移记录命令：[Huawei]display mac-address flapping record 查看MAC地址漂移记录

9、配置丢弃所有0 MAC地址包的功能

当网络上的某些主机或设备发生故障时，它们将发送所有源和目标 MAC 地址全为 0 的帧。您可以配置交换机丢弃这些错误数据包。

[华为] drop invalid-mac enable 开启丢弃所有零mac地址的功能

[华为]snmp-agent trap enable feature-name lldptrap 开启snmp lldptrap Trap功能

[华为] drop invalid-mac alarm 开启接收全0包告警功能。前提是snmp的lldptrap告警功能必须开启。

10、配置MAC地址刷新arp功能

mac信息更新后（如用户更改访问端口），自动刷新arp表项功能

[华为]mac-address更新arp

11、配置端口桥接功能

一般情况下，当交换机收到源MAC地址和目的MAC地址在同一个接口上的报文时，会认为该报文是非法报文而丢弃。目的 MAC 地址确实是同一个传出接口。为了防止交换机在这些特殊情况下丢帧，需要开启交换端口桥接功能。启用了多个虚拟机的服务器，使得这些设备下面的主机之间的通信是通过交换机的同一个接口发送和接收的，所以这些帧是正常的，不能被丢弃。

[华为]接口g0/0/10

[Huawei-GigabitEthernet0/0/10] port bridge enable 开启接口桥接功能

[华为-GigabitEthernet0/0/10] 退出