MAC地址表的配置及管理：

MAC地址表示交换机进行数据帧转发时所使用的一个非常关键的数据表。MAC地址表初始时是空的，随着网络中的各台设备陆续开始发送数据，交换机也在各个接口上学习MAC地址，并持续维护自己的MAC地址表。一个动态的MAC地址表项被加载到交换机后，其老化计时器便开始倒计时，当计时器数到0时，这个MAC表项将被删除。在交换机每收到一个数据帧时，MAC地址表中的数据帧的源MAC地址对应的表项也会被更新，该表项的老化计时器将被复位并重新开始倒计时。华为交换机MAC地址缺省老化时间为300S。

1.查看MAC地址表

2.配置动态MAC表项的老化时间

3.配置静态MAC表项：防止规避“MAC地址漂移”故障。静态的MAC地址表项永远不会被老化，而且其优先级比动态表项更高。

4.限制MAC地址学习数量：防止网络中出现MAC地址泛洪攻击造成MAC地址表资源被耗尽。

mac-limit maximum max-num：可限制该接口的MAC地址学习数量，取值范围为0~32767。

mac-limit action { discard | forward }：当MAC地址数量达到限制后，交换机对数据帧执行的操作。

当action为discard时，在MAC地址表项数量达到限制后，若该接口收到的数据帧的源MAC地址为新的MAC地址时，丢弃这些帧。

当action为forward时，在MAC地址表项数量达到限制后，若该接口收到的数据帧的源MAC地址为新的MAC地址时，转发这些帧，但是不记录MAC地址表项。

接口安全（Port Security）：

作用：在交换机的特定接口配置了接口安全后，可以限制接口的MAC地址学习数量，并配置当出现违规行为时的惩罚机制。另外还可以将学习到的MAC地址变为安全MAC地址，从而阻止除了安全地址之外的其他MAC地址通过该接口接入网络。

原理：Port Security接口开始工作后，会解析交换机在接口上收到的数据帧的源MAC地址，并进行MAC地址学习，学习到的MAC地址会被交换机转换为动态安全MAC地址，该接口将只允许这些MAC地址接入网络。当交换机接口学习到的MAC地址达到Port Security设置的上限后，交换机将不在该接口上继续学习MAC地址，因此其他非信任的终端将无法通过该接口进行通信。动态安全MAC地址表项时不会被老化的，但是交换机重启后，这些MAC地址表项将会丢失，因此交换机不得不重新学习动态安全MAC地址。另一种安全MAC地址表项是Sticky MAC表项，这种表项也是不会被老化的，而且若交换机保存配置后重启，表项也不会丢失。

接口视图下：

port-security enable：启用接口安全功能

port-security max-mac-num 1：接口学习MAC地址最大数值为1

port-security protect-action{ restrict | shutdown | protect }：

当action为protect时：当该安全接口学习到的MAC地址数量达到限制数量时，它将丢弃源MAC地址不与该接口的安全MAC地址匹配的数据帧。

当action为restrict时：当该安全接口学习到的MAC地址数量达到限制数量时，它将丢弃源MAC地址不与该接口的安全MAC地址匹配的数据帧，同时发出警告。缺省即为restrict。

当actong为shutdown时：当该安全接口学习到的MAC地址数量达到限制数量时，如果改接口学习到新的MAC地址，它将被立即关闭，同时设备将发出警告。

Sticky MAC地址：

交换机能够将动态MAC地址转换成Sticky MAC地址，Sticky MAC地址表项在交换机保存配置后重启不会丢失。

接口视图下：

port-security mac-address sticky                接口激活sticky MAC地址功能

或者

port-security mac-address sticky xxxx-xxxx-xxxx vlan 1          手工配置sticky MAC地址

MAC地址漂移域应对：

同一个MAC地址在交换机的某个端口被学习到后，又在相同VLAN的另一个接口学习到这种现象称为MAC地址迁移，少数的MAC地址迁移往往并不认为时MAC地址漂移，例如运行VRRP的路由器在发生主备切换时，会引发MAC地址迁移，这是一种正常现象，只有在短时间内发生大量的MAC地址迁移时，才被认为是MAC地址漂移。

二层环路和网络攻击行为都有可能造成引发MAC地址漂移。因此，可以从消除二层环路或采用管理手段等方面进行规避。

1.配置接口MAC地址学习优先级：可以将一个接口的MAC地址学习优先级提高，而高优先级的接口学习到的MAC地址表项将被覆盖低优先级接口学习到的表项。

2.配置不允许相同优先级接口MAC地址漂移：当该接口学习到一个MAC地址后，不允许相同优先级的MAC地址覆盖原表项。但是交换机下电后表项会清空，如果重新上电时先学习到错误的MAC地址（非法数据帧发送），该接口将不允许正确的MAC地址覆盖原表项。

undo mac-learning priority priority-id allow-flapping

3.配置基于VLAN的MAC地址漂移检测：华为交换机支持MAC地址漂移检测功能，该功能可以在VLAN下激活。

VLAN接口视图下：

loop-detect eth-loop alarm-only：当检测都该VLAN内发生MAC地址漂移时，发出警告。

loop-detect eth-loop block-time 10 retry-times 3：当检测到该VLAN内发生MAC地址漂移时，被检测到的物理接口将被阻塞10S，10S重新开放该物理接口，开放后如果在20S没有再次检测到MAC地址漂移，则该物理接口阻塞将被彻底解除；如果20S内再次检测到MAC地址漂移，则再次将该接口阻塞。重复以上操作3次，如果仍然能检测到该物理接口有MAC地址漂移现象发生，则永久阻塞该物理接口。

物理接口被永久阻塞后，需用命令手动打开，在系统视图下：

reset loop-detect eth-loop vlan {VLAN号} interface {接口}

4.配置全局MAC地址漂移检测：缺省开启，可用display mac-address flapping record查看日志。

在特殊场景下，如一台服务器有双网卡捆绑成一个逻辑接口，实现流量负载分担。此时产生的MAC地址漂移现象是无害的，我们可以对相应VLAN设置白名单，从而不对齐进行MAC地址漂移检测。

系统视图下：

mac-address flapping detection exclude vlan {VLAN号}

VLAN中MAC地址漂移检测级别分为高（检测到3次迁移）、中（检测到10次迁移）、低（检测到50次迁移）后被认为MAC地址漂移。

系统视图下：

mac-address flapping detection vlan {VLAN号} security-level {high | middle | low}

检测到MAC地址漂移后可以设置相应动作，如关闭端口，退出当前VLAN。还能给相应动作关联优先级，当交换机检测到两个物理接口发生MAC漂移并其设置的动作相同时，优先级小的物理接口执行动作。优先级只在相同动作的接口中发生作用。

接口视图下：

mac-address flapping action error-down： 检测到MAC地址漂移后，关闭该端口。

mac-address flapping action quit-vlan：检测到MAC地址漂移后，退出当前VLAN。

mac-address flapping action priority {优先级值0~255}

如果接口被检测到MAC地址漂移而被Error-down后，是不会自动恢复的，此时可以手动shutdown该端口，然后undo shutdown该端口即可打开；也可以在接口视图下执行restart命令开启该端口。或者在系统视图下：

error-down auto-recover cause mac-address-flapping interval 30：    该端口在30S后自动恢复

如果接口被检测到MAC地址漂移而被设置为离开VLAN，那么接口可在10min后自动恢复。可在系统视图下：

mac-address flapping quit-vlan recover-time {恢复时间}：      修改因MAC地址漂移检测离开VLAN的接口恢复时间。