限制接口MAC地址学习数量
企业期望在接入层交换机上对员工用户进行基本的安全管控。出于安全考虑,企业要求接入层交换机上每个连接终端设备的接口均只允许一台 PC 接入网络,也就是说,如果有用户试图在某个接口下级联一台小型交换机或者集线器从而扩展上网接口,那么这种行为应该被发现而且被禁止。
inter GigabitEthemet 0/0/1
port-security enable
port-security max-mac-num 1
MAC 地址漂移
同一MAC 地址在交换机的某个接口上被学习到之后,又在相同 VLAN 的另一个接口上
学习到,这种现象被称为 MAC 地址迁移。
大量连续出现的 MAC 地址迁移就构成了 MAC 地址漂移现象。由于华为交换机缺
省开启 MAC 地址漂移检测功能,
MAC 地址漂移时常是由二 层环路导致的,此外网络攻击行为也有可能引发 MAC
址漂移。
缺省时,交换机接口的 MAC 地址学习优先级均为0 ,虽然优先级更高的接口学习
到的 MAC 地址表项不会被优先级低的接口学习到的表项覆盖,但是相同优先级的接口
之间,还是会相 互覆盖,从而产生 MAC 地址漂移现象。使用 undo mac-learning priority
priority-id allow-flapping 命令可以禁止相同优先级的接口发生 MAC 地址覆盖,从而规
MAC 地址漂移问题,提高网络的安全性。(不建议配置)
配置一个VLAN下 的MAC 地址漂移
配置全局MAC 地址漂移检测
部署基于 VLAN MAC 地址漂移检测,该功能缺省时并未激活。除此之外,华为交换机还支持全局 MAC 地址漂移检测,该功能通过在系统视图下,使用命令 mac-address flapping detection 配置, 缺省情况下全局 MAC 地址漂移检测功能己经激活。因此缺省时交换机便会对设备上的所有VLAN 进行 MAC 地址漂移检测。全局 MAC 地址漂移检测功能及基于 VLAN MAC地址检测功能都能在 一定程度上应对 MAC 地址漂移问题,建议只选用其中1 种,以免造成系统资源的浪费。
mac-address flapping detection由于这是一个缺省配置,因此在交换机上使用 display current-configuration 令不会看到该条命令。在交换机检测到 MAC 漂移后,会弹出如下告警
使用 display mac-address flapping record 命令,可以查看 MAC 地址漂移的历史记录
检测MAC 地址漂移的处理
可以选择关闭接口
mac-address flapping detection
interface gigabitethemet 0/0/2
mac-address flapping action error-down