在网络中MAC地址是设备中不变的物理地址,控制MAC地址接入就控制了交换机的端口接入,所以端口安全也是对MAC的的安全。在交换机中CAM(Content Addressable Memory,内容可寻址内存表)表,又叫MAC地址表,其中记录了与交换机相连的设备的MAC地址、端口号、所属vlan等对应关系。
一、MAC地址表分为三张
1、静态MAC地址表,手工绑定,优先级高于动态MAC地址表
2、动态MAC地址表,交换机收到数据帧后会将源mac学习到MAC地址表中
3、黑洞MAC地址表,手工绑定或自动学习,用于丢弃指定MAC地址
二、MAC地址表的管理命令
1、查看mac地址表
<Huawei>display mac-address
2、配置静态mac地址表
3、配置黑洞mac地址表
4、禁止端口学习mac地址,可以在端口或者vlan中禁止mac地址学习功能
[Huawei-GigabitEthernet0/0/1]mac-address learning disable action discard
禁止学习mac地址,并将收到的所有帧丢弃,也可以在vlan中配置
[Huawei-GigabitEthernet0/0/1] mac-address learning disable action forward
禁止学习mac地址,但是将收到帧以泛红方式转发(交换机对于未知目的mac地址转发原理),也可以在vlan中配置
5、限制MAC地址学习数量,可以端口或者vlan中配置
交换机限制mac地址学习数量为9个,并在超出数量时发出告警,超过的MAC数量将无法被端口学习到,但是可以通过泛红转发(交换机对于未知目的mac地址转发原理),也可以在vlan中配置
6、配置端口安全动态mac地址
此功能是将动态学习到的MAC地址设置为安全属性,其他没有被学习到的非安全属性的MAC的帧将被端口丢弃
7、配置端口安全Sticky贴粘MAC地址
查看粘贴MAC地址状态
MAC address table of slot 0:
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
[Huawei-GigabitEthernet0/0/3]
8、配置MAC地址防漂移功能
[Huawei]interface g0/0/2
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]interface g0/0/3
[Huawei-GigabitEthernet0/0/3]quit
配置完成后,当g0/0/2的MAC漂移到g0/0/3后,g0/0/3端口将被关闭。
9、配置丢弃全0的MAC地址报文功能
在网络中一些主机或者设备在发生故障时,会发送全源和目的MAC地址为全0的帧,可以配置交换机丢弃这些错误报文功能。
10、配置MAC地址刷新arp功能
mac信息更新后(如用户更换接入端口)自动刷新arp表项功能
11、配置端口桥接功能
[Huawei]interface g0/0/10
[Huawei-GigabitEthernet0/0/10] quit
原文:https://blog.csdn.net/alone_map/article/details/52459199