MAC地址表学习_mac地址地址表的学习过程 csdn

MAC地址表的组成、MAC地址漂移原理

1 .MAC地址表分类

动态表项：接口通过报文中的源MAC地址学习获取，表项会老化，默认老化时间为300s。系统复位，接口热插拔、接口板复位后，动态表项会丢失
静态表项：由用户手工配置保存，并下发到各接口板，表项不会老化。系统复位，接口热插拔、接口板复位后，动态表项不会丢失
黑洞表项：由用户手工配置，并下发到各接口板，表项不会老化。配置黑洞MAC地址后，源MAC地址或者目的MAC地址是该MAC的报文会被丢弃。有点类似于黑名单，当往对应MAC地址发送报文时，发不出去，交换机设备会直接将报文丢掉，不转发。

2.查看MAC地址内容

华为交换及可使用display mac-address命令看

3.配置MAC地址表项

静态
mac-address static abcd-1234-5678 GigbitEthernet 0/0/2 vlan 10
黑洞
mac-address blackhole adbc-1234-5678
手工配置MAC地址表项老化时间，也就是刷新MAC的时间。根据业务需求修改
mac-address aging-time 200

4.端口安全

什么是端口安全，交换机通过动态学习到的MAC地址转换成安全的MAC地址，也就是将学习到的MAC地址加入白名单。其他不在白名单的MAC地址将不能和交换机通信，这样以增强设备安全性。
安全MAC分类
动态安全mac地址：动态学习
静态安全mac地址：手工配置
sticky mac地址：手动配置，不老化，不丢失

5. MAC地址漂移

同一台设备上一个VLAN内有两个端口学习到同一个MAC地址，后学习到的会覆盖原来学习到的MAC地址表项。很多场景是要避免这种情况发生的，比如局域网中，网络中发生了环路，导致交换机不停的在不同端口学习到相同的MAC地址，网络出现问题。当网络中有MAC地址冲突时也会出现这种情况。另外受到MAC地址攻击也有可能造成此问题，攻击者伪造已有的MAC地址向交换机发送攻击，可引起局域网内网络不稳定。
防范机制：
1.配置接口MAC地址学习优先级，高优先级的可以替换低优先级的,而低优先级的不能替换学习到的MAC地址
2.不允许相同优先级的接口发生MAC地址表项的覆盖。也就是后面学习到的MAC地址不能替换先学习到的MAC地址表项。这里可能会引发别的问题，比如当我们的设备下电了或者断开了，攻击者使用相同的MAC发送消息到交换机，此时是可以学习到的，那么后面的正常设备上电接入就没法正常上网了。

防止MAC地址漂移配置
mac-learning priority 3 //接口MAC地址学习优先级，值越大优先级高
undo mac-learning priority 3 allow-flapping //不允许相同优先级MAC地址漂移
mac-address flapping detection //配置全局MAC地址漂移检测

//配置基于vlan 的mac地址漂移检测
vlan 3
loop-detect eth-loop block-time 100 retry-times 3