MAC地址表：记录了交换机学习到的其他设备的MAC地址与接口的对应关系，以及接口所属VLAN等信息

mac地址表的组成

一、三类mac地址表

1. 静态表项：由用户手工配置，并下发到各接口板，表项不可老化，重启不会丢失。优先级高于动态mac地址表
2. 动态表项：由接口通过报文中的源MAC地址学习获得，表项可老化，重启会丢失。默认情况MAC地址表老化时间为 300S（可修改）
3. 黑洞表项：由用户手工配置，并下发到各接口板，重启不会丢失。用于丢弃指定mac地址

二、mac地址表的管理命令

1. 查看mac地址表
   [Huawei]display mac-address

2. 配置静态mac地址表
   [Huawei] mac-address static 5489-98C0-7E34 GigabitEthernet 0/0/1 vlan 1 将mac地址绑定到接口g0/0/1在vlan1中有效

3. 配置黑洞mac地址表
   [Huawei] mac-address blackhole 5489-987f-161a vlan 1 在vlan1中收到源或目的为此mac时丢弃帧

4. 禁止端口学习mac地址，可以在端口或者vlan中禁止mac地址学习功能
   [Huawei-GigabitEthernet0/0/1]mac-address learning disable action discard

5. 禁止学习mac地址，并将收到的所有帧丢弃，也可以在vlan中配置
   [Huawei-GigabitEthernet0/0/1] mac-address learning disable action forward
   禁止学习mac地址，但是将收到帧以泛洪方式转发（交换机对于未知目的mac地址转发原理），也可以在vlan中配置

6. 限制MAC地址学习数量，可以端口或者vlan中配置
   [Huawei-GigabitEthernet0/0/1]mac-limit maximum 9 alarm enable
   交换机限制mac地址学习数量为9个，并在超出数量时发出告警，超过的MAC数量将无法被端口学习到，但是可以通过泛洪转发，也可以在vlan中配置

端口安全

通过将接口学习到的动态MAC地址转换为安全MAC地址，阻止非法用户通过本接口和交换机通信，从而增强设备的安全性

一、端口安全的三种类型

1. 安全动态MAC地址：使能端口安全而未使能StickyMAC地址功能时转化的MAC地址。
   （1）接口使能端口安全功能时，接口加粗样式上之前学习到的动态MAC地址表项将被删除，之后学习到的MAC地址将变为安全动态MAC地址。
   （2）接口去使能端口安全功能时，接口上的安全动态MAC地址将被删除，重新学习动态MAC地址。

2. 安全静态MAC地址：使能端口安全时手工配置的静态MAC地址

3. Sticky MAC地址：使能端口安全后又 同时使能Sticky MAC功能后转换到的MAC地址。
   （1）接口使能Sticky MAC功能时，接口上的安全动态MAC地址表项将转化为Sticky MAC地址，之后学习到的MAC地址也变为Sticky MAC地址。
   （2）接口使能Sticky MAC功能，即使配置了port-security aging-time，Sticky MAC也不会被老化。
   （3）Sticky MAC地址表项，保存后重启设备不丢弃。
   （4）接口去使能Sticky MAC功能时，接口上的Sticky MAC地址，会转换为安全动态MAC地址。

二、配置端口安全动态mac地址

此功能是将动态学习到的MAC地址设置为安全属性，其他没有被学习到的非安全属性的MAC的帧将被端口丢弃

1. [Huawei-GigabitEthernet0/0/3]port-security enable 打开端口安全功能

2. [Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1 限制安全MAC地址最大数量为1个，默认为1

3. [Huawei-GigabitEthernet0/0/3]port-security protect-action ? 配置其他非安全mac地址数据帧的处理动作：

protect Discard packets 丢弃，不产生告警信息

restrict Discard packets and warning 丢弃，产生告警信息（默认的）

shutdown 丢弃，并将端口shutdown

4. [Huawei-GigabitEthernet0/0/3]port-security aging-time 300 配置安全MAC地址的老化时间300s，默认不老化

三、配置端口安全Sticky贴粘MAC地址

此功能与端口安全动态mac地址一致，唯一不同的是：粘贴MAC地址不会老化，切交换重启后依然存在，动态安全mac地址只能动态学到而安全粘贴MAC可以动态学习也可以手工配置。

1、[Huawei-GigabitEthernet0/0/3]port-security enable 打开端口安全功能

2、[Huawei-GigabitEthernet0/0/3]port-security mac-address sticky 打开安全粘贴MAC功能

3、[Huawei-GigabitEthernet0/0/3]port-security max-mac-num 1 限制安全MAC地址最大数量为1个，默认为1

4、[Huawei-GigabitEthernet0/0/3]port-security mac-address sticky 5489-98D8-71D5 vlan 1 手工绑定粘贴MAC地址和所属vlan

5、[Huawei-GigabitEthernet0/0/3]port-security protect-action restrict 配置其他非安全mac地址数据帧的处理动作

mac地址漂移

是指设备上一个VLAN内有两个端口学习到同一个MAC地址，后学习到的MAC地址表项覆盖原MAC地址表项的现象。

MAC地址发生漂移，导致MAC地址不稳定。可通过两种方式避免（同样受mac老化时间影响）：
（1）提高接口MAC地址学习优先级。
（2）不允许相同优先级的接口发生MAC地址表项覆盖。

MAC地址漂移检测：利用MAC地址出接口跳变的现象，检测MAC地址是否发生漂移。可以上报包括MAC地址、VLAN，以及跳变的接口等信息的告警，也可以使用MAC漂移检测提供的后续动作。

地址漂移检测配置：

[Huawei]mac-address flapping detection 全局开启MAC漂移检测

[Huawei]interface g0/0/2

[Huawei-GigabitEthernet0/0/2]mac-learning priority 3 配置g0/0/2的接口优先级为3，默认为0

[Huawei-GigabitEthernet0/0/2]mac-address flapping trigger error-down 接口发生MAC地址漂移后关闭

[Huawei-GigabitEthernet0/0/2]quit

[Huawei]interface g0/0/3

[Huawei-GigabitEthernet0/0/3]mac-address flapping trigger error-down 接口发生MAC地址漂移后关闭

[Huawei-GigabitEthernet0/0/3]quit
配置完成后，当g0/0/2的MAC漂移到g0/0/3后，g0/0/3端口将被关闭。

查看MAC地址漂移记录命令：[Huawei]display mac-address flapping record 查看MAC地址漂移记录

配置丢弃全0的MAC地址报文功能

在网络中一些主机或者设备在发生故障时，会发送全源和目的MAC地址为全0的帧，可以配置交换机丢弃这些错误报文功能。

[Huawei]drop illegal-mac enable 打开丢弃全零mac地址功能

[Huawei]snmp-agent trap enable feature-name lldptrap 开启snmp的lldptrap告警功能

[Huawei]drop illegal-mac alarm 打开收到全0报文告警功能，前提是必须开启snmp的lldptrap告警功能