华为交换机MAC地址配置介绍（一）

华为交换机MAC地址配置介绍（一）

       1、扩展MAC地址表项空间资源
       当设备承载的业务量很大时，MAC地址表项也会相应增加，但是设备的MAC表项空间有限，当设备的表项空间满足不了设备的业务要求时，会降低业务的运行效率。
       设备接口板提供扩展表项空间寄存器，通过配置扩展表项空间资源的分配模式，可以扩大MAC表的空间大小，满足业务需求。
       配置扩展表项空间资源的分配模式，需要重启单板生效。
       1.1、查看扩展表项空间资源的配置信息
       <Huawei>display resource-assign configuration

       1.2、配置扩展MAC表项空间资源
       [Huawei] assign resource-mode 1 slot slot-id

       2、设置静态MAC表项
       将一些与设备相连的固定上行设备或信任用户的MAC地址配置为静态MAC表项，可以保证其安全通信。当信任用户数较少时，可以通过配置静态MAC表项保证安全。当信任用户数较多时，请参见Sticky MAC进行动态绑定。
       静态MAC地址表项的优先级高于动态MAC地址表项，对静态MAC地址进行漂移的报文会被丢弃
       [Huawei]mac-address ?
         aging-time  Aging-time
         blackhole   Black hole item
         flapping    Flapping
         hash-mode   Hash mode: 0.CRC32-UPPER, 1.CRC32-LOWER, 2.LSB, 3.CRC16-LOWER,
                     4.CRC16-UPPER
         multicast   Multicast item
         static      Static item
         update      Update

       [Huawei]mac-address static ?
         H-H-H  MAC address

       [Huawei]mac-address static 1111-1111-1111 ?
         GigabitEthernet  GigabitEthernet interface

       [Huawei]mac-address static 1111-1111-1111 GigabitEthernet 0/0/2 ?
         vlan  Virtual LAN

       [Huawei]mac-address static 1111-1111-1111 GigabitEthernet 0/0/2 vlan ?
         INTEGER<1-4094>  VLAN ID

       [Huawei]mac-address static 1111-1111-1111 GigabitEthernet 0/0/2 vlan 5 ?
         <cr>  

       3、设置黑洞MAC表项
       为防止无用MAC地址表项占用MAC表，同时为了防止黑客通过MAC地址攻击用户设备或网络，可将非信任用户的MAC地址配置为黑洞MAC地址，当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文，直接丢弃。
       [Huawei]mac-address blackhole ?
         H-H-H  MAC address

       [Huawei]mac-address blackhole 2222-2222-2222 ?
         vlan  Virtual LAN
         <cr>  

       [Huawei]mac-address blackhole 2222-2222-2222 vlan ?
         INTEGER<1-4094>  VLAN ID

       [Huawei]mac-address blackhole 2222-2222-2222 vlan 3 ?
         <cr>  

       4、设置动态MAC表项的老化时间
       随着网络拓扑的不断变化，交换机将会学习到越来越多的MAC地址。
       为了避免MAC地址表项爆炸式增长，需要合理配置动态MAC表项的老化时间，及时删除MAC地址表中的废弃MAC地址表项。
       老化时间越短，交换机对周边的网络变化越敏感，适合在网络拓扑变化比较频繁的环境；老化时间越长，交换机对周边的网络变化越不敏感，适合在网络拓扑比较稳定的环境。
       [Huawei]mac-address aging-time ?
         <0,10-1000000>  Aging-time seconds, 0 means that MAC aging function does not work

       5、禁止学习MAC地址
       开启MAC地址学习功能时，收到来自周边设备的以太网帧，解析出源MAC地址，结合接收该以太网帧的接口，在MAC地址表项中添加新表项。以后设备接收到去往该目的MAC地址的以太网帧时，则直接查询MAC地址表项就可以得到正确的发送接口，可以避免广播。
       关闭MAC地址学习功能后，设备将不再从该接口学习新的MAC地址。
       5.1、接口视图下配置禁止MAC地址学习
       [Huawei-GigabitEthernet0/0/2]mac-address  learning ?
         disable  Disable
    
       [Huawei-GigabitEthernet0/0/2]mac-address  learning disable ?
         action  Action if beyond the limit
         <cr>    

       [Huawei-GigabitEthernet0/0/2]mac-address  learning disable action ?
         discard  Discard packets
         forward  Forward packets

       关闭MAC地址学习功能的缺省动作为forward，即对报文按照MAC地址表项进行转发。当配置动作为discard时，会对报文的源MAC地址进行匹配，当接口和MAC地址与MAC地址表项匹配时，则对该报文进行转发。当接口和MAC地址与MAC地址表项不匹配时，则丢弃该报文。

       5.2、VLAN视图下配置禁止MAC地址学习
       [Huawei-vlan2]mac-address learning disable

       5.3、流行为视图下配置禁止MAC地址学习
       [Huawei-behavior-1]mac-address learning disable

       6、限制MAC地址学习数量
       一些安全性较差的网络容易受到黑客的MAC地址攻击，由于MAC表的容量是有限的，当黑客伪造大量源MAC地址不同的报文并发送给交换机后，交换机的MAC表项资源就可能被耗尽。当MAC表被填满后，即使它再收到正常的报文，也无法学习到报文中的源MAC地址。
       配置限制MAC地址学习数量，当超过限制数量时不再学习MAC地址，同时可以配置当MAC地址数量达到限制后对报文采取的动作和发送告警，上报网管，从而防止MAC地址攻击，提高网络安全性。
       6.1、基于接口限制MAC地址学习数量
       [Huawei-GigabitEthernet0/0/2]mac-limit maximum ?
         INTEGER<0-4096>  Maximum MAC address can learn, 0 means unlimited

       [Huawei-GigabitEthernet0/0/2]mac-limit action ?           # 当MAC地址数量达到限制后，对报文应采取的动作
          discard  Discard packets
         forward  Forward packets  

       [Huawei-GigabitEthernet0/0/2]mac-limit alarm ?  # 当MAC地址数量达到限制后是否进行告警
         disable  No alarm is raised when the number of MAC address entries reaches the limit
         enable   An alarm is raised when the number of MAC address entries reaches the limit

       6.2、基于VLAN限制MAC地址学习数量
       [Huawei-vlan3]mac-limit maximum ?
         INTEGER<0-4096>  Maximum MAC address can learn, 0 means unlimited

       6.3、基于VSI限制MAC地址学习数量
       [Huawei-vsi-1]mac-limit ?
         action   Action if beyond the limit
         alarm    Alarm if beyond the limit
         maximum  Maximum MAC address can learn

       [Huawei-vsi-1]mac-limit maximum ?
         INTEGER<0-64512>  Maximum MAC address can learn, 0 means unlimited

       6.4、基于槽位限制MAC地址学习数量
       [Huawei]mac-limit slot slot-id maximum max-num

       7、设置MAC Hash模式
       为了提升MAC转发性能，设备一般都会通过一定的Hash算法进行学习MAC地址。
       当出现多个MAC地址匹配到同一个Key值时，就可能出现MAC Hash冲突。
       MAC Hash冲突一般表现为大量的MAC地址无法学习到，到该MAC的流量只能通过广播方式发送，导致设备上的广播流量很大。
       出现这种问题后，可以通过尝试配置更合适的MAC Hash算法的方式来降低冲突。
       由于MAC地址分布没有规律性，因此无法确定哪种Hash算法最优。在通常情况下，默认算法为最优算法，建议不要轻易变更。
       配置合适的MAC Hash模式只能缓解MAC地址学习的Hash冲突，不能彻底解决冲突问题。
       更改MAC Hash模式后，必须重启单板使配置生效。
       [Huawei] mac-address hash-mode { crc16-lower | crc16-upper | crc32-lower | crc32-upper | lsb } slot slot-id

       8、设置安全MAC功能
       在对接入用户的安全性要求较高的网络中，可以配置端口安全功能，将接口学习到的MAC地址转换为安全动态MAC、安全静态MAC或Sticky MAC，接口学习的最大MAC数量达到上限后不再学习新的MAC地址，只允许这些MAC地址和设备通信。
       这样可以阻止其他非信任的MAC主机通过本接口和交换机通信，提高设备与网络的安全性。
       缺省情况下，安全动态MAC表项不会被老化，设备重启后安全动态MAC地址会丢失，需要重新学习。安全静态MAC表项不老化且保存配置后重启不会丢失。
       8.1、使能端口安全功能（不配置后面8.2步骤即为安全动态mac地址表项）
       [Huawei-GigabitEthernet0/0/5]port-security enable

       8.2、手工配置安全静态MAC地址表项
       [Huawei-GigabitEthernet0/0/5]port-security mac-address 5555-5555-5555 vlan 5

       8.3、配置端口安全动态MAC学习限制数量
      [Huawei-GigabitEthernet0/0/5]port-security max-mac-num ?
         INTEGER<1-4096>  Maximum mac address can learn

       8.4、配置端口安全保护动作
       [Huawei-GigabitEthernet0/0/5]port-security ?
         aging-time      Aging time
         enable          Enable port security
         mac-address     Mac address
         max-mac-num     Maximum mac address can learn
         protect-action  Action if beyond the limit

       [Huawei-GigabitEthernet0/0/5]port-security protect-action ?
         protect   Discard packets
         restrict  Discard packets and warning
         shutdown  Shutdown

       端口安全保护动作有以下三种：
        protect：当学习到的MAC地址数达到接口限制数时，接口丢弃源地址在MAC表以外的报文。
       restrict：当学习到的MAC地址数超过接口限制数时，接口丢弃源地址在MAC表以外的报文，并同时发出告警。
       shutdown：当学习到的MAC地址数超过接口限制数时，将接口error down，同时发出告警。
       默认情况下，接口关闭后不会自动恢复，只能由网络管理人员执行undo shutdown命令手动恢复，也可以在接口视图下执行restart命令重启接口。
       如果用户希望被关闭的接口可以自动恢复，则可在接口error-down前通过在系统视图下执行error-down auto-recovery cause port-security interval interval-value命令使能接口状态自动恢复为Up的功能，并设置接口自动恢复为Up的延时时间，使被关闭的接口经过延时时间后能够自动恢复。

       8.5、接口学习到的安全动态MAC地址的老化时间
       [Huawei-GigabitEthernet0/0/5]port-security aging-time 120 type ?
         absolute    Absolute time  # 绝对时间
         inactivity  Inactivity time

       9、配置Sticky MAC功能
       在对接入用户的安全性要求较高的网络中，可以配置端口安全功能，将接口学习到的MAC地址转换为安全动态MAC、安全静态MAC或Sticky MAC，接口学习的最大MAC数量达到上限后不再学习新的MAC地址，只允许这些MAC地址和设备通信。
       这样可以阻止其他非信任的MAC主机通过本接口和交换机通信，提高设备与网络的安全性。
       Sticky MAC不会被老化，保存配置后重启设备，Sticky MAC也不会丢失，无需重新学习。
       8.1、使能端口安全功能
       [Huawei-GigabitEthernet0/0/2]port-security enable

       8.2、使能接口Sticky MAC功能
       [Huawei-GigabitEthernet0/0/2]port-security mac-address sticky

        8.3、手动配置一条sticky-mac表项
        [Huawei-GigabitEthernet0/0/2]port-security mac-address sticky 6666-6666-6666 vlan 6

       10、配置接口MAC地址学习优先级（防MAC地址漂移）
        接口配置不同的MAC地址学习优先级后，如果不同接口学到相同的MAC地址表项，那么高优先级接口学到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项，防止MAC地址发生漂移。
       [Huawei-GigabitEthernet0/0/2]mac-learning priority ?
         INTEGER<0-3>  Mac learning priority   # 数值越大优先级越高



华为交换机MAC地址配置介绍（二）：https://www.wlgly.net/post-47.html