华为交换机MAC地址配置介绍（二）

华为交换机MAC地址配置介绍（二）
华为交换机MAC地址配置介绍（一）：https://www.wlgly.net/post-45.html

       11、配置不允许相同优先级接口MAC地址漂移
       配置不允许相同优先级的接口发生MAC地址表项覆盖，也可以防止MAC地址漂移，提高网络的安全性。
       [Huawei]undo mac-learning priority ?
         INTEGER<0-3>  Mac learning priority

       [Huawei]undo mac-learning priority 2 ?
         allow-flapping  Allow mac flapping

       [Huawei]undo mac-learning priority 2 allow-flapping ?
         <cr>  

       12、配置基于VLAN的MAC地址漂移检测
       配置MAC地址漂移检测功能可以检测指定VLAN下的所有的MAC地址是否发生漂移。当MAC地址发生漂移时，可根据需求配置阻断接口或MAC地址、或者上报告警。
       [Huawei-vlan4]loop-detect eth-loop ?
         alarm-only  Only alarm when the loop occurs  # 发送告警
         block-mac   Block the mac when the loop occurs
         block-time  Block time

        [Huawei-vlan4]loop-detect eth-loop block-time ?
         INTEGER<10-65535>  Configure the block time(unit:second)

       [Huawei-vlan4]loop-detect eth-loop block-time 600 ?
          retry-times  Retry times of the permanent block  # 达到阻塞次数后永久阻断

       [Huawei-vlan4]loop-detect eth-loop block-time 600 retry-times ?
         INTEGER<1-5>  Configure the retry times when the permanent block occurs

       当系统检测到VLAN内有MAC地址发生漂移时，可以进行以下处理动作：
       接口阻断或MAC地址阻断。当检测到MAC地址发生漂移则执行接口阻断或MAC地址阻断动作。当指定block-mac参数时，将不阻断整个接口，而是按照发生漂移的MAC地址进行流量阻断。
      发送告警。当检测到MAC地址发生漂移时只给网管发送告警。
      配置MAC地址漂移检测后，系统将检测该VLAN内所有MAC地址是否发生漂移，若出现MAC地址漂移则执行阻断动作，阻断时间到达后放开并重新进行检测。
       若20秒内没有再次检测到MAC地址漂移，则接口阻塞被完全解除，重新开始一轮检测；若在20秒内再次检测到MAC地址漂移，则再次开始阻塞，如此反复，直到达到设定的重试次数，若依然能够检测到MAC地址漂移，则永久阻断该接口。
       当系统检测到某VLAN内有MAC地址发生漂移且发生漂移的接口或MAC地址被永久阻断时，只能通过配置解除指定VLAN下的接口阻断或MAC地址阻断来恢复到正常状态。
       12.1、查看MAC地址漂移检测信息
       [Huawei]display  loop-detect eth-loop ?
         vlan  Virtual LAN
         |     Matching output
         <cr>  

      [Huawei]display  loop-detect eth-loop 
       VLAN            Block-time      RetryTimes      Block-action    
       --------------- --------------- --------------- --------------- 
       4               600             3               block-mac       

       Total items:1

       Blocked ports:

       PortName                 Vlan      Status          Expire(s)       Leave times  
   
       ------------------------ --------  -------------   -------------   -------------
   

       Total items:0

       Blocked Mac Address:

       Mac Address              Vlan      Status          Expire(s)       Leave times  
   
       - ----------------------- --------  -------------   -------------   -------------
   

       Total items:0

       [Huawei]

       12.2、解除指定VLAN下的接口阻断或MAC地址阻断
        [Huawei]reset loop-detect eth-loop ?
       vlan  Virtual LAN

      [Huawei]reset loop-detect eth-loop vlan ?
         INTEGER<1-4094>  VLAN ID

       [Huawei]reset loop-detect eth-loop vlan 2 ?
       all          All
        interface    Enter interface command view
         mac-address  MAC address

       13、配置全局MAC地址漂移检测
       配置全局MAC地址漂移检测功能可以检测到设备上所有的MAC地址是否发生了漂移。
       该功能与loop-detect eth-loop、loop-detect eth-loop alarm-only命令配置的漂移检测功能相似。如果设备两种漂移检测都支持，可以关闭其中一种，提高系统利用率。
       缺省情况下，系统会对交换机上所有VLAN进行MAC地址漂移检测，但是在某些特定场景下，如交换机连接双网卡的负载分担服务器时，可能会出现服务器的MAC地址在两个接口上学习到，而这种情况不需要作为MAC地址漂移被检测出来。
       可以将服务器所在的VLAN加入MAC地址漂移检测白名单，不对该VLAN进行检测。
        如果用户修改动态MAC表项的老化时间变长，会导致观测到MAC地址漂移的时间变长，为了能够及时检测到MAC地址漂移，可以修改漂移表项的老化时间。
       用户网络中由于环路造成了MAC地址漂移，且网络不支持破环协议，可以在相应接口上配置发生MAC地址漂移后的处理动作来实现破环。
       接口配置了MAC地址漂移处理动作后，如果系统检测到是该接口学习的MAC发生漂移，会将该接口关闭或者退出VLAN。
        在一个MAC地址漂移表项老化周期内只能关闭一个接口。
为避免重要上行流量中断，不建议用户在上行接口配置MAC地址漂移处理动作。
       MAC地址漂移检测功能只能做单点环路检测，无法获取整个网络的拓扑信息。如果网络支持破环协议，建议使用破环协议来消除环路。
       如果下挂网络中可能只是在少量VLAN内出现环路，建议配置MAC地址漂移检测与接口退出VLAN联动机制。
        如果下挂网络中大量VLAN会成环，建议直接使用MAC地址漂移检测与接口error-down联动机制。这样可以提升处理性能，而且接口down能够被对端设备感知，若对端设备有冗余保护链路，可以快速切换。
       13.1、配置全局MAC地址漂移检测功能
       [Huawei]mac-address flapping ?
          aging-time  Aging time
          detection   Detection
         quit-vlan   The interface quit vlan because of mac-flapping
    
       [Huawei]mac-address flapping detection ?
          exclude  Do not detect mac-flapping
         <cr>   

       13.2、配置MAC地址漂移检测的VLAN白名单，即指定不检测的VLAN
       [Huawei]mac-address flapping detection exclude vlan ?
         INTEGER<1-4094>  VLAN ID

       13.3、配置指定VLAN中MAC地址漂移检测的安全级别
       [Huawei]mac-address flapping detection vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all } security-level { high |middle | low }

       13.4、配置MAC地址漂移表项的老化时间
       [Huawei]mac-address flapping aging-time ?
         INTEGER<60-900>  Aging time (unit: second, default value: 300)

       13.5、配置接口发生MAC漂移后的处理动作
       [Huawei-GigabitEthernet0/0/2]mac-address flapping action { quit-vlan | error-down }

       MAC漂移检测联动接口退VLAN技术与其他接口动态VLAN技术相冲突，不能同时使用。例如GVRP、HVRP等具有接口动态VLAN技术的功能不要与MAC漂移检测联动接口退VLAN同时配置。
       MAC漂移触发接口error-down与MAC漂移触发接口退VLAN是两个独立的动作，如果配置error-down的接口和配置quit-vlan的接口发生漂移时，两个接口都会执行接口下配置的操作，即配置error-down的接口会被error-down，配置quit-vlan的接口会执行退vlan操作。
       对于可能出现在同一个环上的接口，建议不要同时配置这两种动作。
       13.6、配置发生MAC地址漂移时接口动作的优先级
       [Huawei-GigabitEthernet0/0/2]mac-address flapping action priority priority

       默认情况下，接口关闭后不会自动恢复，只能由网络管理人员先执行shutdown命令再执行undo shutdown命令手动恢复，也可以在接口视图下执行restart命令重启接口。
       如果用户希望被关闭的接口可以自动恢复，则可在接口error-down前通过在系统视图下执行error-down auto-recovery cause mac-address-flapping命令使能接口状态自动恢复为Up的功能，并设置接口自动恢复为Up的延时时间，使被关闭的接口经过延时时间后能够自动恢复。
       默认情况下，接口退出VLAN可以自动恢复，恢复时间为10分钟。同时自动恢复时间可以为配置值，在系统视图下执行mac-address flapping quit-vlan recover-time time-value进行配置。

       14、丢弃全零MAC地址报文
        网络中的一些主机或设备发生故障时，会向交换机发送源MAC或目的MAC地址为全0的报文。可配置交换机丢弃这些报文，还可以配置在收到这些报文时上报告警，管理员可根据告警信息来定位故障设备。
      14.1、使能丢弃全0非法MAC地址报文
       [Huawei]drop illegal-mac enable

       14.2、配置收到全0非法MAC地址报文时生成一条告警
        [Huawei]drop illegal-mac alarm

        配置drop illegal-mac alarm命令后只能告警一次。如果需要继续告警，必须重新配置该命令。

        15、丢弃匹配不到MAC地址的报文
        当DHCP用户下线后，用户的MAC地址表项会老化。如果有转发到此用户的流量，在设备上找不到目的MAC地址表项，会将报文广播到此VLAN下所有接口，其它的用户都能接收到该流量，对安全造成影响。
       配置丢弃匹配不到MAC地址的报文功能后，不仅可以降低设备的负荷，同时安全也得到了保证。
       [Huawei-vlan2] mac-miss action discard

       16、配置MAC刷新ARP功能
       配置MAC刷新ARP功能后，如果MAC表项的出接口变化，会及时更新ARP表项。
       在以太网中，MAC地址表项用于指导设备进行二层数据转发，ARP表项通过IP地址和MAC地址的映射指导设备进行不同网段间的通信。
       MAC地址表项的出接口通过报文触发刷新的，ARP表项的出接口是在老化时间到后通过老化探测进行刷新的。
       这样就可能会出现MAC表项和ARP表项出接口不一致的情况，即MAC地址表项的出接口已刷新，而ARP表项的出接口没有及时刷新的情况。
         
                 图 VRRP主备切换时配置MAC刷新ARP示意 
       如图所示的场景，SwitchA和SwitchB作为Server的网关，通过VRRP来增强可靠性，VRRP协议报文通过两个Switch之间的直连链路收发。
        Server发送报文时，一般情况下只会选择一个网口发包，当检测到网络故障或者流量异常时，可能切换到另外一个网口发包。
        SwitchA为VRRP主设备，一开始服务器使用Port2发送报文，此时SwitchA学习到的服务器ARP表项和MAC表项都在Port2接口上，SwitchB学习的服务器MAC在Port1接口；
       当服务器检测到Port2故障时，服务器切换至Port1继续发送业务报文，这时SwitchA学习到的服务器MAC地址会刷新到Port1，但如果服务器切换转发接口后不主动发送ARP请求报文的话，ARP表项还是在Port2接口上。
       这样SwitchA发往服务器的报文就会从接口Port2接口发出去，而不能被正确转发，直到该ARP表项老化。
        这种情况下就可以在SwitchA和SwitchB上配置MAC刷新ARP功能，当MAC表项的出接口变化时，会即时更新ARP表项的出接口，从而保证MAC表项和ARP表项出接口的一致性。
       [Huawei]mac-address update arp

       该命令只对动态ARP表项生效，不会更新静态ARP表项。
       使用arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable命令配置ARP表项固化功能后，MAC刷新ARP功能不生效。
       使能了MAC刷新ARP功能后，只有MAC表项的出接口发生变化，才会更新对应的ARP表项。

       17、配置端口桥功能
       配置端口桥功能后，接口将实现对同源同宿报文的转发。
       同源同宿报文即源MAC地址和目的MAC地址均在设备的同一接口上学习到的报文。缺省情况下，设备不转发同源同宿报文，当接口收到这种报文时，设备判断为非法报文并直接丢弃该报文。
       配置端口桥功能后，当接口收到同源同宿报文时，若设备上的MAC地址表中存在与该报文的目的MAC地址对应的表项，则将报文从本接口转发出去。
       端口桥功能主要应用于以下场景：
       设备下挂有不具备二层转发能力的设备，当这些无二层转发能力的设备连接的用户有互通需求时，会直接将报文上送到设备，由设备完成转发功能。由于这些报文的源MAC地址和目的MAC地址都是设备的同一接口学习到，此时需要使能端口桥功能，使接口转发同源同宿报文。
       在数据中心做接入设备且下挂服务器，一台服务器中启用多个虚拟机，并且虚拟机之间需要进行数据交换。若在服务器内部完成虚拟机之间的数据交换，会        大大影响数据交换速度和服务器性能。为了提高数据交换速度和服务器性能，可以使能端口桥功能，由设备来进行数据交换。
       [Huawei-GigabitEthernet0/0/23]port bridge enable

       18、配置MAC地址变化及时上报告警
       当用户需要及时了解MAC地址的变化情况时，可配置设备学习到MAC地址和MAC地址发生老化时发送告警的功能。VSI内的MAC地址表项学习或老化不支持发送告警。
       18.1、配置设备对MAC地址发生学习或老化的检查周期
        [Huawei]mac-address trap notification interval interval-time

       18.2、使能MAC地址学习或老化的告警功能
       [Huawei-GigabitEthernet0/0/3] mac-address trap notification { aging | learn | all }

       19、配置MAC地址表使用率超过阈值后告警功能
       MAC表资源属于设备的关键资源，设备支持的MAC表空间大小是有限的，其使用率会影响设备的运行情况。此时用户可通过配置MAC表资源的使用率高于上限阈值或低于下限阈值时发送告警给网管人员，从而能及时了解设备上MAC表空间的使用率。
       [Huawei] mac-address threshold-alarm upper-limit upper-limit-value lower-limit lower-limit-value