文章目录
1.MAC地址表抖动:
法1:使端口具有更高的MAC学习优先级,但存在黑客3抢占不了真正用户3级别的MAC
[SW1]inter e0/0/1
mac-learning priority 3 使端口具有更高的MAC学习优先级
undo mac-learning priority 3 allow-flapping 关闭了33覆盖功能
如果同为3,谁先上线谁占(先来先得),不抖动
法2:检测到抖动就关闭端口
[SW1-Ethernet0/0/2]mac-address flapping trigger error-down
如果发生抖动,检测到flappiong,就down掉这个端口0/0/2
dis mac-address flapping record 查看日志记录
dis inter e0/0/2 看到errordown状态
error端口恢复:
[SW1]error-down auto-recovery cause mac-address-flapping interval 30
30s后自动恢复一次,如果继续抖动又关闭掉,注意:这条命令需要在errordown之前做
手动重启端口:
inter g0/0/2
shut
un shut
基于Vlan的MAC地址抖动检测:
vlan 1
[Huawei-vlan1]loop-detect eth-loop block-time 10 retry-times 2
在vlan1里如果检测到flapping状态的话,会把端口阻塞10s,接下来是20s的考察期,考察期如果没有flapping,就没事了,如果有,再阻塞10s,20s考察期,一共两次
手动恢复端口:
[Huawei]reset loop-detect eth-loop vlan 1 interface e0/0/1
[Huawei-vlan1]loop-detect eth-loop block-mac block-time 10 retry-times 2
仅仅阻塞抖动的MAC,而不是端口
手动恢复阻塞的MAC:
[Huawei]reset loop-detect eth-loop vlan 1 mac-address xxxx-xxxx-xxxx
配置基于Vlan的MAC抖动检测安全级别
[Huawei]mac-address flapping detection vlan 1 security-level high
high 3次flap就处理
middle 10次
low 50次
配置基于Vlan的MAC抖动检测白名单
[Huawei]mac-address flapping detection exclude vlan 2 链路捆绑时mac
2.MAC静态表项:
静态表项实现:特定MAC接入特定Vlan,必须使用特定端口
把PC1的地址帮到端口g0/0/1下:
mac-address static 5489-9870-332E e0/0/1 vlan 1 这台PC要想接入vlan 1 必须通过g0/0/0口
静态表项优先于动态表象
dis mac-address
验证:
①PC1从其他口接入vlan 1:不行
不能ping通20.1.1.2 30.1.1.1只能ping通20.1.1.254,mac地址表未改变
②其他PC接入e0/0/1不受影响,可以ping通所有: