什么MAC地址表

MAC地址表（Media Access Control Address Table）是一個存儲網(wǎng)絡(luò)設(shè)備中MAC地址（媒體訪問控制地址）與相關(guān)設(shè)備的映射關(guān)系的數(shù)據(jù)庫。MAC地址是網(wǎng)絡(luò)設(shè)備的唯一標識符，用于在局域網(wǎng)中唯一標識每個設(shè)備。

MAC地址表的主要作用如下：

• MAC地址表記錄了交換機學習到的MAC地址與接口的對應關(guān)系，以及接口所屬VLAN等信息。
• 設(shè)備在執(zhí)行二層交換操作時，根據(jù)報文的目的MAC地址查詢MAC地址表，如果MAC地址表中包含與報文目的MAC地址對應的表項，并且收到該報文的接口與對應的表項的接口不相同時，則直接通過該表項中的出接口轉(zhuǎn)發(fā)該報文；如果相同，則丟棄該報文。
• 如果MAC地址表中沒有包含報文目的MAC地址對應的表項時，設(shè)備將采取廣播方式在所屬VLAN內(nèi)除接收接口外的所有接口轉(zhuǎn)發(fā)該報文。

MAC地址表項類型

(1) 動態(tài)MAC地址表項

由接口通過報文中的源MAC地址學習獲得，表項可老化。在系統(tǒng)復位、接口板熱插拔或接口板復位后，動態(tài)表項會丟失。

(2) 靜態(tài)MAC地址表項

由用戶手工配置并下發(fā)到各接口板，表項不老化。在系統(tǒng)復位、接口板熱插拔或接口板復位后，保存的表項不會丟失。接口和MAC地址靜態(tài)綁定后，其他接口收到源MAC是該MAC地址的報文將會被丟棄。

(3) 黑洞MAC地址表項

由用戶手工配置，并下發(fā)到各接口板，表項不可老化。配置黑洞MAC地址后，源MAC地址或目的MAC地址是該MAC的報文將會被丟棄。

MAC地址表安全功能

MAC地址表項配置

(1) 配置靜態(tài)MAC表項

[Huawei] mac-address static mac-address interface-type interface-number vlan vlan-id

指定的VLAN必須已經(jīng)創(chuàng)建并且已經(jīng)加入綁定的端口；指定的MAC地址，必須是單播MAC地址，不能是組播和廣播MAC地址。

(2) 配置黑洞MAC表項

[Huawei] mac-address blackhole mac-address [ vlan vlan-id ]

(3) 配置動態(tài)MAC表項的老化時間

[Huawei] mac-address aging-time aging-time

禁止MAC地址學習功能

(1) 關(guān)閉基于接口的MAC地址學習功能

[Huawei-GigabitEthernet0/0/1] mac-address learning disable [ action { discard | forward } ]

缺省情況下，接口的MAC地址學習功能是使能的：

• 關(guān)閉MAC地址學習功能的缺省動作為forward，即對報文進行轉(zhuǎn)發(fā)。
• 當配置動作為discard時，會對報文的源MAC地址進行匹配，當接口和MAC地址與MAC地址表項匹配時，則對該報文進行轉(zhuǎn)發(fā)。當接口和MAC地址與MAC地址表項不匹配時，則丟棄該報文。

(2) 關(guān)閉基于VLAN的MAC地址學習功能

[Huawei-vlan2] mac-address learning disable

缺省情況下，VLAN的MAC地址學習功能是使能的。 當同時配置基于接口和基于VLAN的禁止MAC地址學習功能時，基于VLAN的優(yōu)先級要高于基于接口的優(yōu)先級配置。

限制MAC地址學習數(shù)量

(1)配置基于接口限制MAC地址學習數(shù)

[Huawei-GigabitEthernet0/0/1] mac-limit maximum max-num

缺省情況下，不限制MAC地址學習數(shù)。

(2) 配置當MAC地址數(shù)達到限制后，對報文應采取的動作

Huawei-GigabitEthernet0/0/1] mac-limit action { discard | forward }

Huawei-GigabitEthernet0/0/1] mac-limit action { discard | forward }

配置當MAC地址數(shù)達到限制后是否進行告警

[Huawei-GigabitEthernet0/0/1] mac-limit alarm { disable | enable }

缺省情況下，對超過MAC地址學習數(shù)限制的報文進行告警。

(3) 配置基于VLAN限制MAC地址學習數(shù)

[Huawei-GigabitEthernet0/0/1] mac-limit alarm { disable | enable }

(4) 缺省情況下，不限制MAC地址學習數(shù)

[Huawei-vlan2] mac-limit maximum max-num

缺省情況下，不限制MAC地址學習數(shù)。

MAC地址表安全配置舉例

圖片

實驗要求：

• 網(wǎng)絡(luò)拓撲基本配置已完成，用戶網(wǎng)絡(luò)1屬于VLAN 10，用戶網(wǎng)絡(luò)2屬于VLAN 20。
• 在Switch3上配置禁止學習來自用戶網(wǎng)絡(luò)1的MAC地址。
• 在Switch3上配置限制用戶網(wǎng)絡(luò)2的MAC地址學習數(shù)量。

Switch3的配置如下：

• 配置方式一：在接口視圖下配置

# 在接口GE0/0/1上配置禁止MAC地址學習
[Switch3-GigabitEthernet0/0/1] mac-address learning disable action discard
#在接口GE0/0/2上配置限制MAC地址學習數(shù)量，超過閾值策略及告警
[Switch3-GigabitEthernet0/0/2] mac-limit maximum 100 
[Switch3-GigabitEthernet0/0/2] mac-limit alarm enable
[Switch3-GigabitEthernet0/0/2] mac-limit action discard

• 配置方式二：在VLAN視圖下配置

# 在VLAN 10上配置禁止MAC地址學習
[Switch3-vlan10] mac-address learning disable
#在VLAN 20上配置限制MAC地址學習數(shù)量與告警
[Switch3-vlan20] mac-limit maximum 100 alarm enable

配置驗證

執(zhí)行display mac-limit命令，查看MAC地址學習限制規(guī)則是否配置成功。

[Switch3]display mac-limit 
MAC Limit is enabled
Total MAC Limit rule count : 2

PORT                 VLAN/VSI/SI      SLOT  Maximum  Rate(ms)   	Action    	Alarm   
----------------------------------------------------------------------------
GE0/0/2              -              	  -    	100     -        	forward     enable  
-                    20               -    	100     -       forward   	enable

• GE0/0/2 ：基于接口的MAC地址學習限制
• 20: 基于VLAN的MAC地址學習限制