MAC地址漂移检测

MAC地址漂移是指设备上一个VLAN内有两个端口学习到同一个MAC地址，后学习到的MAC地址表项覆盖原MAC地址表项的现象。

同一个 MAC地址，从多个端口学习到时，后来的端口会覆盖先前的端口(认为是用户替换了接入位置)怎么判断是否发生了漂移呢?
mac-address flapping detection vlan security-level
low(漂移50次)/middle(10次)/high(3次)
设备默认 MAC 地址发生迁移次数达到 10 次(中级)时，即认为发生漂移。在某些不稳定的网络中，存在动荡，MAC地址发生迁移次数为10时，不一定是漂移。用户可以根据网络状态，配置安全级别，MAC迁移发生指定的次数才认为发生了漂移。

mac-address flapping detection //检测是否发生了漂移，管理员可以使用 display mac-addressflapping record 查看漂移详情。
interface g 0/0/0
mac-address flapping action/trigger error-down //如果发生了 MAC地址漂移的情况，则关闭掉此接

MAC地址漂移功能一般使用在终端设备不频繁变换的场景下，如果发生了 MAC地址不合适的变动则判断网络中可能存在环路(或有非法用户仿冒合法用户 MAC 地址)，则将某个可能存在故障的接口关闭掉。
interface g0/0/0
mac-address priority xxxx (越高越优)
设置端口的 MAC地址学习级别，当多个端口学习到了同一个 MAC地址时，只记录保留最高优先级接口的信息。

流量抑制

核心思想:将广播、组播、未知单播【会泛洪】的流量限制在一个范围内(做限速)，从而避免无穷无尽的扩张导致设备卡死。
interface GigabitEthernet0/0/3
broadcast-suppression cir 100000 (12500KB)//限制广播包速率(接受和发送)，多的丟弃掉broadcast-suppression block outbound(该接口不发送任何广播包出去)【非必要莫配置】
(配置在不需要接受广播报文的接口上)本接口完全阻断广播包的发送，并不阻断广播包的接受

【流量抑制只能用在有环路的场景下吗?这句话对吗?】
不对，不单单用在有环路的场景下，他能防止环路带来的广播风暴问题不假，只不过还可以运用在其他场景中。
1.遭到攻击的场景。如果我用kali 发送大量的广播包出来，交换机收到了大量的广播报文就是会泛洪，导致其他正常设备无法正常使用网络。
2.正常使用的场景下难道就不需要对广播包去做一些速率上的限制吗?正常情况下没有人为恶意构建广播包时，广播包一般来说都一些小额流量。比如我设置某个接口一个每秒钟允许通过10MB 的广播报文
-不要把这些技术搞混淆了，他们虽然都可以对环路做出一些自己的贡献，但是本质上并不是专门来解决环路故障的技术

风暴控制

核心思想:当广播、组播、未知单播帧的流量到达了我认为的超限范围，我直接给你关闭接口或者丢弃掉广播、组播、未知单播。
流量抑制和风暴控制的核心思想共同点:保障!已知单播帧可以正常转发!!!不受影响!
interface g 0/0/1
[broadcast|mulicastlunicast]min-rate xxxxx max-rate xxxxx(超过平均最大速率storm-control触发风暴控制)
storm-control interval 10(以 10 秒为一个周期去判断有没有超速)storm-control action blocklerror-down I
error-down auto-recovery cause storm-contorl interval xxxx(因为风暴控制而关闭掉的端口等待xxx 秒恢复)

上述三个技术 MAC 漂移检测、风暴控制、流量抑制能否解决环路问题带来的负面影响?可以的(MAC地址漂移检测把接口 errordown 还是风暴控制去限速泛洪的广播、组播、未知单播，亦或者是风暴控制去拦截组播、广播、未知单播、去 error-down 接口)

但是这三个技术不只是用来解决环路场景的大额流量，和不公平的业务转发。
他还可以防止攻击者去构建不合理的包来侵害网络，去防止合法用户不小心伤害了网络的操作。