M-LAG undo mac-address static source-check enable

1. 命令的实际作用：关闭“防仿冒”检查

简单来说，undo mac-address static source-check enable 命令的作用是关闭一个安全检查功能。

当这个安全检查功能开启时（这是设备的默认状态），设备收到一个报文后，会问自己两个问题：

1. 报文的源MAC地址，是不是我手工指定的某个重要地址（比如网关地址）？

2. 如果“是”，那这个报文是从我指定的那个正确接口进来的吗？

如果这两个问题的答案都是“是”和“否”，即“源MAC是一个重要地址，但却从另一个接口进来”，设备就会认为这是一个仿冒攻击，并果断将报文丢弃。

而你执行的 undo 命令，就是告诉设备：“别问这么多了，不管这个报文从哪来，只要地址对，就让它通过。”

2. 如果不配置，对单播流量有什么影响？

如果不配置（即功能开启），在一种关键的组网场景下，正常的单播流量会意外地被设备当成攻击报文而丢弃，导致网络不通。

这个场景就是 多活网关（如VRRP、DRNI/MLAG）组网。下面用一个简化的例子说明：

假设两台交换机（A和B）组成一个虚拟集群，对外提供一个相同的虚拟网关IP和MAC地址，共同转发流量。

1. 地址下发：为了保证高可用，交换机的系统设计会在A和B的内部都下发这个虚拟网关MAC地址的静态表项，告诉设备“这是个很重要的地址，从我自己的接口出去”。

2. 跨设备转发：当一台交换机A收到一个发往网关的报文时，它可能因为自身链路原因，通过集群内部的互联链路（IPL/Peer-Link）将这个报文转给交换机B去处理。

3. 错误的“安全检查”：当交换机B从内部互联接口收到这个报文时，它一查自己的MAC地址表，发现“报文的源MAC（就是网关MAC）在我的表里，并且指定应该从我自己的物理端口转发出去”。

4. 结果：交换机B发现，“源MAC地址匹配静态表项，但入接口（内部互联口）与表项中的出接口（B自己的物理口）不符”，于是触发了安全机制，判定这是一个仿冒报文，直接将其丢弃。

最终结果就是，跨设备访问网关的三层单播流量不通。undo mac-address static source-check enable 命令，正是通过在这条集群互联链路上关闭检查，来消除这个“误判”，从而让流量得以正常转发