- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-MAC地址表配置
本章節下載: 01-MAC地址表配置 (539.31 KB)
MAC(Media Access Control,媒體訪問控製)地址表記錄了MAC地址與接口的對應關係,以及接口所屬的VLAN等信息。設備在轉發報文時,根據報文的目的MAC地址查詢MAC地址表,如果MAC地址表中包含與報文目的MAC地址對應的表項,則直接通過該表項中的出接口轉發該報文;如果MAC地址表中沒有包含報文目的MAC地址對應的表項時,設備將采取廣播方式通過對應VLAN內除接收接口外的所有接口轉發該報文。
MAC地址表項的生成方式有兩種:自動生成、手工配置。
一般情況下,MAC地址表由設備通過源MAC地址學習自動生成。設備學習MAC地址的過程如下:
· 從某接口(假設為接口A)收到一個數據幀,設備分析該數據幀的源MAC地址(假設為MAC-SOURCE),並認為目的MAC地址為MAC-SOURCE的報文可以由接口A轉發。
· 如果MAC地址表中已經包含MAC-SOURCE,設備將對該表項進行更新。
· 如果MAC地址表中尚未包含MAC-SOURCE,設備則將這個新MAC地址以及該MAC地址對應的接口A作為一個新的表項加入到MAC地址表中。
為適應網絡拓撲的變化,MAC地址表需要不斷更新。MAC地址表中自動生成的表項並非永遠有效,每一條表項都有一個生存周期,到達生存周期仍得不到刷新的表項將被刪除,這個生存周期被稱作老化時間。如果在到達生存周期前某表項被刷新,則重新計算該表項的老化時間。
設備通過源MAC地址學習自動生成MAC地址表時,無法區分合法用戶和非法用戶的報文,帶來了安全隱患。如果非法用戶將攻擊報文的源MAC地址偽裝成合法用戶的MAC地址,並從設備的其他接口進入,設備就會學習到錯誤的MAC地址表項,於是將本應轉發給合法用戶的報文轉發給非法用戶。
為了提高安全性,網絡管理員可手工在MAC地址表中加入特定MAC地址表項,將用戶設備與接口綁定,從而防止非法用戶騙取數據。
MAC地址表項分為以下幾種:
· 靜態MAC地址表項:由用戶手工配置,用於目的是某個MAC地址的報文從對應接口轉發出去,表項不老化。靜態MAC地址表項優先級高於自動生成的MAC地址表項。
· 動態MAC地址表項:可以由用戶手工配置,也可以由設備通過源MAC地址學習自動生成,用於目的是某個MAC地址的報文從對應接口轉發出去,表項有老化時間。手工配置的動態MAC地址表項優先級等於自動生成的MAC地址表項。
· 黑洞MAC地址表項:由用戶手工配置,用於丟棄源MAC地址或目的MAC地址為指定MAC地址的報文(例如,出於安全考慮,可以禁止某個用戶發送和接收報文),表項不老化。黑洞MAC地址表項優先級高於自動生成的MAC地址表項。
· 多端口單播MAC地址表項:由用戶手工配置,用於目的是某個單播MAC地址的報文從多個接口複製轉發出去,表項不老化。多端口單播MAC地址表項優先級高於自動生成的MAC地址表項。
靜態MAC地址表項、黑洞MAC地址表項和多端口單播MAC地址表項不會被動態MAC地址表項覆蓋,而動態MAC地址表項可以被靜態MAC地址表項和黑洞MAC地址表項覆蓋。靜態MAC地址表項、黑洞MAC地址表項和多端口單播MAC地址表項不會彼此覆蓋。
多端口單播MAC地址表項不影響對應MAC地址的動態學習,對於同一MAC地址,多端口單播MAC地址表項和動態MAC地址表項可以同時存在,優先根據多端口單播MAC地址轉發報文。
本章節內容隻涉及單播的靜態、動態、黑洞MAC地址表項和多端口單播MAC地址表項。有關靜態組播MAC地址表項的相關介紹和配置內容,請參見“IP組播配置指導”中的“組播路由與轉發”和“IPv6組播路由與轉發”。有關VPLS中MAC地址表項的相關介紹和配置內容,請參見“MPLS配置指導”中的“VPLS”。
以下配置均為可選配置,且配置過程無先後順序,用戶可以根據實際情況選擇配置。
配置MAC地址表項時,需要注意:
· 在手工配置動態MAC地址表項時,如果MAC地址表中已經存在MAC地址相匹配的自動生成表項,但該表項的接口與配置不符,那麼該手工配置失敗。
· 如果不保存配置,設備重啟後所有手工配置的MAC地址表項都會丟失;如果保存配置,設備重啟後手工配置的靜態MAC地址表項、黑洞MAC地址表項和多端口單播MAC地址表項不會丟失,手工配置的動態MAC地址表項會丟失。
· 不允許為DOWN狀態的接口添加或修改動態MAC地址表項。
配置MAC地址表項後,當設備收到的報文的源MAC地址與配置表項中的MAC地址相同時,不同類型的MAC地址表項處理方式不同:
表1-1 不同類型MAC地址表項對源MAC地址匹配報文的處理方式
|
MAC地址表項類型 |
報文源MAC地址與配置表項中的MAC地址相同 |
|
靜態MAC地址表項 |
不檢查報文入接口與表項中的接口是否相同,直接根據目的MAC地址轉發該報文 |
|
多端口單播MAC地址表項 |
進行MAC地址學習,生成動態MAC地址表項,但僅多端口單播MAC地址表生效 |
|
黑洞MAC地址表項 |
丟棄該報文 |
|
動態MAC地址表項 |
· 如果報文入接口與該表項中的接口不同,則進行MAC地址學習,並覆蓋該表項 · 如果報文入接口與該表項中的接口相同,則轉發該報文,並更新該表項老化時間 |
(1) 全局配置靜態/動態MAC地址表項
表1-2 全局配置靜態/動態MAC地址表項
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
添加或者修改靜態/動態MAC地址表項 |
mac-address { dynamic | static } mac-address interface interface-type interface-number vlan vlan-id |
缺省情況下,未配置任何MAC地址表項 interface參數指定的接口必須屬於vlan-id參數指定的VLAN,而且該VLAN必須事先創建,否則將配置失敗 |
(2) 接口配置靜態/動態MAC地址表項
表1-3 接口配置靜態/動態MAC地址表項
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
· 二層以太網接口視圖: · 二層聚合接口視圖: |
- |
|
在接口下添加或者修改靜態/動態MAC地址表項 |
mac-address { dynamic | static } mac-address vlan vlan-id |
缺省情況下,接口下未配置任何MAC地址表項 當前接口必須屬於vlan-id參數指定的VLAN,而且該VLAN必須事先創建,否則將配置失敗 |
表1-4 配置黑洞MAC地址表項
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
添加或者修改黑洞MAC地址表項 |
mac-address blackhole mac-address vlan vlan-id |
缺省情況下,未配置任何MAC地址表項 vlan-id參數指定的VLAN必須事先創建,否則將配置失敗 |
網絡管理員可手工配置多端口單播MAC地址表項,將多個端口和單播MAC地址綁定,以實現目的地址匹配該MAC地址的報文通過多個端口複製轉發出去。例如,如圖1-1在NLB(Network Load Balancing,網絡負載均衡)集群的單播模式下,所有服務器使用一個共同的MAC地址(該MAC地址為集群MAC地址),發往集群MAC地址的報文要求發送到每一台服務器,這時可以在連接服務器組的設備上配置多端口單播MAC地址表項,把客戶端發往服務器組的報文從所有連接服務器的端口轉發出去。
圖1-1 NLB集群
有兩種方式可以配置多端口單播MAC地址表項:
(1) 全局配置多端口單播MAC地址表項
表1-5 全局配置多端口單播MAC地址表項
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置多端口單播MAC地址表項 |
mac-address multiport mac-address interface interface-list vlan vlan-id |
缺省情況下,未配置任何多端口單播MAC地址表項 interface參數指定的接口必須屬於vlan-id參數指定的VLAN,而且該VLAN必須事先創建,否則將配置失敗 |
(2) 接口配置多端口單播MAC地址表項
表1-6 接口配置多端口單播MAC地址表項
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
· 二層以太網接口視圖: · 二層聚合接口視圖: |
- |
|
配置接口加入多端口單播MAC地址表項 |
mac-address multiport mac-address vlan vlan-id |
缺省情況下,接口下未配置任何多端口單播MAC地址表項 當前接口必須屬於vlan-id參數指定的VLAN,而且該VLAN必須事先創建,否則將配置失敗 |
缺省情況下,MAC地址學習功能處於開啟狀態。有時為了保證設備的安全,需要關閉MAC地址學習功能。常見的危及設備安全的情況是:非法用戶使用大量源MAC地址不同的報文攻擊設備,導致設備MAC地址表資源耗盡,造成設備無法根據網絡的變化更新MAC地址表。關閉MAC地址學習功能可以有效防止這種攻擊。
關閉MAC地址學習功能後,已經存在的動態MAC地址表項將被刪除。
關閉全局的MAC地址學習功能後,接口將不再學習新的MAC地址。
全局MAC地址學習功能不能控製VPLS的VSI中MAC地址的學習。有關VPLS和VSI的介紹,請參見“MPLS配置指導”中的“VPLS”。
表1-7 關閉全局MAC地址學習功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
關閉全局的MAC地址學習功能 |
undo mac-address mac-learning enable |
缺省情況下,全局的MAC地址學習功能處於開啟狀態 |
在開啟全局的MAC地址學習功能的前提下,用戶可以關閉設備上單個接口的MAC地址學習功能。
表1-8 關閉接口的MAC地址學習功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
· 二層以太網接口視圖: · 二層聚合接口視圖: |
- |
|
關閉接口的MAC地址學習功能 |
undo mac-address mac-learning enable |
缺省情況下,接口的MAC地址學習功能處於開啟狀態 |
如圖1-2所示,某公司的多個部門分散在不同的樓層中,並且用VLAN劃分不同的部門,使得同一部門的用戶之間可以互相通信,不同部門的用戶之間互相隔離。經過一段時間後,網絡已經固定,為了節約核心設備的MAC地址表項資源,同時防止外部對公司網絡的訪問,可以在Device A和Device B上關閉除VLAN 2、VLAN 3和VLAN 10以外其他VLAN的MAC地址學習功能。
圖1-2 關閉VLAN的MAC地址學習功能組網圖
在開啟全局的MAC地址學習功能的前提下,用戶可以關閉設備上指定VLAN的MAC地址學習功能。
表1-9 關閉VLAN的MAC地址學習功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN視圖 |
vlan vlan-id |
- |
|
關閉VLAN的MAC地址學習功能 |
undo mac-address mac-learning enable |
缺省情況下,VLAN的MAC地址學習功能處於開啟狀態 |
當網絡拓撲改變後,如果動態MAC地址表項不及時更新,會導致用戶流量不能正常轉發。配置動態MAC地址表項的老化時間後,超過老化時間的動態MAC地址表項會被自動刪除,設備將重新進行MAC地址學習,構建新的動態MAC地址表項。
用戶配置的老化時間過長或者過短,都可能影響設備的運行性能:
· 如果用戶配置的老化時間過長,設備可能會保存許多過時的MAC地址表項,從而耗盡MAC地址表資源,導致設備無法根據網絡的變化更新MAC地址表。
· 如果用戶配置的老化時間太短,設備可能會刪除有效的MAC地址表項,導致設備廣播大量的數據報文,增加網絡的負擔。
用戶需要根據實際情況,配置合適的老化時間。如果網絡比較穩定,可以將老化時間配置得長一些或者配置為不老化;否則,可以將老化時間配置得短一些。比如在一個比較穩定的網絡,如果長時間沒有流量,動態MAC地址表項會被全部刪除,可能導致設備突然廣播大量的數據報文,造成安全隱患,此時可將動態MAC地址表項的老化時間設得長一些或不老化,以減少廣播,增加網絡穩定性和安全性。
動態MAC地址表項的老化時間作用於全部接口上。
表1-10 配置動態MAC地址表項的老化時間
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置動態MAC地址表項的老化時間 |
mac-address timer { aging seconds | no-aging } |
缺省情況下,動態MAC地址表項的老化時間為300秒 |
手工配置的動態MAC地址表項不計入MAC地址數學習上限。
配置基於MAC的VLAN、Voice VLAN或MAC地址認證時,本功能不生效。有關基於MAC的VLAN、Voice VLAN的介紹,請參見“二層技術-以太網交換配置指導”中的“VLAN”;有關MAC地址認證的介紹,請參見“安全配置指導”中的“MAC地址認證”。
請不要同時在接口視圖和VLAN視圖下配置本功能,否則會導致功能異常。
在VLAN視圖下配置本功能時,對應VLAN僅支持基本的VLAN配置命令和基於端口的VLAN配置命令。相關命令請參見“二層技術-以太網交換命令參考”中的“VLAN”。
接口學習語音報文的MAC地址時,不受本功能限製。有關語音報文的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“Voice VLAN”。
通過配置接口的MAC地址數學習上限,用戶可以控製設備維護的MAC地址表的表項數量。如果MAC地址表過於龐大,可能導致設備的轉發性能下降。當接口學習到的MAC地址數達到上限時,該接口將不再對MAC地址進行學習。
表1-11 配置接口的MAC地址數學習上限
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網接口視圖 |
interface interface-type interface-number |
- |
|
配置接口的MAC地址數學習上限 |
mac-address max-mac-count count |
缺省情況下,接口最多可以學習到的MAC地址數目不作限製 |
VLAN學習語音報文的MAC地址時,不受本功能限製。有關語音報文的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“Voice VLAN”。
通過配置VLAN的MAC地址數學習上限,用戶可以控製設備為某個VLAN維護的MAC地址表項數量。如果MAC地址表過於龐大,可能導致設備的轉發性能下降。當VLAN學習到的MAC地址條數達到上限時,該VLAN將不再對MAC地址進行學習。
表1-12 配置VLAN的MAC地址數學習上限
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN視圖 |
vlan vlan-id |
- |
|
配置VLAN的MAC地址數學習上限 |
mac-address max-mac-count count |
缺省情況下,VLAN最多可以學習到的MAC地址數目不作限製 |
請不要同時在接口視圖和VLAN視圖下配置本功能,否則會導致功能異常。
在VLAN視圖下配置本功能時,對應VLAN僅支持基本的VLAN配置命令和基於端口的VLAN配置命令。相關命令請參見“二層技術-以太網交換命令參考”中的“VLAN”。
當學習到的MAC地址數達到上限時,用戶可以選擇是否允許係統轉發源MAC不在MAC地址表裏的報文。
表1-13 配置當達到接口的MAC地址數學習上限時的報文轉發規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網接口視圖 |
interface interface-type interface-number |
- |
|
配置當達到接口的MAC地址數學習上限時,允許轉發源MAC地址不在MAC地址表裏的報文 |
mac-address max-mac-count enable-forwarding |
缺省情況下,當達到接口的MAC地址數學習上限時,允許轉發源MAC地址不在MAC地址表裏的報文 |
表1-14 配置當達到VLAN的MAC地址數學習上限時的報文轉發規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN視圖 |
vlan vlan-id |
- |
|
配置當達到VLAN的MAC地址數學習上限時,允許轉發源MAC地址不在MAC地址表裏的報文 |
mac-address max-mac-count enable-forwarding |
缺省情況下,當達到VLAN的MAC地址數學習上限時,允許轉發源MAC地址不在MAC地址表裏的報文 |
基於MAC地址轉發報文的網絡有時會因為下行接口的攻擊行為或者環路,下行接口學習到網關等上層設備的MAC地址。為了避免這種情況,將接口的MAC地址學習功能分為兩個優先級:高優先級和低優先級。對於高優先級的接口,可以學習任何MAC地址;對於低優先級的接口,在學習MAC地址時需要查看高優先級接口是否已經學到該MAC地址,如果已經學到,則不允許學習該MAC地址。比如,可以將上行接口的MAC地址學習優先級配置為高優先級,下行接口的MAC地址學習優先級配置為低優先級,那麼,下行接口就不會學到網關等上層設備的MAC地址,避免了攻擊。
表1-15 配置接口的MAC地址學習優先級
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
· 二層以太網接口視圖: · 二層聚合接口視圖: |
- |
|
配置接口的MAC地址學習優先級 |
mac-address mac-learning priority { high | low } |
缺省情況下,MAC地址學習優先級為低優先級 |
設備通常有多塊單板,為了避免不必要的廣播報文,以及提高報文轉發的速度,需要所有單板擁有同樣的MAC地址表。開啟全局的MAC地址同步功能後,設備會在所有單板間進行MAC地址表的同步。(獨立運行模式)
IRF通常有多個成員設備,每個成員設備有多塊單板,為了避免不必要的廣播報文,以及提高報文轉發的速度,需要所有成員設備的所有單板擁有同樣的MAC地址表。開啟全局的MAC地址同步功能後,設備會在所有成員設備的所有單板間進行MAC地址表的同步。(IRF模式)
如圖1-3所示,是MAC地址同步功能的典型應用場景。Device A和Device B是兩台配置了IRF功能的設備。無線接入點AP C和AP D分別連接到IRF成員設備Device A和Device B。
開啟MAC地址同步功能後,IRF成員設備會將學習到的MAC地址同步給IRF設備內的其他成員設備。如圖1-3所示,當Client A通過AP C接入時,Device A會將學習到的Client A的MAC地址同步給IRF設備內的其他成員設備Device B。
圖1-3 Client A通過AP C接入時的MAC地址表
當用戶的接入地點發生變化,例如從AP C的覆蓋區域移動到AP D的覆蓋區域時,IRF會將Client A的MAC地址重新學習到Device B上,並將更新後的MAC地址同步給IRF設備內的其他成員設備Device A(如圖1-4所示),使用戶的通信不受任何影響。
圖1-4 Client A移動到通過AP D接入時的MAC地址表
表1-16 開啟MAC地址同步功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟全局的MAC地址同步功能 |
mac-address mac-roaming enable |
缺省情況下,全局的MAC地址同步功能處於關閉狀態 |
MAC地址遷移是指:設備從某接口(假設接口A)學習到某MAC地址,之後從另一接口(假設接口B)接收到了以該MAC地址為源MAC地址的報文,且接口B與接口A所屬的VLAN相同,則該MAC地址表項的出接口改為接口B,此時認為該MAC地址從接口A遷移到接口B。
如果MAC地址遷移頻繁出現,且同一MAC地址總是在特定的兩個接口之間遷移,那麼網絡中可能存在二層環路。可以通過查看MAC地址遷移記錄,發現和定位環路。
當監測到某端口頻繁遷移時,用戶可以通過配置MAC地址遷移抑製功能,使頻繁遷移的端口down,一定時間後該端口將自行恢複up,或者用戶通過手動方式將該端口up。
如果需要查看設備啟動後的MAC地址遷移記錄,請使用display mac-address mac-move命令。
表1-17 配置MAC地址遷移上報功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟MAC地址遷移上報功能 |
mac-address notification mac-move [ interval interval ] |
缺省情況下,MAC地址遷移上報功能處於關閉狀態 需要注意的是,執行本命令後,係統采用Syslog方式上報MAC地址遷移信息到信息中心模塊,如果同時通過snmp-agent trap enable mac-address命令開啟MAC地址表的告警功能,係統還會采用Trap信息上報MAC地址遷移信息到SNMP模塊 |
|
(可選)配置MAC地址遷移抑製功能的相關參數 |
mac-address notification mac-move suppression { interval interval | threshold threshold } |
MAC地址遷移抑製功能的相關參數未配置,采用缺省抑製時間間隔30秒和缺省閾值3次 配置本命令後,當接口上開啟了MAC地址遷移抑製功能時,本命令配置的參數才能生效 |
|
進入接口視圖 |
· 二層以太網接口視圖: · 二層聚合接口視圖: |
- |
|
(可選)開啟接口上的MAC地址遷移抑製功能 |
mac-address notification mac-move suppression |
缺省情況下,MAC地址遷移抑製功能處於關閉狀態 |
網絡中每台在網設備都有一個IP地址,用於該主機與其他設備的通信。在以太網中,終端設備或交換路由設備直接根據MAC地址來發送、接收以太網數據幀。ARP表項/ND表項提供IP地址到MAC地址的映射。不同網段間的設備進行通信時,需要通過ARP表項/ND表項來查找IP地址對應的MAC地址以及相應的出接口。
通常情況下,設備上的MAC地址表項和ARP表項/ND表項是一致的。但是在某些場景下,如圖1-5所示,Laptop經常在無線站點AP 1和AP 2之間漫遊,導致Switch上記錄的Laptop的MAC地址與出端口的對應關係經常發生改變,而ARP表項/ND表項不能及時更新,影響到數據業務的正常轉發。
圖1-5 MAC地址遷移後ARP表項/ND表項不能更新
配置快速更新ARP表項/ND表項後,如果交換機上記錄的MAC地址與出端口的對應關係發生改變,係統會立刻更新ARP表項/ND表項,保證了數據業務的不間斷轉發。
表1-18 配置快速更新ARP表項/ND表項功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟在MAC地址遷移後,快更新ARP表項/ND表項功能 |
mac-address mac-move fast-update |
缺省情況下,在MAC地址遷移後,快速更新ARP表項/ND表項功能處於關閉狀態 |
缺省情況下,報文入接口與靜態MAC地址表項匹配檢查功能處於開啟狀態。此時,設備會將接收到的報文的源MAC地址與靜態MAC地址表項進行匹配。如果存在MAC地址與報文的源MAC相同的表項,但表項的出接口不是接收報文的端口,設備會丟棄該報文。
關閉報文入接口與靜態MAC地址表項匹配檢查功能後,設備不進行上述檢查,即使存在上述類型的靜態MAC地址表項,也會轉發報文。
對於源MAC地址是VLAN接口的MAC地址的流量,需要在對應VLAN所在的二層接口上關閉報文入接口與靜態MAC地址表項匹配檢查功能才能轉發。
表1-19 關閉報文入接口與靜態MAC地址表項匹配檢查功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
· 二層以太網接口視圖: · 三層以太網接口視圖: · 二層聚合接口視圖: · 三層聚合接口視圖: · IRF物理端口視圖: |
- |
|
關閉報文入接口與靜態MAC地址表項匹配檢查功能 |
undo mac-address static source-check enable |
缺省情況下,報文入接口與靜態MAC地址表項匹配檢查功能處於開啟狀態 |
開啟MAC地址表的告警功能後,MAC地址表模塊會生成告警信息,用於報告該模塊的重要事件。生成的告警信息將發送到設備的SNMP模塊,請通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。
關閉MAC地址表的告警功能後,設備將隻發送日誌信息到信息中心模塊,此時請配置信息中心的輸出規則和輸出方向來查看MAC地址表模塊的日誌信息。
有關SNMP和信息中心的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”和“信息中心”。
表1-20 開啟MAC地址表告警功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟MAC地址表的告警功能 |
snmp-agent trap enable mac-address [ entry-limit | hash-conflict | illegal-mac | mac-move ] * |
缺省情況下,MAC地址表的告警功能處於開啟狀態 執行本命令時,若不指定任何告警信息參數,則MAC地址表模塊將生成或取消生成所有類型的告警信息;若指定了告警信息參數,則MAC地址表模塊隻會生成或取消生成指定類型的告警信息。 |
設備板卡在感知到MAC地址表發生變化時會發送同步消息給其他單板,此時其他板卡上的接口在學習同步的MAC地址時可能會產生異常,需要設備對異常板卡進行MAC地址表修複。在表項修複完成前,報文無法匹配目的MAC地址轉發,隻能廣播發送。
MAC地址表快速修複功能處於關閉狀態時,設備修複MAC地址表的時間間隔是30秒(不可配置)。開啟MAC地址表快速修複功能後,設備MAC地址表產生異常時能夠在短時間內恢複,以避免流量長時間通過廣播發送。配置本功能後設備修複MAC地址表的時間間隔為2秒。
表1-21 開啟MAC地址表快速修複功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟MAC地址表快速修複功能 |
mac-address quick-fix enable |
缺省情況下,MAC地址表快速修複功能處於關閉狀態 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後MAC地址表的運行情況,通過查看顯示信息驗證配置的效果。
表1-22 MAC地址表顯示和維護
|
操作 |
命令 |
|
顯示MAC地址表信息 |
display mac-address [ mac-address [ vlan vlan-id ] | [ [ dynamic | static ] [ interface interface-type interface-number ] | blackhole | multiport ] [ vlan vlan-id ] [ count ] ] |
|
顯示MAC地址表動態表項的老化時間 |
display mac-address aging-time |
|
顯示MAC地址學習功能的開啟狀態 |
display mac-address mac-learning [ interface interface-type interface-number ] |
|
顯示MAC地址表的統計信息 |
display mac-address statistics |
|
顯示MAC地址遷移記錄(獨立運行模式) |
display mac-address mac-move [ slot slot-number ] |
|
顯示MAC地址遷移記錄(IRF模式) |
display mac-address mac-move [ chassis chassis-number slot slot-number ] |
· 現有一台用戶主機,它的MAC地址為000f-e235-dc71,屬於VLAN 1,連接Device的端口GigabitEthernet1/0/1。為防止假冒身份的非法用戶騙取數據,在設備的MAC地址表中為該用戶主機添加一條靜態表項。
· 另有一台用戶主機,它的MAC地址為000f-e235-abcd,屬於VLAN 1。由於該用戶主機曾經接入網絡進行非法操作,為了避免此種情況再次發生,在設備上添加一條黑洞MAC地址表項,使該用戶主機接收不到報文。
· 配置設備的動態MAC地址表項老化時間為500秒。
圖1-6 MAC地址表典型配置組網圖
# 增加一個靜態MAC地址表項,目的地址為000f-e235-dc71,出接口為GigabitEthernet1/0/1,且該接口屬於VLAN 1。
<Device> system-view
[Device] mac-address static 000f-e235-dc71 interface gigabitethernet 1/0/1 vlan 1
# 增加一個黑洞MAC地址表項,地址為000f-e235-abcd,屬於VLAN 1。
[Device] mac-address blackhole 000f-e235-abcd vlan 1
# 配置動態MAC地址表項的老化時間為500秒。
[Device] mac-address timer aging 500
# 查看端口GigabitEthernet1/0/1上的靜態MAC地址表項信息。
[Device] display mac-address static interface gigabitethernet 1/0/1
MAC Address VLAN ID State Port/Nickname Aging
000f-e235-dc71 1 Static GE1/0/1 N
# 查看黑洞MAC地址表信息。
[Device] display mac-address blackhole
MAC Address VLAN ID State Port/Nickname Aging
000f-e235-abcd 1 Blackhole N/A N
# 查看動態MAC地址表項的老化時間。
[Device] display mac-address aging-time
MAC address aging time: 500s.
由於MAC地址能唯一標識一個網絡用戶,MAC Information功能通過監控接口學習和刪除MAC地址表項,可以對用戶加入和離開網絡進行跟蹤。具體機製為:當接口學習到一條新的MAC地址表項或刪除一條已有MAC地址表項時,設備會將該MAC地址變化信息寫入緩衝隊列。當設定的發送MAC變化通知的時間間隔到期,設備立即發送記錄了MAC地址變化信息的日誌或SNMP告警信息。信息接收端通過對日誌或SNMP告警信息進行分析,實現對網絡中的用戶進行監控,同時為分析網絡的使用情況提供依據。
必須同時開啟全局和接口的MAC Information功能,MAC Information功能才會生效。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟全局MAC Information功能 |
mac-address information enable |
缺省情況下,全局MAC Information功能處於關閉狀態 |
|
進入二層以太網接口視圖 |
interface interface-type interface-number |
- |
|
開啟接口的MAC Information功能 |
mac-address information enable { added | deleted } |
缺省情況下,接口的MAC Information功能處於關閉狀態 |
發送MAC變化通知的方式有兩種:
· Syslog方式:通過發送日誌信息通知MAC地址的變化。采用該方式時,日誌信息會被發送到設備的信息中心,由信息中心發送到監控終端。有關信息中心的詳細介紹及相關配置,請參見“網絡管理和監控配置指導”中的“信息中心”。
· Trap方式:通過發送SNMP告警信息通知MAC地址的變化。采用該方式時,需要通過SNMP將SNMP告警信息發送到NMS。有關SNMP的詳細介紹及相關配置,請參見“網絡管理和監控配置指導”中的“SNMP”。
表2-2 配置發送MAC變化通知的方式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置發送MAC變化通知的方式 |
mac-address information mode { syslog | trap } |
缺省情況下,采用Trap方式發送MAC變化通知 |
為了防止過於頻繁地發送MAC變化通知幹擾用戶,用戶可以修改發送MAC變化通知的時間間隔。
表2-3 配置發送MAC變化通知的時間間隔
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置發送MAC變化通知的時間間隔 |
mac-address information interval interval-time |
缺省情況下,發送MAC變化通知的時間間隔為1秒 |
MAC Information緩存隊列長度是否為0對應著不同的處理方式:
· 如果MAC Information緩存隊列長度為0,則當接口學習到或刪除一條MAC地址表項時會立即發送日誌或SNMP告警信息。
· 如果MAC Information緩存隊列長度不為0,則將MAC地址變化信息存放在緩存隊列中。當未達到發送MAC變化通知的時間間隔,此時若緩存隊列被寫滿,新的MAC地址變化信息將覆蓋緩存隊列中最後一條寫入的信息;當達到發送MAC變化通知的時間間隔時,不論此時緩存隊列是否已被寫滿,都發送日誌或SNMP告警信息。
表2-4 配置MAC Information緩存隊列長度
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置MAC Information緩存隊列長度 |
mac-address information queue-length value |
缺省情況下,MAC Information緩存隊列長度為50 |
· Host A與遠端服務器Server通過Device相連。
· 在Device的端口GigabitEthernet1/0/1上開啟MAC Information功能,Device將端口GigabitEthernet1/0/1上的MAC地址添加或刪除信息利用Syslog方式通過端口GigabitEthernet1/0/2發送給日誌主機Host B,Host B可以對接收到的日誌信息進行分析。
圖2-1 MAC Information典型配置組網圖
(1) 配置Device可以將日誌信息發送到Host B
· Device上的配置
# 開啟信息中心。
<Device> system-view
[Device] info-center enable
# 配置發送日誌信息到IP地址為192.168.1.2/24的日誌主機,日誌主機記錄工具為local4。
[Device] info-center loghost 192.168.1.2 facility local4
# 關閉loghost方向所有模塊日誌信息的輸出開關。
[Device] info-center source default loghost deny
由於係統對各方向允許輸出的日誌信息的缺省情況不一樣,所以配置前必須將所有模塊指定方向(本例為loghost)上日誌信息的輸出開關關閉,再根據當前的需求配置輸出規則,以免輸出太多不需要的信息。
# 配置輸出規則:允許MAC地址表模塊的、等級高於等於informational的日誌信息輸出到日誌主機。
[Device] info-center source mac loghost level informational
· 使用Unix操作係統的日誌主機Host B上的配置
第一步:以超級用戶的身份登錄日誌主機。
第二步:在/var/log/路徑下為Device創建同名日誌文件夾Device,在該文件夾創建文件info.log,用來存儲來自Device的日誌。
# mkdir /var/log/Device
# touch /var/log/Device/info.log
第三步:編輯/etc/路徑下的文件syslog.conf,添加以下內容。
# Device configuration messages
local4.info /var/log/Device/info.log
以上配置中,local4表示日誌主機接收日誌的工具名稱,info表示信息等級。Unix係統會把等級高於等於informational的日誌記錄到/var/log/Device/info.log文件中。
在編輯/etc/syslog.conf時應注意以下問題:
· 注釋必須獨立成行,並以字符#開頭。
· 在文件名之後不得有多餘的空格。
· /etc/syslog.conf中指定的工具名稱及信息等級與Device上info-center loghost和info-center source命令的相應參數的指定值要保持一致,否則日誌信息可能無法正確輸出到日誌主機上。
第四步:查看係統守護進程syslogd的進程號,中止syslogd進程,並重新用-r選項在後台啟動syslogd,使修改後配置生效。
# ps -ae | grep syslogd
147
# kill -HUP 147
# syslogd -r &
進行以上操作之後,Device的日誌信息會輸出到Host B,Host B會將這些日誌信息存儲到相應的文件中了。
(2) 配置MAC Information功能
# 開啟全局MAC Information功能。
[Device] mac-address information enable
# 配置采用Syslog方式發送MAC變化通知。
[Device] mac-address information mode syslog
# 開啟端口GigabitEthernet1/0/1的MAC Information功能,使該接口在學習到和刪除MAC地址時記錄MAC變化信息。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] mac-address information enable added
[Device-GigabitEthernet1/0/1] mac-address information enable deleted
[Device-GigabitEthernet1/0/1] quit
# 配置MAC Information緩存隊列長度為100。
[Device] mac-address information queue-length 100
# 配置發送MAC變化通知的時間間隔為20秒。
[Device] mac-address information interval 20
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
