- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-MAC地址表配置
本章節下載: 01-MAC地址表配置 (523.46 KB)
目 錄
1.7.2 配置當達到接口的MAC地址數學習上限時的報文轉發規則
1.7.3 配置當達到VLAN的MAC地址數學習上限時的報文轉發規則
1.12.3 在接口上關閉報文入接口與靜態MAC地址表項匹配檢查功能
MAC(Media Access Control,媒體訪問控製)地址表記錄了MAC地址與接口的對應關係,以及接口所屬的VLAN等信息。設備在轉發報文時,根據報文的目的MAC地址查詢MAC地址表,如果MAC地址表中包含與報文目的MAC地址對應的表項,則直接通過該表項中的出接口轉發該報文;如果MAC地址表中沒有包含報文目的MAC地址對應的表項時,設備將采取廣播方式通過對應VLAN內除接收接口外的所有接口轉發該報文。
MAC地址表項的生成方式有兩種:自動生成、手工配置。
一般情況下,MAC地址表由設備通過源MAC地址學習自動生成。設備學習MAC地址的過程如下:
· 從某接口(假設為接口A)收到一個數據幀,設備分析該數據幀的源MAC地址(假設為MAC-SOURCE),並認為目的MAC地址為MAC-SOURCE的報文可以由接口A轉發。
· 如果MAC地址表中已經包含MAC-SOURCE,設備將對該表項進行更新。
· 如果MAC地址表中尚未包含MAC-SOURCE,設備則將這個新MAC地址以及該MAC地址對應的接口A作為一個新的表項加入到MAC地址表中。
為適應網絡拓撲的變化,MAC地址表需要不斷更新。MAC地址表中自動生成的表項並非永遠有效,每一條表項都有一個生存周期,到達生存周期仍得不到刷新的表項將被刪除,這個生存周期被稱作老化時間。如果在到達生存周期前某表項被刷新,則重新計算該表項的老化時間。
設備通過源MAC地址學習自動生成MAC地址表時,無法區分合法用戶和非法用戶的報文,帶來了安全隱患。如果非法用戶將攻擊報文的源MAC地址偽裝成合法用戶的MAC地址,並從設備的其他接口進入,設備就會學習到錯誤的MAC地址表項,於是將本應轉發給合法用戶的報文轉發給非法用戶。
為了提高安全性,網絡管理員可手工在MAC地址表中加入特定MAC地址表項,將用戶設備與接口綁定,從而防止非法用戶騙取數據。
MAC地址表項分為以下幾種:
· 靜態MAC地址表項:由用戶手工配置,用於目的是某個MAC地址的報文從對應接口轉發出去,表項不老化。靜態MAC地址表項優先級高於自動生成的MAC地址表項。
· 動態MAC地址表項:可以由用戶手工配置,也可以由設備通過源MAC地址學習自動生成,用於目的是某個MAC地址的報文從對應接口轉發出去,表項有老化時間。手工配置的動態MAC地址表項優先級等於自動生成的MAC地址表項。
· 黑洞MAC地址表項:由用戶手工配置,用於丟棄源MAC地址或目的MAC地址為指定MAC地址的報文(例如,出於安全考慮,可以禁止某個用戶發送和接收報文),表項不老化。黑洞MAC地址表項優先級高於自動生成的MAC地址表項。
· 多端口單播MAC地址表項:由用戶手工配置,用於目的是某個單播MAC地址的報文從多個接口複製轉發出去,表項不老化。多端口單播MAC地址表項優先級高於自動生成的MAC地址表項。
靜態MAC地址表項、黑洞MAC地址表項和多端口單播MAC地址表項不會被動態MAC地址表項覆蓋,而動態MAC地址表項可以被靜態MAC地址表項和黑洞MAC地址表項覆蓋。靜態MAC地址表項、黑洞MAC地址表項和多端口單播MAC地址表項不會彼此覆蓋。
多端口單播MAC地址表項不影響對應MAC地址的動態學習,對於同一MAC地址,多端口單播MAC地址表項和動態MAC地址表項可以同時存在,優先根據多端口單播MAC地址轉發報文。
本章不涉及靜態組播MAC地址表項和VPLS中的MAC地址表項。有關靜態組播MAC地址表項的相關介紹和配置內容,請參見“IP組播配置指導”中的“IGMP Snooping”。有關VPLS中MAC地址表項的相關介紹和配置內容,請參見“MPLS配置指導”中的“VPLS”。
本章中的所有配置均為可選,請根據實際情況選擇配置。
· 配置MAC地址學習功能
配置MAC地址表項後,當設備收到的報文的源MAC地址與配置表項中的MAC地址相同時,不同類型的MAC地址表項處理方式不同。
表1-1 不同類型MAC地址表項對源MAC地址匹配報文的處理方式
|
MAC地址表項類型 |
報文源MAC地址與配置表項中的MAC地址相同 |
|
靜態MAC地址表項 |
缺省情況下,如果表項中的接口與報文入接口不同,則設備丟棄該報文;表項中的接口與報文入接口相同時,則設備根據目的MAC地址轉發該報文 關閉報文入接口與靜態MAC地址表項匹配檢查功能後,設備不檢查報文入接口與表項中的接口是否相同,直接根據目的MAC地址轉發該報文 |
|
多端口單播MAC地址表項 |
進行MAC地址學習,生成動態MAC地址表項(假設源MAC為MAC A,),並轉發該報文。但是,當設備轉發目的MAC為MAC A的報文時,由於多端口單播MAC地址表項優先級高於自動生成的MAC地址表項,報文根據多端口單播MAC地址表項轉發,不根據生成的動態MAC地址表項轉發 |
|
黑洞MAC地址表項 |
丟棄該報文 |
|
動態MAC地址表項 |
· 如果報文入接口與該表項中的接口不同,則進行MAC地址學習,並覆蓋該表項 · 如果報文入接口與該表項中的接口相同,則轉發該報文,並更新該表項老化時間 |
在手工配置動態MAC地址表項時,如果MAC地址表中已經存在MAC地址相匹配的自動生成表項,但該表項的接口與配置不符,那麼該手工配置覆蓋自動生成表項。
如果不保存配置,設備重啟後所有手工配置的MAC地址表項都會丟失;如果保存配置,設備重啟後手工配置的靜態MAC地址表項、黑洞MAC地址表項和多端口單播MAC地址表項不會丟失,手工配置的動態MAC地址表項會丟失。
設備的保留MAC地址不允許配置為靜態、動態、黑洞MAC、多端口單播MAC。設備的保留MAC為橋MAC~橋MAC+179範圍的MAC地址。有關橋MAC地址的詳細介紹,請參見“虛擬化技術配置指導”中的“IRF”。
手工配置MAC地址表項時,必須先創建指定接口所屬的VLAN,否則配置失敗。
(1) 進入係統視圖。
system-view
(2) 添加或者修改靜態/動態MAC地址表項。
mac-address { dynamic | static } mac-address interface interface-type interface-number vlan vlan-id
缺省情況下,未配置靜態/動態MAC地址表項。
interface參數指定的接口必須屬於vlan-id參數指定的VLAN。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
¡ 進入二層以太網接口視圖。
interface interface-type interface-number
¡ 進入二層聚合接口視圖。
interface bridge-aggregation interface-number
(3) 在接口下添加或者修改靜態/動態MAC地址表項。
mac-address { dynamic | static } mac-address vlan vlan-id
缺省情況下,接口下未配置靜態/動態MAC地址表項。
當前接口必須屬於vlan-id參數指定的VLAN。
(1) 進入係統視圖。
system-view
(2) 添加或者修改黑洞MAC地址表項。
mac-address blackhole mac-address vlan vlan-id
缺省情況下,未配置黑洞MAC地址表項。
網絡管理員可手工配置多端口單播MAC地址表項,將多個端口和單播MAC地址綁定,以實現目的地址匹配該MAC地址的報文通過多個端口複製轉發出去。例如,如圖1-1在NLB(Network Load Balancing,網絡負載均衡)集群的單播模式下,所有服務器使用一個共同的MAC地址(該MAC地址為集群MAC地址),發往集群MAC地址的報文要求發送到每一台服務器,這時可以在連接服務器組的設備上配置多端口單播MAC地址表項,把客戶端發往服務器組的報文從所有連接服務器的端口轉發出去。
圖1-1 NLB集群
(1) 進入係統視圖。
system-view
(2) 配置多端口單播MAC地址表項。
mac-address multiport mac-address interface interface-list vlan vlan-id
缺省情況下,未配置多端口單播MAC地址表項。
interface參數指定的接口必須屬於vlan-id參數指定的VLAN。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
¡ 進入二層以太網接口視圖。
interface interface-type interface-number
¡ 進入二層聚合接口視圖。
interface bridge-aggregation interface-number
(3) 配置接口加入多端口單播MAC地址表項。
mac-address multiport mac-address vlan vlan-id
缺省情況下,接口下未配置多端口單播MAC地址表項。
當前接口必須屬於vlan-id參數指定的VLAN。
當網絡拓撲改變後,如果動態MAC地址表項不及時更新,會導致用戶流量不能正常轉發。配置動態MAC地址表項的老化時間後,超過老化時間的動態MAC地址表項會被自動刪除,設備將重新進行MAC地址學習,構建新的動態MAC地址表項。
用戶配置的老化時間過長或者過短,都可能影響設備的運行性能:
· 如果用戶配置的老化時間過長,設備可能會保存許多過時的MAC地址表項,從而耗盡MAC地址表資源,導致設備無法根據網絡的變化更新MAC地址表。
· 如果用戶配置的老化時間太短,設備可能會刪除有效的MAC地址表項,導致設備廣播大量的數據報文,增加網絡的負擔。
用戶需要根據實際情況,配置合適的老化時間。如果網絡比較穩定,可以將老化時間配置得長一些或者配置為不老化;否則,可以將老化時間配置得短一些。比如在一個比較穩定的網絡,如果長時間沒有流量,動態MAC地址表項會被全部刪除,可能導致設備突然廣播大量的數據報文,造成安全隱患,此時可將動態MAC地址表項的老化時間設得長一些或不老化,以減少廣播,增加網絡穩定性和安全性。
動態MAC地址表項的老化時間作用於全部接口上。
(1) 進入係統視圖。
system-view
(2) 配置動態MAC地址表項的老化時間。
mac-address timer { aging seconds | no-aging }
缺省情況下,動態MAC地址表項的老化時間為300秒。
缺省情況下,MAC地址學習功能處於開啟狀態。有時為了保證設備的安全,需要關閉MAC地址學習功能。常見的危及設備安全的情況是:非法用戶使用大量源MAC地址不同的報文攻擊設備,導致設備MAC地址表資源耗盡,造成設備無法根據網絡的變化更新MAC地址表。關閉MAC地址學習功能可以有效防止這種攻擊。
關閉MAC地址學習功能後,設備立即刪除已經存在的動態MAC地址表項。
關閉全局的MAC地址學習功能後,接口將不再學習新的MAC地址。
全局MAC地址學習功能不能控製VPLS和VXLAN的VSI中MAC地址的學習。有關VPLS和VSI的介紹,請參見“MPLS配置指導”中的“VPLS”。有關VXLAN的介紹,請參見“VXLAN配置指導”中的“VXLAN”。
(1) 進入係統視圖。
system-view
(2) 關閉全局的MAC地址學習功能。
undo mac-address mac-learning enable
缺省情況下,全局的MAC地址學習功能處於開啟狀態。
在開啟全局的MAC地址學習功能的前提下,用戶可以關閉設備上單個接口的MAC地址學習功能。
配置為peer-link接口的二層聚合接口始終禁止進行MAC地址學習,不受本功能配置狀態影響。有關peer-link接口的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“M-LAG”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
¡ 進入二層以太網接口視圖。
interface interface-type interface-number
¡ 進入二層聚合接口視圖。
interface bridge-aggregation interface-number
(3) 關閉接口的MAC地址學習功能。
undo mac-address mac-learning enable
缺省情況下,接口的MAC地址學習功能處於開啟狀態。
如圖1-2所示,某公司的多個部門分散在不同的樓層中,並且用VLAN劃分不同的部門,使得同一部門的用戶之間可以互相通信,不同部門的用戶之間互相隔離。經過一段時間後,網絡已經固定,為了節約核心設備的MAC地址表項資源,同時防止外部對公司網絡的訪問,可以在Device A和Device B上關閉除VLAN 2、VLAN 3和VLAN 10以外其他VLAN的MAC地址學習功能。
圖1-2 關閉VLAN的MAC地址學習功能組網圖
在開啟全局的MAC地址學習功能的前提下,用戶可以關閉設備上指定VLAN的MAC地址學習功能。
(1) 進入係統視圖。
system-view
(2) 進入VLAN視圖。
vlan vlan-id
(3) 關閉VLAN的MAC地址學習功能。
undo mac-address mac-learning enable
缺省情況下,VLAN的MAC地址學習功能處於開啟狀態。
圖1-3 協議報文觸發MAC地址遷移組網示意圖
如圖1-3所示,設備同時與服務器的主備網卡連接,在主備網卡MAC地址相同的情況下,主備網卡向設備發送的LLDP協議報文攜帶相同的源MAC地址,從而導致此MAC地址在設備的兩個接口上頻繁遷移。在類似的組網中,可以通過配置本功能避免設備因二層協議報文造成的MAC地址遷移問題。
關閉二層協議報文的MAC地址學習功能後,當設備收到以下目的MAC地址的報文時,不對報文的源MAC地址進行學習:
· 網橋協議(Bridge Protocol)報文:目的MAC地址為0x01-80-c2-00-00-00~0x01-80-c2-00-00-0f。
· GARP(Generic Attribute Registration Protocol,通用屬性注冊協議)報文:目的MAC地址為0x01-80-c2-00-00-20~0x01-80-c2-00-00-2f。
· PVST(Per-VLAN Spanning Tree,每VLAN生成樹)協議報文:目的MAC地址為0x01-00-0c-cc-cc-cd。
(1) 進入係統視圖。
system-view
(2) 關閉二層協議報文的MAC地址學習功能。
undo mac-address mac-learning pdu
缺省情況下,設備對二層協議報文的MAC地址學習功能處於關閉狀態
通過配置接口的MAC地址數學習上限,用戶可以控製設備維護的MAC地址表的表項數量。如果MAC地址表過於龐大,可能導致設備的轉發性能下降。當接口學習到的MAC地址數達到上限時,該接口將不再對MAC地址進行學習。
該功能僅支持在二層以太網接口視圖和二層聚合接口視圖下配置。配置了該功能後,本端口已經學習的MAC地址會先刪除再重新學習。
開啟本功能後,MAC地址由軟件學習,學習速度會變慢。
本功能僅對本地學習的Underlay的MAC地址生效。
MAC地址數學習上限和VLAN映射功能不能同時在一個接口上配置,後進行配置的功能將配置失敗。
接口學習語音報文的MAC地址時,不受本功能限製。有關語音報文的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“Voice VLAN”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
¡ 進入二層以太網接口視圖。
interface interface-type interface-number
¡ 進入二層聚合接口視圖。
interface bridge-aggregation interface-number
(3) 配置接口的MAC地址數學習上限。
mac-address max-mac-count count
缺省情況下,接口未配置MAC地址數學習上限。
通過配置VLAN的MAC地址數學習上限,用戶可以控製設備為某個VLAN維護的MAC地址表項數量。如果MAC地址表過於龐大,可能導致設備的轉發性能下降。當VLAN學習到的MAC地址條數達到上限時,該VLAN將不再對MAC地址進行學習。
S6850、S9850係列交換機不支持本功能。
由於Super VLAN沒有實際的二層物理端口,學習的MAC地址數永遠為0,所以在Super VLAN下配置MAC地址數學習上限沒有意義。有關Super VLAN的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“VLAN”。
VLAN學習語音報文的MAC地址時,不受本功能限製。有關語音報文的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“Voice VLAN”。
(1) 進入係統視圖。
system-view
(2) 進入VLAN視圖。
vlan vlan-id
(3) 配置VLAN的MAC地址數學習上限。
mac-address max-mac-count count
缺省情況下,VLAN未配置MAC地址數學習上限。。
當學習到的MAC地址數達到上限時,用戶可以選擇是否允許係統轉發源MAC不在MAC地址表裏的報文。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
¡ 進入二層以太網接口視圖。
interface interface-type interface-number
¡ 進入二層聚合接口視圖。
interface bridge-aggregation interface-number
(3) 配置當達到接口的MAC地址數學習上限時,允許轉發源MAC地址不在MAC地址表裏的報文。
mac-address max-mac-count enable-forwarding
缺省情況下,當達到接口的MAC地址數學習上限時,允許轉發源MAC地址不在MAC地址表裏的報文。
S6850、S9850係列交換機不支持本功能。
(1) 進入係統視圖。
system-view
(2) 進入VLAN視圖。
vlan vlan-id
(3) 配置當達到VLAN的MAC地址數學習上限時,允許轉發源MAC地址不在MAC地址表裏的報文。
mac-address max-mac-count enable-forwarding
缺省情況下,當達到VLAN的MAC地址數學習上限時,允許轉發源MAC地址不在MAC地址表裏的報文。
基於MAC地址轉發報文的網絡有時會因為下行接口的攻擊行為或者環路,下行接口學習到網關等上層設備的MAC地址。為了避免這種情況,將接口的MAC地址學習功能分為兩個優先級:高優先級和低優先級。對於高優先級的接口,可以學習任何MAC地址;對於低優先級的接口,在學習MAC地址時需要查看高優先級接口是否已經學到該MAC地址,如果已經學到,則不允許學習該MAC地址。比如,可以將上行接口的MAC地址學習優先級配置為高優先級,下行接口的MAC地址學習優先級配置為低優先級,那麼,下行接口就不會學到網關等上層設備的MAC地址,避免了攻擊。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
¡ 進入二層以太網接口視圖。
interface interface-type interface-number
¡ 進入二層聚合接口視圖。
interface bridge-aggregation interface-number
(3) 配置接口的MAC地址學習優先級。
mac-address mac-learning priority { high | low }
缺省情況下,MAC地址學習優先級為低優先級。
IRF設備通常有多個成員設備,為了避免不必要的廣播報文,以及提高報文轉發的速度,需要所有成員設備擁有同樣的MAC地址表。開啟全局的MAC地址同步功能後,設備會在所有成員設備間進行MAC地址表的同步。
MAC地址同步功能的典型應用場景如圖1-4所示。Device A和Device B是兩台配置了IRF功能的設備。無線接入點AP C和AP D分別連接到IRF成員設備Device A和Device B。
開啟MAC地址同步功能後,IRF成員設備會將學習到的MAC地址同步給IRF設備內的其他成員設備。如圖1-4所示,當Client A通過AP C接入時,Device A會將學習到的Client A的MAC地址同步給IRF設備內的其他成員設備Device B。
圖1-4 Client A通過AP C接入時的MAC地址表
當用戶的接入地點發生變化,例如從AP C的覆蓋區域移動到AP D的覆蓋區域時,IRF會將Client A的MAC地址重新學習到Device B上,並將更新後的MAC地址同步給IRF設備內的其他成員設備Device A(如圖1-5所示),使用戶的通信不受任何影響。
圖1-5 Client A移動到通過AP D接入時的MAC地址表
(1) 進入係統視圖。
system-view
(2) 開啟全局的MAC地址同步功能。
mac-address mac-roaming enable
缺省情況下,全局的MAC地址同步功能處於關閉狀態。
MAC地址遷移是指:設備從某接口(假設接口A)學習到某MAC地址,之後從另一接口(假設接口B)接收到了以該MAC地址為源MAC地址的報文,且接口B與接口A所屬的VLAN相同,則該MAC地址表項的出接口改為接口B,此時認為該MAC地址從接口A遷移到接口B。
如果MAC地址遷移頻繁出現,且同一MAC地址總是在特定的兩個接口之間遷移,那麼網絡中可能存在二層環路。可以通過display mac-address mac-move命令查看MAC地址遷移記錄,發現和定位環路。
當監測到某端口頻繁遷移時,用戶可以通過配置MAC地址遷移抑製功能,使頻繁遷移的端口down,一定時間後該端口將自行恢複up,或者用戶通過手動方式將該端口up。
配置mac-address notification mac-move命令後,係統采用Syslog方式上報MAC地址遷移信息到信息中心模塊,如果同時通過snmp-agent trap enable mac-address命令開啟MAC地址表的告警功能,係統還會采用Trap信息上報MAC地址遷移信息到SNMP模塊。
(1) 進入係統視圖。
system-view
(2) 開啟MAC地址遷移上報功能。
mac-address notification mac-move [ interval interval ]
缺省情況下,MAC地址遷移上報功能處於關閉狀態。
(3) (可選)配置MAC地址遷移抑製功能的相關參數。
mac-address notification mac-move suppression { interval interval | threshold threshold }
缺省情況下,MAC地址遷移抑製時間間隔為30秒、閾值為3次。
配置本命令後,當接口上開啟了MAC地址遷移抑製功能時,本命令配置的參數才能生效。
(4) 進入接口視圖。
¡ 進入二層以太網接口視圖。
interface interface-type interface-number
¡ 進入二層聚合接口視圖。
interface bridge-aggregation interface-number
(5) 開啟接口上的MAC地址遷移抑製功能。
mac-address notification mac-move suppression
缺省情況下,MAC地址遷移抑製功能處於關閉狀態。
網絡中每台在網設備都有一個IP地址,用於該主機與其他設備的通信。在以太網中,終端設備或交換路由設備直接根據MAC地址來發送、接收以太網數據幀。ARP表項提供IP地址到MAC地址的映射。不同網段間的設備進行通信時,需要通過ARP表項來查找IP地址對應的MAC地址以及相應的出接口。
通常情況下,設備上的MAC地址表項和ARP表項是一致的。但是在某些場景下,如圖1-6所示,Laptop經常在無線站點AP 1和AP 2之間漫遊,導致Device上記錄的Laptop的MAC地址與出端口的對應關係經常發生改變,而ARP表項不能及時更新,影響到數據業務的正常轉發。
圖1-6 MAC地址遷移後ARP表項不能更新
配置快速更新ARP表項後,如果交換機上記錄的MAC地址與出端口的對應關係發生改變,係統會立刻更新ARP表項,保證了數據業務的不間斷轉發。
(1) 進入係統視圖。
system-view
(2) 開啟在MAC地址遷移後,快速更新ARP表項功能。
mac-address mac-move fast-update
缺省情況下,在MAC地址遷移後,快速更新ARP表項功能處於關閉狀態。
缺省情況下,報文入接口與靜態MAC地址表項匹配檢查功能處於開啟狀態。此時,設備會將接收到的報文的源MAC地址與靜態MAC地址表項進行匹配。如果存在MAC地址與報文的源MAC相同的表項,但表項的出接口不是接收報文的端口,設備會丟棄該報文。
關閉報文入接口與靜態MAC地址表項匹配檢查功能後,設備不進行上述檢查,即使存在上述類型的靜態MAC地址表項,也會轉發報文。
對於源MAC地址是VLAN接口的MAC地址的流量,需要在對應VLAN所在的二層接口上關閉報文入接口與靜態MAC地址表項匹配檢查功能才能轉發該流量。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
¡ 進入二層以太網接口視圖。
interface interface-type interface-number
¡ 進入二層聚合接口視圖。
interface bridge-aggregation interface-number
¡ 進入三層以太網接口視圖。
interface interface-type interface-number
¡ 進入三層聚合接口。
interface route-aggregation interface-number
¡ 進入IRF物理端口視圖。
interface interface-type interface-number
(3) 在接口上關閉報文入接口與靜態MAC地址表項匹配檢查功能。
undo mac-address static source-check enable
缺省情況下,接口上的報文入接口與靜態MAC地址表項匹配檢查功能處於開啟狀態。
開啟MAC地址表的告警功能後,MAC地址表模塊會生成告警信息,用於報告該模塊的重要事件。生成的告警信息將發送到設備的SNMP模塊,請通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。
關閉MAC地址表的告警功能後,設備將隻發送日誌信息到信息中心模塊,此時請配置信息中心的輸出規則和輸出方向來查看MAC地址表模塊的日誌信息。
有關SNMP和信息中心的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”和“信息中心”。
(1) 進入係統視圖。
system-view
(2) 開啟MAC地址表的告警功能。
snmp-agent trap enable mac-address [ entry-limit | hash-conflict | illegal-mac | mac-move ] *
缺省情況下,MAC地址表的告警功能處於開啟狀態。
執行本命令時,若不指定任何告警信息參數,則MAC地址表模塊將生成或取消生成所有類型的告警信息;若指定了告警信息參數,則MAC地址表模塊隻會生成或取消生成指定類型的告警信息。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後MAC地址表的運行情況,通過查看顯示信息驗證配置的效果。
表1-2 MAC地址表顯示和維護
|
操作 |
命令 |
|
顯示MAC地址表信息 |
display mac-address [ mac-address [ vlan vlan-id ] | [ [ dynamic | static ] [ interface interface-type interface-number ] | blackhole | multiport ] [ vlan vlan-id ] [ count ] ] |
|
顯示MAC地址表動態表項的老化時間 |
display mac-address aging-time |
|
顯示MAC地址學習功能的開啟狀態 |
display mac-address mac-learning [ interface interface-type interface-number ] |
|
顯示MAC地址遷移記錄 |
display mac-address mac-move [ slot slot-number ] |
|
顯示MAC地址表的統計信息 |
display mac-address statistics |
· 現有一台用戶主機,它的MAC地址為000f-e235-dc71,屬於VLAN 1,連接Device的端口Twenty-FiveGigE1/0/1。為防止假冒身份的非法用戶騙取數據,在設備的MAC地址表中為該用戶主機添加一條靜態表項。
· 另有一台用戶主機,它的MAC地址為000f-e235-abcd,屬於VLAN 1。由於該用戶主機曾經接入網絡進行非法操作,為了避免此種情況再次發生,在設備上添加一條黑洞MAC地址表項,使該用戶主機接收不到報文。
· 配置設備的動態MAC地址表項老化時間為500秒。
圖1-7 MAC地址表基本功能配置組網圖
# 增加一個靜態MAC地址表項,目的地址為000f-e235-dc71,出接口為Twenty-FiveGigE1/0/1,且該接口屬於VLAN 1。
<Device> system-view
[Device] mac-address static 000f-e235-dc71 interface twenty-fivegige 1/0/1 vlan 1
# 增加一個黑洞MAC地址表項,地址為000f-e235-abcd,屬於VLAN 1。
[Device] mac-address blackhole 000f-e235-abcd vlan 1
# 配置動態MAC地址表項的老化時間為500秒。
[Device] mac-address timer aging 500
# 查看端口Twenty-FiveGigE1/0/1上的靜態MAC地址表項信息。
[Device] display mac-address static interface twenty-fivegige 1/0/1
MAC Address VLAN ID State Port/Nickname Aging
000f-e235-dc71 1 Static WGE1/0/1 N
# 查看黑洞MAC地址表信息。
[Device] display mac-address blackhole
MAC Address VLAN ID State Port/Nickname Aging
000f-e235-abcd 1 Blackhole N/A N
# 查看動態MAC地址表項的老化時間。
[Device] display mac-address aging-time
MAC address aging time: 500s.
由於MAC地址能唯一標識一個網絡用戶,MAC Information功能通過監控接口學習和刪除MAC地址表項,可以對用戶加入和離開網絡進行跟蹤。具體機製為:當接口學習到一條新的MAC地址表項或刪除一條已有MAC地址表項時,設備會將該MAC地址變化信息寫入緩衝隊列。當設定的發送MAC變化通知的時間間隔到期,設備立即發送記錄了MAC地址變化信息的日誌或SNMP告警信息。信息接收端通過對日誌或SNMP告警信息進行分析,實現對網絡中的用戶進行監控,同時為分析網絡的使用情況提供依據。
必須同時開啟全局和接口的MAC Information功能,MAC Information功能才會生效。
(1) 進入係統視圖。
system-view
(2) 開啟全局MAC Information功能。
mac-address information enable
缺省情況下,全局MAC Information功能處於關閉狀態。
(3) 進入二層以太網接口視圖。
interface interface-type interface-number
(4) 開啟接口的MAC Information功能。
mac-address information enable { added | deleted }
缺省情況下,接口的MAC Information功能處於關閉狀態。
發送MAC變化通知的方式有兩種:
· Syslog方式:通過發送日誌信息通知MAC地址的變化。采用該方式時,日誌信息會被發送到設備的信息中心,由信息中心發送到監控終端。有關信息中心的詳細介紹及相關配置,請參見“網絡管理和監控配置指導”中的“信息中心”。
· Trap方式:通過發送SNMP告警信息通知MAC地址的變化。采用該方式時,需要通過SNMP將SNMP告警信息發送到NMS。有關SNMP的詳細介紹及相關配置,請參見“網絡管理和監控配置指導”中的“SNMP”。
(1) 進入係統視圖。
system-view
(2) 配置發送MAC變化通知的方式。
mac-address information mode { syslog | trap }
缺省情況下,采用Trap方式發送MAC變化通知。
為了防止過於頻繁地發送MAC變化通知幹擾用戶,用戶可以修改發送MAC變化通知的時間間隔。
(1) 進入係統視圖。
system-view
(2) 配置發送MAC變化通知的時間間隔。
mac-address information interval interval-time
缺省情況下,發送MAC變化通知的時間間隔為1秒。
MAC Information緩存隊列長度是否為0對應著不同的處理方式:
· 如果MAC Information緩存隊列長度為0,則當接口學習到或刪除一條MAC地址表項時會立即發送日誌或SNMP告警信息。
· 如果MAC Information緩存隊列長度不為0,則將MAC地址變化信息存放在緩存隊列中。當未達到發送MAC變化通知的時間間隔,此時若緩存隊列被寫滿,新的MAC地址變化信息將覆蓋緩存隊列中最後一條寫入的信息;當達到發送MAC變化通知的時間間隔時,不論此時緩存隊列是否已被寫滿,都發送日誌或SNMP告警信息。
(1) 進入係統視圖。
system-view
(2) 配置MAC Information緩存隊列長度。
mac-address information queue-length value
缺省情況下,MAC Information緩存隊列長度為50。
· Host A與遠端服務器Server通過Device相連。
· 在Device的端口Twenty-FiveGigE1/0/1上開啟MAC Information功能,Device將端口Twenty-FiveGigE1/0/1上的MAC地址添加或刪除信息利用Syslog方式通過端口Twenty-FiveGigE1/0/2發送給日誌主機Host B,Host B可以對接收到的日誌信息進行分析。
圖2-1 MAC Information基本功能配置組網圖
(1) 配置Device可以將日誌信息發送到Host B
# 開啟信息中心。
<Device> system-view
[Device] info-center enable
# 配置發送日誌信息到IP地址為192.168.1.2/24的日誌主機,日誌主機記錄工具為local4。
[Device] info-center loghost 192.168.1.2 facility local4
# 關閉loghost方向所有模塊日誌信息的輸出開關。
[Device] info-center source default loghost deny
由於係統對各方向允許輸出的日誌信息的缺省情況不一樣,所以配置前必須將所有模塊指定方向(本例為loghost)上日誌信息的輸出開關關閉,再根據當前的需求配置輸出規則,以免輸出太多不需要的信息。
# 配置輸出規則:允許MAC地址表模塊的、等級高於等於informational的日誌信息輸出到日誌主機。
[Device] info-center source mac loghost level informational
(2) 使用Unix操作係統的日誌主機Host B上的配置
第一步:以超級用戶的身份登錄日誌主機。
第二步:在/var/log/路徑下為Device創建同名日誌文件夾Device,在該文件夾創建文件info.log,用來存儲來自Device的日誌。
# mkdir /var/log/Device
# touch /var/log/Device/info.log
第三步:編輯/etc/路徑下的文件syslog.conf,添加以下內容。
# Device configuration messages
local4.info /var/log/Device/info.log
以上配置中,local4表示日誌主機接收日誌的工具名稱,info表示信息等級。Unix係統會把等級高於等於informational的日誌記錄到/var/log/Device/info.log文件中。
在編輯/etc/syslog.conf時應注意以下問題:
· 注釋必須獨立成行,並以字符#開頭。
· 在文件名之後不得有多餘的空格。
· /etc/syslog.conf中指定的工具名稱及信息等級與Device上info-center loghost和info-center source命令的相應參數的指定值要保持一致,否則日誌信息可能無法正確輸出到日誌主機上。
第四步:查看係統守護進程syslogd的進程號,中止syslogd進程,並重新用-r選項在後台啟動syslogd,使修改後配置生效。
# ps -ae | grep syslogd
147
# kill -HUP 147
# syslogd -r &
進行以上操作之後,Device的日誌信息會輸出到Host B,Host B會將這些日誌信息存儲到相應的文件中了。
(3) 配置MAC Information功能
# 開啟全局MAC Information功能。
[Device] mac-address information enable
# 配置采用Syslog方式發送MAC變化通知。
[Device] mac-address information mode syslog
# 開啟端口Twenty-FiveGigE1/0/1的MAC Information功能,使該接口在學習到和刪除MAC地址時記錄MAC變化信息。
[Device] interface twenty-fivegige 1/0/1
[Device-Twenty-FiveGigE1/0/1] mac-address information enable added
[Device-Twenty-FiveGigE1/0/1] mac-address information enable deleted
[Device-Twenty-FiveGigE1/0/1] quit
# 配置MAC Information緩存隊列長度為100。
[Device] mac-address information queue-length 100
# 配置發送MAC變化通知的時間間隔為20秒。
[Device] mac-address information interval 20
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
