LAN 技术 之 mac地址表

 以太网是当今现有局域网LAN（Local Area Network）采用的最通用的通信协议标准。该标准定义了在局域网中采用的电缆类型和信号处理方法。以太网作为一种原理简单，便于实现同时又价格低廉的局域网技术已经成为业界的主流。而更高性能的千兆以太网和万兆以太网的出现更使其成为最有前途的网络技术。

本次博客主要介绍LAN网络中的MAC地址表。

MAC地址表的组成 (1) 

 动态表项（默认情况下，交换机上有的表项）

由接口通过报文中的源MAC地址学习获得，表项可老化，默认老化时间300秒。

在系统复位、接口板热插拔或接口板复位后，动态表项会丢失。

（老化时间：超过了300秒的时间，没有收到相应的mac地址更新报文，相应的mac地址表对应关系就会被删除）

 静态表项

由用户手工配置，并下发到各接口板，表项不可老化。

在系统复位、接口板热插拔或接口板复位后，保存的表项不会丢失。

 黑洞表项 （属于静态表项中的一种）

                由用户手工配置，并下发到各接口板，表项不可老化。

                 配置黑洞MAC地址后，源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。

可以通过 display mac-address 去查看mac地址表项

MAC地址表的组成 (2) 

blackhole 黑洞  static  静态   dynamic 动态

缺省情况下，MAC地址表项的老化时间为300秒。 

MAC地址表配置 

配置静态mac表项 

 [Huawei]mac-address static 0011-2233-4455 GigabitEthernet 0/0/1 vlan 1   

配置黑洞mac表项

[Huawei]mac-address blackhole 00AA-BBCC-DDEE
配置动态mac表项的老化时间

[Huawei]mac-address aging-time 400 

端口安全 

端口安全（Port Security）通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC、安全静态MAC和Sticky MAC），阻止非法用户通过本接口和交换机通信，从而增强设备的安全性。

 

安全MAC地址分类 

安全动态MAC地址 

使能端口安全而未使能Sticky MAC功能时转换的MAC地址。

                         （特点可以被老化，设备重启后，安全动态mac地址表项会丢失；只能通过动态学习到） 

                安全静态MAC地址

使能端口安全时手工配置的静态MAC地址。

Sticky MAC地址

使能端口安全后又同时使能Sticky MAC功能后转换到的MAC地址。

（特点不会被老化，设备重启后，不会被丢失；可以手工配置；应用场景：通常在关键服务器上配置，因为永久有效，可以保障出现故障之后，可以迅速恢复网络）

默认情况下，端口安全是没有开启的，一旦开启了端口安全功能，那么学习到的mac地址都会转换成安全动态mac地址 

{接口使能端口安全功能时，接口上之前学习到的动态MAC地址表项将被删除，之后学习到的MAC地址将变为安全动态MAC地址。

接口使能Sticky MAC功能时，接口上的安全动态MAC地址表项将转化为Sticky MAC地址，之后学习到的MAC地址也变为Sticky MAC地址。

接口去使能端口安全功能时，接口上的安全动态MAC地址将被删除，重新学习动态MAC地址。

接口去使能Sticky MAC功能时，接口上的Sticky MAC地址，会转换为安全动态MAC地址。}

 

配置端口安全 

配置安全mac功能 

[Huawei-GigabitEthernet0/0/2]port-security enable        使能端口安全功能

[Huawei-GigabitEthernet0/0/2]port-security protect-action shutdown    配置端口安全保护动作

[Huawei-GigabitEthernet0/0/2]port-security max-mac-num 5     配置端口安全动态MAC学习限制数量，超过了5个就会执行安全动作

[Huawei-GigabitEthernet0/0/2]port-security aging-time 1000     配置接口学习到的安全动态MAC地址的老化时间

配置Sticky MAC功能 

[Huawei-GigabitEthernet0/0/2]port-security enable

[Huawei-GigabitEthernet0/0/2]port-security mac-address sticky     使能接口Sticky MAC功能

 端口安全动作

超过安全MAC地址限制数后的动作：

动作	实现说明
restrict	丢弃源MAC地址不存在的报文并上报告警。推荐使用restrict动作。
protect	只丢弃源MAC地址不存在的报文，不上报告警。
shutdown	接口状态被置为error-down，并上报告警。默认情况下，接口关闭后不会自动恢复，只能由网络管理人员在接口视图下使用restart命令重启接口进行恢复。

接口上安全MAC地址数达到限制后，如果收到源MAC地址不存在的报文，端口安全则认为有非法用户攻击，就会根据配置的动作对接口做保护处理。缺省情况下，保护动作是restrict。 

 

MAC地址漂移 

MAC地址漂移是指设备上一个VLAN内有两个端口学习到同一个MAC地址，后学习到的MAC地址表项覆盖原MAC地址表项的现象。

MAC地址漂移避免机制：

提高接口MAC地址学习优先级；

不允许相同优先级的接口发生MAC地址表项覆盖。

 

如图所示，MAC地址为0011-0022-0034的表项，出接口由GE1/0/1刷新为GE1/0/2，这就是MAC地址漂移。设备出现MAC地址漂移时，设备CPU占用率会有不同程度的升高。正常情况下，网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路，可以通过查看告警信息和漂移记录，快速定位和排除环路。

网络中产生环路或非法用户进行网络攻击都会造成MAC地址发生漂移，导致MAC地址不稳定。在规划网络时，可以通过下面两种方式来避免这种情况：

提高接口MAC地址学习优先级。当不同接口学到相同的MAC地址表项时，高优先级接口学到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项，防止MAC地址在接口间发生漂移。

不允许相同优先级的接口发生MAC地址表项覆盖。当伪造网络设备所连接口的优先级与安全的网络设备相同时，后学习到的伪造网络设备的MAC地址表项不会覆盖之前正确的表项。但如果网络设备下电，仍会学习到伪造网络设备的MAC地址，当网络设备再次上电时将无法学习到正确的MAC地址（有隐患）。

MAC地址漂移检测 

lMAC地址漂移检测是利用MAC地址出接口跳变的现象，检测MAC地址是否发生漂移的功能。 

 

配置MAC地址漂移检测功能后，在发生MAC地址漂移时，可以上报包括MAC地址、VLAN，以及跳变的接口等信息的告警。其中跳变的接口即为可能出现环路的接口。网络管理员可以根据告警信息，手工排查网络中环路的源头，也可以使用MAC漂移检测提供的后续动作，使跳变的端口down或者VLAN从端口中退出，实现自动破环。

如图所示网络中，若SwitchC和SwitchD之间误接网线，则SwitchB、SwitchC、SwitchD之间形成环路。当SwitchA上Port1接口从网络中收到一个广播报文后转发给SwitchB，该报文经过环路，会被SwitchA上Port2接口收到。配置MAC地址漂移检测功能，SwitchA就会感知到MAC地址出接口跳变的现象。若连续出现此现象，SwitchA就会上报MAC漂移告警，提醒管理员进行维护。

 

mac地址漂移检测有两种配置方式：全局和vlan  如果是vlan，就检测该vlan里的mac地址是否有漂移，如果是基于全局，就会检测设备上所有的mac地址是否出现漂移。 

MAC地址防漂移配置 

配置接口MAC地址学习优先级 

[Huawei-GigabitEthernet0/0/2]mac-learning priority 3

配置接口学习MAC地址的优先级，缺省情况下，接口学习MAC地址的优先级为0，数值越大优先级越高

 

配置不允许相同优先级接口MAC地址漂移 

[Huawei]undo mac-learning priority 3 allow-flapping    配置不允许相同优先级的接口发生MAC地址漂移

 

配置全局MAC地址漂移检测

 

[Huawei]mac-address flapping detection     配置全局MAC地址漂移检测功能

 

配置基于VLAN的MAC地址漂移检测

 

[Huawei]vlan 2

[Huawei-vlan2]loop-detect eth-loop block-time 100 retry-times 3     配置MAC地址漂移检测功能