网络技术-MAC地址飘逸(华为适用)
正常情况下,网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路,或者存在网络攻击行为。
MAC地址漂移概述
MAC地址漂移是指交换机上一个VLAN内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。
当一个MAC地址在两个端口之间频繁发生迁移时,即会产生MAC地址漂移现象。
正常情况下,网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路,或者存在网络攻击行为。
防止MAC地址漂移
如果是环路引发MAC地址漂移,治本的方法是部署防环技术,例如STP,消除二层环路。如果由于网络攻击等其他原因引起,则可使用如下MAC地址防漂移特性:
1.配置接口MAC地址学习优先级
当MAC地址在交换机的两个接口之间发生漂移时,可以将其中一个接口的MAC地址学习优先级提高。高优先级的接口学习到的MAC地址表项将覆盖低优先级接口学习到的MAC地址表项。
2.配置不允许相同优先级接口MAC地址漂移
当伪造网络设备所连接口的MAC地址优先级与安全的网络设备相同时,后学习到的伪造网络设备MAC地址表项不会覆盖之前正确的表项。
- 缺省时接口MAC地址学习的优先级均为0,数值越大优先级越高。当同一个MAC地址被两个接口学习到后,接口MAC地址学习优先级高的会被保留,MAC地址学习优先级低的被覆盖。
- 在配置不允许相同优先级接口MAC地址漂移时,如果安全网络设备下电,则交换机仍会学习到伪造网络设备的MAC地址,当网络设备再次上电时将无法学习到正确的MAC地址。因此该特性需谨慎使用,如果交换机的接口连接的网络设备是服务器,当服务器下电后,另外的接口学习到与服务器相同的MAC地址,当服务器再次上电后就不能学习到正确的MAC地址。
MAC地址漂移检测
交换机支持MAC地址漂移检测机制,分为以下两种方式:
(1)基于VLAN的MAC地址漂移检测:
- 配置VLAN的MAC地址漂移检测功能可以检测指定VLAN下的所有的MAC地址是否发生漂移。
- 当MAC地址发生漂移后,可以配置指定的动作,例如告警、阻断接口或阻断MAC地址。
(2)全局MAC地址漂移检测
- 该功能可以检测设备上的所有的MAC地址是否发生了漂移。
- 若发生漂移,设备会上报告警到网管系统。
- 用户也可以指定发生漂移后的处理动作,例如将接口关闭或退出VLAN。
基于VLAN的MAC地址漂移检测
在配置基于VLAN的MAC地址漂移检测功能后,如果MAC地址发生漂移时,则可根据需求配置接口做出的动作有以下三种:
- 发送告警,当检测到MAC地址发生漂移时只给网管发送告警。
- 接口阻断,当检测到MAC地址发生漂移时,根据设置的阻塞时间对接口进行阻塞,并关闭接口收发报文的能力。
- MAC地址阻断,当检测到MAC地址发生漂移时,只阻塞当前MAC地址,而不对物理接口进行阻塞,当前接口下的其他MAC的通信不受影响。
当配置接口阻塞时:
- 检测到VLAN2内产生MAC地址漂移时,将产生漂移后的接口直接阻塞。
- 接口将被阻塞10秒(该时长使用block-time关键字指定),接口被阻塞时是无法正常收发数据的。
- 10秒之后接口会被放开并重新进行检测,此时该接口可以正常收发数据,如果20秒内没有再检测到MAC地址漂移,则接口的阻塞将被彻底解除;而如果20秒内再次检测到MAC地址漂移,则再次将该接口阻塞,如此重复2次(该次数使用retry-times关键字指定),如果交换机依然能检测到该接口发生MAC地址漂移,则永久阻塞该接口。
全局MAC地址漂移检测
当交换机检测到MAC地址漂移,在缺省情况下,它只是简单地上报告警,并不会采取其他动作。在实际网络部署中,可以根据网络需求,对检测到MAC地址漂移之后定义以下动作:
- error-down:当配置了MAC地址漂移检测的端口检测到有MAC地址漂移时,将对应接口状态置为error-down,不再转发数据。
- quit-vlan:当配置了MAC地址漂移检测的端口检测到有MAC地址漂移时,将退出当前接口所属的VLAN。
- 华为交换机默认开启全局MAC地址漂移检测功能,因此缺省时交换机便会对设备上的所有VLAN进行MAC地址漂移检测。
- 在某些场景下,需要对某些VLAN不进行MAC地址漂移检测,可以通过配置MAC地址漂移检测的VLAN白名单来实现。
- 如果接口由于发生了MAC地址漂移从而被设置为Error-Down,默认情况下是不会自动恢复的。
- 如果希望Error-Down的接口能够自动恢复,在系统视图下配置如下命令:
error-down auto-recovery cause mac-address-flapping interval time-value- 如果接口由于发生了MAC地址漂移,被设置为离开VLAN,如要实现接口自动恢复,可以在系统视图下配置如下命令:
复制
mac-address flapping quit-vlan recover-time time-valueMAC地址漂移配置命令介绍
(1)配置接口学习MAC地址的优先级:复制
[Huawei-GigabitEthernet0/0/1] mac-learning priority priority-id缺省情况下,接口学习MAC地址的优先级为0,数值越大优先级越高。
(2)配置禁止MAC地址漂移时报文的处理动作为丢弃:复制
[Huawei-GigabitEthernet0/0/1] mac-learning priority flapping-defend action discard缺省情况下,禁止MAC地址漂移时报文的处理动作是转发。
(3)配置不允许相同优先级的接口发生MAC地址漂移:复制
[Huawei] undo mac-learning priority priority-id allow-flapping缺省情况下,允许相同优先级的接口发生MAC地址漂移。
(4)配置MAC地址漂移检测功能。复制
[Huawei-vlan2] mac-address flapping detection缺省情况下,已经配置了对交换机上所有VLAN进行MAC地址漂移检测的功能。
(5)(可选)配置MAC地址漂移检测的VLAN白名单:复制
[Huawei] mac-address flapping detection exclude vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>缺省情况下,没有配置MAC地址漂移检测的VLAN白名单。
”
(6)(可选)配置发生漂移后接口的处理动作:复制
[Huawei-GigabitEthernet0/0/1] mac-address flapping action { quit-vlan | error-down }缺省情况下,对超过MAC地址学习数限制的报文采取丢弃动作。
(7)(可选)配置MAC地址漂移表项的老化时间:复制
[Huawei] mac-address flapping aging-time aging-time缺省情况下,MAC地址漂移表项的老化时间为300秒。
(8) 配置MAC地址漂移检测功能:复制
[Huawei-vlan2] loop-detect eth-loop { [ block-mac ] block-time block-time retry-times | alarmMAC地址漂移配置举例
实验介绍:
- 网络基础配置已完成,Switch3与Switch4之间误接网线导致网络出现环路;
- 在Switch1的接口GE0/0/1上配置MAC地址防漂移功能,防止被非法用户攻击;
- 在Switch2上配置MAC地址漂移检测功能,判断网络中存在的环路,排除故障。
(1)在Switch1与Server相连的接口GE0/0/1上配置MAC地址学习优先级高于其他接口,此优先级默认值为0。复制
[Switch1] interface GigabitEthernet 0/0/1
[Switch1-GigabitEthernet 0/0/1] mac-leaning priority 3在Switch2上配置MAC地址漂移检测功能,并配置接口MAC地址漂移后的处理动作:复制
[Switch2] mac-address flapping detection
[Switch2] mac-address flapping aging-time 500
[Switch2-GigabitEthernet0/0/1] mac-address flapping action error-down
[Switch2-GigabitEthernet0/0/2] mac-address flapping action error-down
[Switch2] error-down auto-recovery cause mac-address-flapping interval 500- 当Switch3与Switch4之间误连接之后,Switch2的接口GE0/0/1的MAC地址漂移到接口GE0/0/2后,触发接口error-down,接口GE0/0/2关闭。
- 使用display mac-address flapping record可查看到漂移记录。
配置验证配置完成后,当Switch2的接口GE0/0/1的MAC地址漂移到接口GE0/0/2后,接口GE0/0/2关闭;使用display mac-address flapping record可查看到漂移记录。复制
[Switch2] display mac-address flapping record
S : start time
E : end time
(Q) : quit vlan
(D) : error down
---------------------------------------------------------------------------------------------------
Move-Time VLAN MAC-Address Original-Port Move-Ports MoveNum
---------------------------------------------------------------------------------------------------
S:2020-06-22 17:22:36 1 5489-9815-662b GE0/0/1 GE0/0/2(D) 83
E:2020-06-22 17:22:44
---------------------------------------------------------------------------------------------------
Total items on slot 0: 1MAC 地址飘逸命令(华为适用)
display loop-detect eth-loop
display bridge mac-address
display mac-address
display mac-address aging-time
display mac-address blackhole
display mac-address dynamic
display mac-address flapping
display mac-address flapping record
display mac-address hash-mode
display mac-address mux
display mac-address oam
display mac-address static
display mac-address summary
display mac-address total-number
display mac-limit
display snmp-agent trap feature-name l2if all
display snmp-agent trap feature-name l2ifppi all
drop illegal-mac alarm
drop illegal-mac enable
global-mac-learning enable
loop-detect eth-loop
loop-detect eth-loop alarm-only
mac-address aging-time
mac-address blackhole
mac-address destination hit aging enable
mac-address flapping action
mac-address flapping action priority
mac-address flapping aging-time
mac-address flapping detection
mac-address flapping detection exclude vlan
mac-address flapping detection security-level
mac-address flapping quit-vlan recover-time
mac-address hash-mode
mac-address learning disable(接口视图和VLAN视图)
mac-address learning disable(流行为视图)
mac-address static vlan
mac-address threshold-alarm
mac-address trap hash-conflict enable
mac-address trap hash-conflict history
mac-address trap hash-conflict interval
mac-address trap notification
mac-address trap notification interval
mac-address update arp
mac-learning priority
mac-learning priority allow-flapping
mac-learning priority flapping-defend action
mac-limit
mac-limit slot
mac-miss action discard
port bridge enable
remark destination-mac
reset loop-detect eth-loop
reset mac-address flapping record
snmp-agent trap enable feature-name l2if
snmp-agent trap enable feature-name l2ifppi
undo mac-address
undo mac-address temporary
undo mac-limit all
display loop-detect eth-loop
命令功能
display loop-detect eth-loop命令用来查看MAC地址漂移检测信息。
仅S7703、S7706和S7712支持该配置。
命令格式
display loop-detect eth-loop [ vlan vlan-id ]
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| vlan vlan-id | 查看指定VLAN的MAC地址漂移检测信息。 | 整数形式,取值范围是1~4094。 |
视图
所有视图
缺省级别
1:监控级
使用指南
应用场景
配置完MAC地址漂移检测功能后,用户可执行命令display loop-detect eth-loop,检查配置是否正确。
当接口发生地址漂移且被阻断后,用户可执行命令display loop-detect eth-loop,了解MAC地址漂移的详细信息,包括被阻断的接口、所属VLAN、被阻断的MAC地址等。
注意事项
如果不指定vlan vlan-id,将显示所有的MAC地址漂移信息。
使用实例
# 查看所有的MAC地址漂移检测信息。
<HUAWEI> display loop-detect eth-loop VLAN Block-time RetryTimes Block-action --------------- --------------- --------------- --------------- 2 60 3 block-port 3 20 3 block-MAC Total items:2 Blocked ports: PortName VLAN Status Expire(s) Leave times ------------------------ -------- ------------- ------------- ------------- GigabitEthernet3/0/22 2 Block 56 1 Total items:1 Blocked MAC Address: MAC Address VLAN Status Expire(s) Leave times ------------------------ -------- ------------- ------------- ------------- 0600-0000-0001 3 Block 10 1 Total items:1
| 项目 | 描述 |
|---|---|
| VLAN | Vlan ID。 |
| Block-time | 阻断时间。 |
| RetryTimes | 阻断的重试次数。 |
| Total items | 配置了MAC地址漂移检测的VLAN合计数。 |
| Block-action | 阻断动作。alarm-only:只上报告警。block-MAC:根据MAC地址阻断流量。block-port:阻断接口。 |
| Blocked ports | 显示阻断的接口名称。 |
| PortName | 被阻断的接口名称。 |
| Total items | 被阻断的接口合计数。 |
| Blocked MAC Address | 显示阻断的MAC地址。 |
| MAC Address | 被阻断的MAC地址。 |
| Total items | 被阻断的MAC地址合计数。 |
| Status | 被阻断的接口或MAC地址的当前阻断状态。 |
| Expire(s) | 被阻断的剩余时间。 |
| Leave times | 被阻断恢复后,允许再次出现漂移的次数,超过此次数后,接口或MAC地址将被永久阻断。 |
相关主题
display bridge mac-address
命令功能
display bridge mac-address命令用来查看设备的桥MAC地址。
命令格式
display bridge mac-address
参数说明
无
视图
所有视图
缺省级别
1:监控级
使用指南
当用户需要查看设备的桥MAC地址时,可通过本命令查看。
使用实例
# 查看设备的桥MAC地址。
<HUAWEI> display bridge mac-address
System bridge MAC address: 00e0-f74b-6d00
| 项目 | 描述 |
|---|---|
| System bridge MAC address | 标识设备的桥MAC地址。 |
display mac-address
命令功能
display mac-address命令用来查看所有类型的MAC地址表项信息。显示的内容包括目的MAC地址、设备所属的VLAN/VSI、出接口、MAC表项类型等。
命令格式
display mac-address [ mac-address ] [ vlan vlan-id | vsi vsi-name ] [ verbose ]
display mac-address [ vlan vlan-id | interface-type interface-number ] * [ verbose ]
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| mac-address | 查看MAC地址是mac-address的地址表项信息。 | 格式为H-H-H。其中H为4位的十六进制数,可以输入1~4位,如00e0、fc01。当输入不足4位时,表示前面的几位为0,如:输入e0,等同于00e0。MAC地址不可设置为FFFF-FFFF-FFFF、组播地址和全零MAC地址。 |
| vlan vlan-id | 查看VLAN编号是vlan-id的MAC地址表项信息。 | 整数形式,取值范围是1~4094。 |
| vsi vsi-name | 查看VSI名称是vsi-name的MAC地址表项。vsi-name表示VSI名称。 | 字符串形式,不支持空格,区分大小写,取值范围是1~31。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
| interface-type interface-number | 查看出接口为指定接口的MAC地址表项,其中:interface-type表示出接口类型。interface-number表示出接口编号。说明:不支持管理网口。 | – |
| verbose | 显示MAC地址表项的详细信息。 | – |
视图
所有视图
缺省级别
1:监控级
使用指南
应用场景
设备的MAC地址表用于存放交换机所学习到的其它设备的MAC地址信息。在转发数据时,根据以太网帧中的目的MAC地址和VLAN编号查询MAC表,快速定位设备的出接口。
本命令可以查看动态表项、静态表项、黑洞表项以及其它业务MAC表项,显示的内容包括目的MAC地址、设备所属的VLAN/VSI、出接口、MAC表项类型。
后续任务
用户可通过本命令查看系统中所有MAC地址表项。可以根据查看的结果来判断配置的MAC地址和学习到的MAC地址是否正确,若不正确可以使用undo mac-address命令删除或使用mac-address static命令增加正确表项。
注意事项
如果只输入display mac-address,不指定任何参数,则显示所有的MAC地址表项。
当设备上配置和学习了大量的MAC地址表项,使用本命令查看MAC地址表项时,推荐通过指定VLAN、VSI等参数对显示的信息进行过滤。否则可能因为显示信息内容过多而导致:
- 终端屏幕不停地刷新而无法获取需要的信息。
- 系统长时间的信息遍历和检索,造成系统无响应。
使用实例
# 查看MAC地址表中所有的MAC地址表项。
<HUAWEI> display mac-address ------------------------------------------------------------------------------- MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------------------------------- 0022-0022-0033 100/- GE1/0/1 dynamic 0000-0000-0001 -/HUAWEI GE1/0/2 static ------------------------------------------------------------------------------- Total items displayed = 2
# 查看VLAN10中所有MAC地址表项的详细信息。
<HUAWEI> display mac-address vlan 10 verbose
-------------------------------------------------------------------------------
MAC Address : 0000-0000-0001 VLAN : 10
Learned-From: GE1/0/2 Type : dynamic
-------------------------------------------------------------------------------
Total items displayed = 1
| 项目 | 描述 |
|---|---|
| MAC Address | MAC地址信息。 |
| VLAN/VSI | 设备所属的VLAN编号或VSI(Virtual Switch Instance)名称。 |
| Learned-From | 学到该MAC地址的接口。 |
| Type | MAC表项类型。标识MAC地址的类型:static:静态MAC地址表项。由用户手工配置,表项不会被老化。可以通过命令mac-address static vlan、mac-address static vlanif、或mac-address static vsi配置。blackhole:标识黑洞MAC地址表项,由用户手工配置,表项不会被老化。可以通过命令mac-address blackhole配置。dynamic:标识动态MAC地址表项,由设备通过源MAC地址学习获得,表项有老化时间,可被老化。OAM-PU:标志OAM MAC表项,由命令mac-purge配置的MAC地址表项。OAM-PO:标志OAM MAC表项,由命令mac-populate配置的MAC地址表项。security:标志安全动态MAC表项,由接口使能端口安全功能后学习到的MAC地址表项。sec-config:标志安全静态MAC表项,由命令port-security mac-address配置的MAC地址表项。sticky:标志Sticky MAC表项,由接口使能Sticky MAC功能后学习到的MAC地址表项。mux:标志MUX MAC表项,当接口使能MUX VLAN功能后,该接口学习到的MAC地址表项会记录到mux类型的MAC地址表项中。snooping:根据DHCP Snooping绑定表生成的静态MAC表项类型。authen:已获取到IP地址的NAC认证用户(无法生成MAC地址的三层Portal认证用户和直接转发模式下的无线用户除外)对应的MAC地址表项。pre-authen:用户使能NAC认证功能后,处于预连接状态且未获取到IP地址的NAC认证用户对应的MAC地址表项。说明:设备上已存在的MAC地址表项中,仅MAC地址类型为dynamic的MAC地址可以被覆盖配置为其他类型的MAC地址。 |
相关主题
display mac-address total-number
display mac-address aging-time
命令功能
display mac-address aging-time命令用来查看MAC地址表中动态MAC地址表项的老化时间。
命令格式
display mac-address aging-time
参数说明
无
视图
所有视图
缺省级别
1:监控级
使用指南
应用场景
使用本命令可以查看交换机当前的MAC地址表项的老化时间,从而判断配置的MAC地址表项的老化时间是否合理,是否符合现网实际情况和设备性能。
后续任务
如果MAC地址表项的老化时间配置不合理,可以使用mac-address aging-time命令重新配置。
注意事项
使用本命令查看动态MAC地址表项的老化时间为0秒时,说明学习到的动态MAC地址不会被老化,可能会使MAC地址表项爆炸式增长,降低系统性能。
使用实例
# 查看MAC地址表中动态表项的老化时间。
<HUAWEI> display mac-address aging-time Aging time: 300 second(s)
| 项目 | 描述 |
|---|---|
| Aging time | 动态MAC地址表项的老化时间,单位是秒。相关命令请参见mac-address aging-time。 |
相关主题
display mac-address blackhole
命令功能
display mac-address blackhole命令用来查看黑洞MAC地址表项信息。
命令格式
display mac-address blackhole [ vlan vlan-id | vsi vsi-name ] [ verbose ]
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| vlan vlan-id | 显示指定VLAN的黑洞MAC地址表项。 | 整数形式,取值范围是1~4094。 |
| vsi vsi-name | 显示指定VSI的黑洞MAC地址表项。 | 字符串形式,不支持空格,区分大小写,取值范围是1~31。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
| verbose | 显示指定黑洞MAC地址表项的详细信息。 | – |
视图
所有视图
缺省级别
1:监控级
使用指南
应用场景
设备的MAC地址表用于存放交换机所学习到的其它设备的MAC地址信息。在转发数据时,根据以太网帧中的目的MAC地址和VLAN编号查询MAC表,快速定位设备的出接口。
基本的MAC地址表项分为以下几种类型:
- 黑洞MAC地址表项用于丢弃含有特定源MAC地址或目的MAC地址的报文,由用户手工配置,表项不会被老化。
- 静态MAC地址表项由用户手工配置,表项不会被老化。
- 动态MAC地址表项由设备通过源MAC地址学习获得,表项可通过老化时间进行老化。
用户可通过本命令查看设备中存在的黑洞MAC地址表项,以确定是否正确配置黑洞MAC地址,丢弃指定源MAC地址或目的MAC地址的报文,保证合法用户的通信。
后续任务
用户可以根据查看的结果来判断配置的黑洞MAC地址是否正确,若不正确可以使用undo mac-address命令删除或使用mac-address blackhole命令增加正确表项。
注意事项
如果只输入display mac-address blackhole,不指定任何参数,则显示所有的黑洞MAC地址表项。
如果MAC地址表中没有任何黑洞MAC表项,则本命令的显示结果为空。
使用实例
# 查看所有黑洞MAC地址表项信息。
<HUAWEI> display mac-address blackhole ------------------------------------------------------------------------------- MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------------------------------- 0022-0022-0033 100/- - blackhole 0000-0000-0001 -/HUAWEI - blackhole ------------------------------------------------------------------------------- Total items displayed = 2
# 查看VLAN100的黑洞MAC地址表项信息。
<HUAWEI> display mac-address blackhole vlan 100 ------------------------------------------------------------------------------- MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------------------------------- 0022-0022-0033 100/- - blackhole 0000-0000-0001 100/- - blackhole ------------------------------------------------------------------------------- Total items displayed = 2
| 项目 | 描述 |
|---|---|
| MAC Address | MAC地址。 |
| VLAN/VSI | 设备所属的VLAN编号或VSI(Virtual Switch Instance)名称。 |
| Learned-From | MAC地址类型是blackhole时,此处固定显示”-“。 |
| Type | MAC表项类型。blackhole:标识黑洞MAC地址表项,由用户手工配置,表项不会被老化。可以通过命令mac-address blackhole配置。 |
相关主题
display mac-address total-number
display mac-address dynamic
命令功能
display mac-address dynamic命令用来查看动态MAC地址表项信息。
命令格式
display mac-address dynamic [ [ slot ] slot-id ] [ vlan vlan-id | interface-type interface-number ] * [ verbose ]
display mac-address dynamic [ [ slot ] slot-id ] [ vsi vsi-name [ peer ip-address ] ] [ verbose ]
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| slot slot-id | 显示指定槽位的动态MAC地址表项。 | 整数形式,根据系统提示的在位槽位号确定。 |
| vlan vlan-id | 查看VLAN编号是vlan-id的动态MAC地址表项信息。 | 整数形式,取值范围是1~ 4094。 |
| vsi vsi-name | 查看VSI名称是vsi-name的动态MAC地址表项。vsi-name表示VSI名称。 | 字符串形式,不支持空格,区分大小写,取值范围是1~31。当输入的字符串两端使用双引号时,可在字符串中输入空格。 |
| peer ip-address | 对端交换机的IPV4地址。 | – |
| interface-type interface-number | 查看出接口为指定接口的动态MAC地址表项,其中:interface-type表示出接口类型。interface-number表示出接口编号。 | – |
| verbose | 显示动态MAC地址表项的详细信息。 | – |
视图
所有视图
缺省级别
1:监控级
使用指南
应用场景
为适应网络的变化,MAC地址表需要不断更新。为了及时了解设备学习到的MAC地址,可通过本命令查看动态MAC地址表项信息。
后续任务
用户通过本命令查看动态MAC地址表项后,若认为动态MAC地址表项已经无效,可通过undo mac-address命令删除系统当前存在的动态MAC地址表项。
注意事项
如果只输入display mac-address dynamic,不指定任何参数,则显示所有的动态MAC地址表项。
如果MAC地址表中没有任何动态MAC表项,则本命令的显示结果为空。
当设备上学习到了大量的动态MAC地址表项,使用本命令查看动态MAC地址表项时,推荐通过指定VLAN等参数对显示的信息进行过滤。否则可能因为显示信息内容过多而导致:
- 终端屏幕不停地刷新而无法获取需要的信息。
- 系统长时间的信息遍历和检索,造成系统无响应。
使用实例
# 查看系统所有动态MAC地址表项。
<HUAWEI> display mac-address dynamic ------------------------------------------------------------------------------- MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------------------------------- 0022-0022-0033 100/- GE1/0/1 dynamic 0000-0000-0001 -/HUAWEI GE1/0/2 dynamic ------------------------------------------------------------------------------- Total items displayed = 2
# 查看1号槽位上VLAN 9中所有动态MAC地址表项。
<HUAWEI> display mac-address dynamic slot 1 vlan 9
-------------------------------------------------------------------------------
MAC Address VLAN/VSI Learned-From Type
-------------------------------------------------------------------------------
0000-0007-0122 9/- GE1/0/1 dynamic
0000-0007-0106 9/- GE1/0/1 dynamic
0000-0007-0114 9/- GE1/0/1 dynamic
-------------------------------------------------------------------------------
Total items on slot 1 displayed = 3
# 查看1号槽位上VLAN 9中所有动态MAC地址表项的详细信息。
<HUAWEI> display mac-address dynamic slot 1 vlan 9 verbose
-------------------------------------------------------------------------------
MAC Address : 0000-0007-0117 VLAN: 9
Learned-From: GE1/0/1 Type: dynamic
MAC Address : 0000-0007-0133 VLAN: 9
Learned-From: GE1/0/2 Type: dynamic
MAC Address : 0000-0007-0121 VLAN: 9
Learned-From: GE1/0/3 Type: dynamic
-------------------------------------------------------------------------------
Total items on slot 1 displayed = 3
# 查看VSI为10、对端IP地址为10.1.1.2的动态MAC地址表项的详细信息。
<HUAWEI> display mac-address dynamic vsi 10 peer 10.1.1.2 verbose ------------------------------------------------------------------------------- MAC Address : 0000-0007-0117 VSI : 10 Learned-From: GE1/0/1 Type: dynamic Peer-Ip : 10.1.1.2 Pw-Id: 1 Total items displayed = 1
| 项目 | 描述 |
|---|---|
| MAC Address | MAC地址。 |
| VLAN/VSI | 设备所属的VLAN编号或VSI(Virtual Switch Instance)名称。 |
| Learned-From | 学到该MAC地址的接口。 |
| Type | MAC表项类型。dynamic:标识动态MAC地址表项,由设备通过源MAC地址学习获得,表项有老化时间,可被老化。 |
| Peer-Ip | 对端交换机的IPV4地址。 |
| Pw-Id | PW名称。 |
相关主题
display mac-address total-number
display mac-address flapping
命令功能
display mac-address flapping命令用来查看MAC地址漂移检测功能的配置信息。
命令格式
display mac-address flapping
参数说明
无
视图
所有视图
缺省级别
1:监控级
使用指南
应用场景
用户配置好MAC地址漂移检测功能后,可以使用本命令检查配置信息是否正确。
可查看到的信息如下:
- 是否已经配置了MAC地址漂移检测功能。
- MAC地址漂移表项的老化时间。
- 接口退VLAN的恢复时间。
- MAC地址漂移检测的VLAN白名单。
- MAC地址漂移检测三个安全级别的VLAN名单。
使用实例
# 查看MAC地址漂移检测功能的配置信息。
<HUAWEI> display mac-address flapping MAC address Flapping Configurations : ---------------------------------------------------------------------------- Flapping detection : Enable Aging time(sec) : 300 Quit VLAN Recover time(min) : 10 Exclude VLAN list : - Low level VLAN list : - Middle level VLAN list : 1 to 4094 High level VLAN list : - ----------------------------------------------------------------------------
| 项目 | 描述 |
|---|---|
| Flapping detection | MAC地址漂移检测功能状态。Enable:已经配置了MAC地址漂移检测功能。Disable:没有配置MAC地址漂移检测功能。该参数可以通过命令mac-address flapping detection配置。 |
| Aging time(sec) | MAC地址漂移表项的老化时间。该参数可以通过命令mac-address flapping aging-time配置。 |
| Quit VLAN Recover time(min) | 接口退VLAN的恢复时间,可以通过命令mac-address flapping quit-vlan recover-time配置。缺省值为10,如果值为0表示不恢复。 |
| Exclude VLAN list | MAC地址漂移检测的VLAN白名单,可以通过命令mac-address flapping detection exclude vlan配置。如果已经配置了VLAN白名单,显示的是具体的VLAN ID;如果没有配置VLAN白名单,显示为“ – ”。 |
| Low level VLAN list | MAC地址漂移检测安全级别为低的VLAN名单,可以通过命令mac-address flapping detection security-level配置。 |
| Middle level VLAN list | MAC地址漂移检测安全级别为中的VLAN名单,可以通过命令mac-address flapping detection security-level配置。 |
| High level VLAN list | MAC地址漂移检测安全级别为高的VLAN名单,可以通过命令mac-address flapping detection security-level配置。 |
相关主题
display mac-address flapping record
mac-address flapping aging-time
mac-address flapping detection exclude vlan
reset mac-address flapping record
display mac-address flapping record
命令功能
display mac-address flapping record命令用来查看MAC地址漂移的历史记录。
命令格式
display mac-address flapping record [ slot slot-id ] [ begin YYYY/MM/DD HH:MM:SS ]
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| slot slot-id | 显示指定槽位上的MAC地址漂移历史记录。 | 整数形式,根据设备当前在位单板的槽位号来确定。 |
| begin YYYY/MM/DD HH:MM:SS | 查看指定时间到现在为止的MAC地址漂移记录。YYYY/MM/DD表示“年/月/日 ”。HH:MM:SS表示“时:分:秒”。 | 整数形式。YYYY/MM/DD的取值范围为2000/01/01~2099/12/31。HH:MM:SS的取值范围为00:00:00~23:59:59。 |
视图
所有视图
缺省级别
1:监控级
使用指南
应用场景
网络中MAC发生漂移时,维护人员可使用该命令的输出信息快速定位到发生MAC地址漂移的位置。
注意事项
只有设备上发生过MAC地址漂移,执行该命令才有显示信息。
使用实例
# 查看设备上所有的MAC地址漂移的历史记录。
<HUAWEI> display mac-address flapping record S : start time E : end time (Q) : quit VLAN (D) : error down ------------------------------------------------------------------------------ Move-Time VLAN MAC-Address Original-Port Move-Ports MoveNum ------------------------------------------------------------------------------- S:2011-08-31 17:22:36 300 0000-0000-0007 Eth-Trunk1 Eth-Trunk2 81 E:2011-08-31 17:22:44 ------------------------------------------------------------------------------- Total items on slot 2: 1
# 查看设备上从2012/06/04 09:00:00到现在发生的MAC地址漂移历史记录。
<HUAWEI> display mac-address flapping record begin 2012/06/04 09:00:00 S : start time E : end time (Q) : quit VLAN (D) : error down ------------------------------------------------------------------------------- Move-Time VLAN MAC-Address Original-Port Move-Ports MoveNum ------------------------------------------------------------------------------- S:2012-06-04 17:22:38 300 0000-0000-0007 Eth-Trunk2 Eth-Trunk1 5 E:2012-06-04 17:22:42 ------------------------------------------------------------------------------- Total items on slot 2: 1
| 项目 | 描述 |
|---|---|
| Move-Time | MAC地址漂移开始时间和结束时间。如果设备上配置了夏令时,显示漂移开始时间和结束时间时会增加DST标记。形如:S:2015-07-09 11:32:53 DST。 |
| VLAN | 发生MAC地址漂移的VLAN。 |
| MAC-Address | 发生漂移的MAC地址。说明:同一槽位的同一VLAN下,仅显示一个发生漂移的MAC地址。 |
| Original-Port | MAC地址漂移的源端口。 |
| Move-Ports | MAC地址漂移后的端口。可能出现多个漂移后端口。 |
| MoveNum | MAC地址发生漂移的次数。说明:MAC地址发生漂移的次数最大为65535,即当漂移次数大于65535时,MoveNum仍为65535。 |
相关主题
mac-address flapping detection
reset mac-address flapping record
display mac-address hash-mode
命令功能
display mac-address hash-mode命令用来查看设备当前运行的MAC Hash模式和当前配置的MAC Hash模式。
X系列单板不支持该命令。
命令格式
display mac-address hash-mode
参数说明
无
视图
所有视图
缺省级别
1:监控级
使用指南
应用场景
用户在设备上配置了MAC Hash模式后,可以使用本命令检查配置信息是否正确。
注意事项
更改MAC Hash模式后,必须重启单板使配置生效。
使用实例
# 查看设备当前运行的MAC Hash模式和当前配置的MAC Hash模式。
<HUAWEI> display mac-address hash-mode MAC address hash mode status: -------------------------------------------- Slot CurMode CfgMode -------------------------------------------- 1 crc16-lower crc32-lower --------------------------------------------
| 项目 | 描述 |
|---|---|
| Slot | 设备的槽位号。 |
| CurMode | 指定槽位上当前运行的MAC Hash模式。更改MAC Hash模式后,必须在保存配置后重启设备使配置生效。 |
| CfgMode | 指定槽位上当前配置的MAC Hash模式。该参数可以通过命令mac-address hash-mode配置。 |
相关主题
display mac-address mux
命令功能
display mac-address mux命令用来查看系统当前存在的MUX MAC地址表项。
命令格式
display mac-address mux [ vlan vlan-id | interface-type interface-number ] * [ verbose ]
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| vlan vlan-id | 查看VLAN编号是vlan-id的MAC地址表项信息。 | 整数形式,取值范围是1~4094。 |
| interface-type interface-number | 查看指定接口学习到的MAC地址表项,其中:interface-type表示出接口类型。interface-number表示出接口编号。 | – |
| verbose | 显示MAC地址表项的详细信息。如果不指定verbose,显示的为MAC地址表项简要信息。 | – |
视图
所有视图
缺省级别
1:监控级
使用指南
应用场景
MUX VLAN提供了一种在VLAN内的接口间进行二层流量隔离机制。当接口使能MUX VLAN功能后,该接口学习到的MAC地址表项会记录到MUX类型的MAC地址表项中。设备重启后,该类型的MAC地址表项会被自动删除。当用户需要查看当前系统是否存在MUX MAC地址表项时,可通过执行本命令查看。
用户可通过本命令查看系统中MUX MAC地址表项,可以根据查看的结果来判断学习到的MUX MAC地址是否正确。
后续任务
用户通过本命令查看MUX MAC地址表项后,若认为MUX MAC地址表项已经无效,可通过undo mac-address命令删除系统当前存在的MUX MAC地址表项。
注意事项
如果只输入display mac-address mux,不指定任何参数,则显示所有的MUX MAC地址表项。
如果MAC地址表中没有任何MUX类型的MAC表项,则执行本命令的显示结果为空。
当设备上存在大量MUX MAC地址表项,使用本命令查看MUX MAC地址表项时,推荐通过指定VLAN、接口对显示的信息进行过滤。否则可能因为显示信息内容过多而导致:
- 终端屏幕不停地刷新而无法获取需要的信息。
- 系统长时间的信息遍历和检索,造成系统无响应。
使用实例
# 查看MAC地址表中所有MUX MAC地址表项。
<HUAWEI> display mac-address mux ------------------------------------------------------------------------------- MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------------------------------- 0022-0022-0033 100/- GE1/0/2 mux ------------------------------------------------------------------------------- Total items displayed = 1
# 查看VLAN 10中所有MUX MAC地址表项的详细信息。
<HUAWEI> display mac-address mux vlan 10 verbose
-------------------------------------------------------------------------------
MAC Address : 0000-0000-0001 VLAN : 10
Learned-From: GE1/0/2 Type : mux
-------------------------------------------------------------------------------
Total items displayed = 1
| 项目 | 描述 |
|---|---|
| MAC Address | MAC地址。 |
| VLAN/VSI | 设备所属的VLAN编号或VSI(Virtual Switch Instance)名称。 |
| Learned-From | 学到该MAC地址的接口。 |
| Type | MAC表项类型。mux:标志MUX MAC表项,当接口使能MUX VLAN功能后,该接口学习到的MAC地址表项会记录到mux类型的MAC地址表项中。 |
相关主题
display mac-address total-number
mac-address aging-time
命令功能
mac-address aging-time命令用来配置动态MAC地址表项的老化时间。
undo mac-address aging-time命令用来恢复动态MAC地址表项的老化时间为缺省值。
缺省情况下,动态MAC地址表项的老化时间为300秒。
命令格式
mac-address aging-time aging-time
undo mac-address aging-time
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| aging-time | 配置动态MAC地址表项的老化时间。 | 整数形式,取值范围是0,60~1000000,单位是秒,缺省值是300秒。0表示动态MAC地址表项不老化。 |
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
随着网络拓扑的不断变化,设备将会学习到越来越多的MAC地址。为了避免MAC地址表项爆炸式增长,需要使用mac-address aging-time命令为动态MAC表项设置合理的老化时间,及时删除MAC地址表中的废弃MAC地址表项。
系统为每个动态MAC地址表项启动一个老化定时器。如果MAC地址表项是动态学习得到的,而且在设定的两倍表项老化时间内没有被更新,则该表项将被删除。如果得到更新,则该表项的老化时间重新计算。老化时间越短,则设备对周边的网络变化越敏感;反之则越不敏感。
动态MAC地址表项的老化时间需要根据现网实际情况和设备性能来设置。
- 相对稳定的网络可以设置较长的老化时间,变化频繁的网络应该设置较短的老化时间。
- 高端设备和低端设备的MAC地址表项存储容量差别较大,可将低端设备的老化时间适当调小,以加速老化节省MAC地址表项。
注意事项
系统复位、接口板热插拔或接口板复位后,动态表项会丢失,而保存的静态表项和黑洞表项不会老化丢失。
当配置动态MAC地址表项的老化时间为0秒时,学习到的动态MAC地址则不会被老化,可能会使MAC地址表项爆炸式增长,影响设备性能。
全局下只有一个动态MAC地址表项的老化时间,多次执行mac-address aging-time命令后,以最后一次配置为准。
使用实例
# 配置动态MAC地址表项的老化时间为500秒。
<HUAWEI> system-view [HUAWEI] mac-address aging-time 500
相关主题
display mac-address aging-time
mac-address blackhole
命令功能
mac-address blackhole命令用来配置黑洞MAC地址表项。
undo mac-address blackhole命令用来删除黑洞MAC地址表项。
缺省情况下,设备没有配置黑洞MAC地址表项。
命令格式
mac-address blackhole mac-address [ vlan vlan-id | vsi vsi-name ]
undo mac-address blackhole [ mac-address ] [ vlan vlan-id | vsi vsi-name ]
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| mac-address | 指定黑洞MAC地址表项对应的MAC地址。 | 格式为H-H-H,其中H为1至4位的十六进制数。MAC地址不可设置为FFFF-FFFF-FFFF、组播地址和全零MAC地址。 |
| vlan vlan-id | 指定黑洞MAC地址表项对应的VLAN编号。 | 整数形式,取值范围是1~4094。 |
| vsi vsi-name | 指定黑洞MAC地址表项对应的VSI实例的名称。该VSI实例对应的名称,必须是设备上已经创建的VSI实例名称。 | – |
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址。当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃。
前置条件
执行本命令前,网络管理员需要熟悉网络中每台设备的MAC地址。如果将合法用户的MAC地址配置为黑洞表项,那么将会造成合法用户通信中断。
配置影响
当报文的目的MAC地址或源MAC地址与黑洞MAC地址表匹配后该报文将被丢弃。配置并保存后,系统复位或接口板热插拔MAC地址表项不丢失。
注意事项
- 黑洞MAC地址表项没有老化时间,可以添加、删除。
- 与静态MAC地址表项配置不同,配置黑洞MAC表项时,不需要指定出接口。
- 若指定的VLAN已经是RRPP(Rapid Ring Protection Protocol)的控制VLAN,则配置错误。
- 黑洞MAC地址表项分为:全局黑洞MAC地址表项和基于VLAN或VSI的黑洞MAC地址表项。全局黑洞MAC地址表项即执行mac-address blackhole命令时,只指定MAC地址,不指定VLAN。另外全局黑洞MAC地址表项不占用MAC地址表的空间。
- MAC地址表已满的情况下,继续配置基于VLAN或VSI的黑洞MAC地址表项,则系统的处理方法如下:
- 如果MAC地址表中存在和黑洞MAC地址相同的动态MAC表项,则添加的黑洞MAC表项自动覆盖动态MAC地址表项。“和黑洞MAC地址相同”指的是MAC地址和VLAN或VSI名相同。
- 如果MAC地址表中不存在和黑洞MAC地址相同的动态MAC表项,则该黑洞MAC表项将配置失败。
- 系统可以配置多个黑洞MAC地址表项,多次执行mac-address blackhole命令后,配置结果是多次配置的累加。
使用实例
# 在MAC地址表中增加黑洞MAC地址表项:MAC地址为0004-0004-0004,用户VLAN属于VLAN 5。
<HUAWEI> system-view [HUAWEI] vlan 5 [HUAWEI-vlan5] quit [HUAWEI] mac-address blackhole 0004-0004-0004 vlan 5
# 配置MAC为0005-0005-0005的全局黑洞MAC地址表项。
<HUAWEI> system-view [HUAWEI] mac-address blackhole 0005-0005-0005
# 在VSI a2上添加一个MAC地址为0011-2233-4455的黑洞表项。当收到目的或源MAC为0011-2233-4455且属于VSI a2的帧时,直接丢弃。
<HUAWEI> system-view [HUAWEI] mac-address blackhole 0011-2233-4455 vsi a2
相关主题
mac-address destination hit aging enable
命令功能
mac-address destination hit aging enable命令用来使能系统MAC地址表项即使有报文目的MAC匹配,仍然按照老化时间正常老化。
undo mac-address destination hit aging enable命令用来恢复该配置的缺省情况。
缺省情况下,系统MAC地址表项有报文目的MAC匹配则重新计算老化时间来进行老化。
命令格式
mac-address destination hit aging enable
undo mac-address destination hit aging enable
参数说明
无
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
当用户终端使用点播等单向业务时,服务器会一直向用户终端发送单向报文。在用户终端关闭时,该单向报文仍然存在,由于该报文的目的MAC会匹配MAC地址表项,所以该MAC地址会一直不被老化。
为防止关闭的用户终端占用MAC地址表项,可以执行mac-address destination hit aging enable命令使能系统MAC地址表项即使有报文目的MAC匹配,仍然按照老化时间正常老化。
注意事项
本命令只能解决占用MAC地址表项问题,网络中的流量查找不到对应的MAC地址表项时会进行广播。
使用实例
# 使能系统MAC地址表项即使有报文目的MAC匹配,仍然按照老化时间正常老化。
<HUAWEI> system-view [HUAWEI] mac-address destination hit aging enable
相关主题
mac-address flapping action
命令功能
mac-address flapping action命令用来配置接口发生MAC地址漂移后的处理动作。
undo mac-address flapping action命令用来取消配置接口发生MAC地址漂移后的处理动作。
缺省情况下,没有配置接口MAC地址漂移后的处理动作。
命令格式
mac-address flapping action { error-down | quit-vlan }
undo mac-address flapping action { error-down | quit-vlan }
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| error-down | 指定接口发生MAC地址漂移后的处理动作为将该接口Shutdown。 | – |
| quit-vlan | 指定接口发生MAC地址漂移后的处理动作为将该接口从VLAN中退出。 | – |
视图
Ethernet接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图
缺省级别
2:配置级
使用指南
应用场景
用户网络中由于环网造成了MAC地址漂移,且网络不支持破环协议,可以在相应接口上配置发生MAC地址漂移后的处理动作来实现破环。
接口配置了MAC地址漂移处理动作后,如果系统检测到是该接口学习的MAC发生漂移,会将该接口关闭或者退出VLAN。在一个MAC地址漂移表项老化周期内只能关闭一个接口。
后续任务
- MAC地址漂移检测后的处理动作为error-down时,默认情况下,接口关闭后不会自动恢复,只能由网络管理人员先执行shutdown命令再执行undo shutdown命令手动恢复,也可以在接口视图下执行restart命令重启接口。如果用户希望被关闭的接口可以自动恢复,则必须在接口error-down前通过在系统视图下执行error-down auto-recovery cause mac-address-flapping命令使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间,才可使被关闭的接口经过延时时间后能够自动恢复。
- MAC地址漂移检测后的处理动作为quit-vlan时,默认情况下,接口退出VLAN可以自动恢复,恢复时间为10分钟。同时自动恢复时间可以为配置值,在系统视图下执行mac-address flapping quit-vlan recover-time time-value进行配置。
注意事项
不建议在上行接口配置mac-address flapping action命令。
MAC地址漂移检测功能只能做单点环路检测,无法获取整个网络的拓扑信息。如果网络支持破环协议,建议使用破环协议来消除环路。
多次执行mac-address flapping action命令,结果按最后一次配置生效。
使用实例
# 配置交换机检测到GE1/0/1接口存在MAC地址漂移后关闭该接口。
<HUAWEI> system-view [HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] mac-address flapping action error-down Info: This command may shut down the interface after MAC address flapping is detected.
# 配置交换机检测到GE1/0/1接口存在MAC地址漂移后该接口退出VLAN。
<HUAWEI> system-view [HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] mac-address flapping action quit-vlan
相关主题
display mac-address flapping record
mac-address flapping detection
mac-address flapping action priority
命令功能
mac-address flapping action priority命令用来配置发生MAC地址漂移时接口动作的优先级。
undo mac-address flapping action priority命令用来将接口动作的优先级还原为默认值。
缺省情况下,接口动作的优先级为127。
命令格式
mac-address flapping action priority priority
undo mac-address flapping action priority
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| priority | 发生MAC地址漂移时接口动作的优先级。 | 整数形式,取值范围是0~255,数值越大优先级越高,默认值为127。 |
视图
Ethernet接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图
缺省级别
2:配置级
使用指南
应用场景
用户网络中由于环网造成了MAC地址漂移,且网络不支持破环协议,可以在相应接口上配置发生MAC地址漂移后的处理动作来实现破环。通过mac-address flapping action priority可以指定接口动作的优先级。
接口配置了mac-address flapping action priority后,检测到在两个或多个接口间发生MAC地址漂移,并且有配置处理动作时,就把优先级低的接口关闭或者退出VLAN。在多个接口动作优先级相同的情况下,漂移后的接口先做动作。如果漂移后接口没有配置处理动作,则对漂移前接口做动作。
接口动作的优先级只在相同的动作间生效。如果一个接口配置了error-down,另外一个接口配置quit-vlan,即使优先级相同,也会出现两个接口都做动作的情况。
注意事项
多次执行mac-address flapping action priority命令,结果按最后一次配置生效。
使用实例
# 配置接口GE1/0/1发生MAC地址漂移时接口动作的优先级为3。
<HUAWEI> system-view [HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] mac-address flapping action priority 3
相关主题
display mac-address flapping record
mac-address flapping detection
mac-address flapping aging-time
命令功能
mac-address flapping aging-time命令用来配置MAC地址漂移表项的老化时间。
undo mac-address flapping aging-time命令用来恢复MAC地址漂移表项的老化时间为缺省值。
缺省情况下,MAC地址漂移表项的老化时间为300秒。
命令格式
mac-address flapping aging-time aging-time
undo mac-address flapping aging-time
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| aging-time | MAC地址漂移表项的老化时间。 | 整数形式,取值范围是60~900。单位为秒。 |
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
如果用户修改动态MAC的老化时间变长,会导致漂移再次发生,Error-down的时间变长。为了能够正常检测到MAC地址漂移,可以使用该命令修改漂移表项的老化时间。
注意事项
多次执行mac-address flapping aging-time命令,结果按最后一次配置生效。
使用实例
# 配置MAC地址漂移表项的老化时间为500秒。
<HUAWEI> system-view [HUAWEI] mac-address flapping aging-time 500
相关主题
display mac-address flapping record
mac-address flapping detection
reset mac-address flapping record
mac-address flapping detection
命令功能
mac-address flapping detection命令用来配置全局MAC地址漂移检测功能。
undo mac-address flapping detection命令用来取消配置全局MAC地址漂移检测功能。
缺省情况下,已经配置了全局MAC地址漂移检测功能。
命令格式
mac-address flapping detection
undo mac-address flapping detection
参数说明
无
视图
系统视图
缺省级别
2:配置级
使用指南
MAC地址漂移即设备上一个接口学习到的MAC地址在同一VLAN/VSI中另一个接口上也被学习到,后学习到的MAC地址表项覆盖原来的表项。
MAC地址漂移可由以下原因引起:
- 网络中交换机网线误接或配置错误形成了环网,导致MAC地址漂移。
- 网络中某些非法用户进行MAC地址攻击。
配置全局MAC地址漂移检测功能可以检测到设备上所有的MAC地址是否发生了漂移。若发生漂移,设备会上报告警到网管系统,维护人员可根据告警信息定位故障,也可以使用display mac-address flapping record命令查看MAC地址漂移的历史记录。
使用实例
# 配置交换机的MAC flapping检测功能。
<HUAWEI> system-view [HUAWEI] mac-address flapping detection
相关主题
display mac-address flapping record
mac-address flapping aging-time
mac-address flapping detection exclude vlan
reset mac-address flapping record
mac-address flapping detection exclude vlan
命令功能
mac-address flapping detection exclude vlan命令用来配置MAC地址漂移检测的VLAN白名单,即不检测的VLAN。
undo mac-address flapping detection exclude vlan命令用来删除MAC地址漂移检测的VLAN白名单。
缺省情况下,没有配置MAC地址漂移检测的VLAN白名单。
命令格式
mac-address flapping detection exclude vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>
undo mac-address flapping detection exclude vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all }
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| vlan-id1 [ to vlan-id2 ] | 指定MAC flapping检测的VLAN白名单。其中:vlan-id1表示第一个VLAN的编号。to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于vlan-id1的取值。一次配置中最多可以执行10次vlan-id1 [ to vlan-id2 ] 参数。 | vlan-id1为整数形式,取值范围是1~4094。vlan-id2为整数形式,取值范围是1~4094。 |
| all | 清除MAC flapping检测的所有VLAN白名单。 | – |
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
缺省情况下,系统会对交换机上所有VLAN进行MAC地址漂移检测。但是在某些特定场景下,如交换机连接双网卡的负载分担服务器时,可能会出现服务器的MAC地址在两个接口上学习到,而这种情况不需要作为MAC地址漂移被检测出来。
用户可以使用本命令将服务器所在的VLAN加入MAC地址漂移检测白名单,不对该VLAN进行检测。配置成功后,该VLAN内发生的漂移不上报告警,也不显示在MAC地址漂移历史记录中。
注意事项
多次执行mac-address flapping detection exclude vlan命令,结果按多次配置的累加生效。
使用实例
# 配置系统不对VLAN 5进行MAC地址漂移检测。
<HUAWEI> system-view [HUAWEI] mac-address flapping detection exclude vlan 5
相关主题
display mac-address flapping record
mac-address flapping detection
mac-address flapping detection security-level
命令功能
mac-address flapping detection security-level命令用来配置指定VLAN中MAC地址漂移检测的安全级别。
undo mac-address flapping detection security-level命令用来恢复该安全级别为缺省值。
缺省情况下,MAC地址漂移检测的安全级别为middle,即MAC地址发生10次迁移后,系统认为发生了MAC地址漂移。
命令格式
mac-address flapping detection vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all } security-level { high | middle | low }
undo mac-address flapping detection vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all } security-level [ high | middle | low ]
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| vlan-id1 [ to vlan-id2 ] | 指定配置MAC flapping检测安全级别的VLAN。其中:vlan-id1表示第一个VLAN的编号。to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于vlan-id1的取值。一次配置中最多可以执行10次vlan-id1 [ to vlan-id2 ] 参数。 | vlan-id1为整数形式,取值范围是1~4094。vlan-id2为整数形式,取值范围是1~4094。 |
| all | 指定对所有VLAN配置MAC漂移检测安全级别。 | – |
| high | 配置对指定VLAN的MAC漂移检测安全级别为高,即MAC地址发生3次迁移后,系统认为发生了MAC地址漂移。 | – |
| middle | 配置对指定VLAN的MAC漂移检测安全级别为中,即MAC地址发生10次迁移后,系统认为发生了MAC地址漂移。 | – |
| low | 配置对指定VLAN的MAC漂移检测安全级别为高,即MAC地址发生50次迁移后,系统认为发生了MAC地址漂移。 | – |
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
设备默认MAC地址发生迁移次数达到10次时,即认为发生漂移。在某些不稳定的网络中,存在动荡,MAC地址发生迁移次数为10时,不一定是漂移。用户可以根据网络状态,配置安全级别,MAC迁移发生指定的次数才认为发生了漂移。
使用实例
# 配置对VLAN5进行MAC地址漂移检测的安全级别为high。
<HUAWEI> system-view [HUAWEI] mac-address flapping detection vlan 5 security-level high
相关主题
mac-address flapping detection
mac-address flapping quit-vlan recover-time
命令功能
mac-address flapping quit-vlan recover-time用来配置接口发生MAC地址漂移后接口退vlan的自动恢复时间。
undo mac-address flapping quit-vlan recover-time用来将接口退vlan的自动恢复时间还原为默认值。
缺省情况下,自动恢复时间为10分钟。
命令格式
mac-address flapping quit-vlan recover-time time-value
undo mac-address flapping quit-vlan recover-time
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| time-value | 配置的自动恢复时间。 | 整数形式,取值范围是0~1440,单位是分钟。0表示不恢复,缺省值为10。 |
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
MAC地址漂移触发接口退出VLAN后,在自动恢复时间过后接口能自动加入之前退出的VLAN。
注意事项
自动恢复时间基于接口生效,如果一个接口从多个VLAN中退出,自动恢复时间以接口退出最后一个VLAN的时间点为基准点计时。
使用实例
#配置接口退vlan恢复时间为15分钟。
<HUAWEI> system-view [HUAWEI] mac-address flapping quit-vlan recover-time 15
#将接口退vlan恢复时间还原为默认值。
<HUAWEI> system-view [HUAWEI] undo mac-address flapping quit-vlan recover-time
相关主题
mac-address learning disable(接口视图和VLAN视图)
命令功能
mac-address learning disable命令用来关闭MAC地址学习功能。
undo mac-address learning disable命令用来打开MAC地址学习功能。
缺省情况下,MAC地址学习功能处于打开状态。
命令格式
mac-address learning disable [ action { discard | forward } ] (接口视图)
mac-address learning disable (VLAN视图)
undo mac-address learning disable
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| action | 指定接口禁止MAC地址学习功能后,接口所采取的动作。该参数只在接口视图和端口组视图下生效,且所指定的接口必须是二层接口。该参数主要针对指定二层接口不需要学习MAC地址情况下,报文是否需要转发。缺省情况下,指定禁止MAC地址学习功能后,接口所采取的动作是forward。 | – |
| discard | 指定丢弃动作。 | – |
| forward | 指定转发动作。 | – |
视图
VLAN视图、Ethernet接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图
缺省级别
2:配置级
使用指南
应用场景
网络管理人员为提高设备的安全性,可以指定某些接口只允许某些MAC地址的报文通过。如某接口固定与某台服务器相连,可以在该接口上配置该服务器的静态MAC地址,且关闭该接口的MAC地址学习功能,指定动作为丢弃。这样其他服务器或终端将无法通过该接口通信,增强了网络的稳定性和安全性。
当MAC地址学习功能处于打开状态时,收到来自周边设备的以太网帧,解析出源MAC地址,结合接收该以太网帧的接口,在MAC地址表项中添加新表项。以后,交换机接收到去往该目的MAC地址的以太网帧时,则直接查询MAC地址表项就可以得到正确的发送接口,避免了广播。
关闭MAC地址学习功能后,设备将不会再从该接口学习新的MAC地址。关闭MAC地址学习后可配置的动作有discard和forward。
关闭MAC地址学习功能的缺省动作为forward,即对报文进行转发。当配置动作为discard时,会对报文的源MAC地址进行匹配,当报文的源MAC地址与MAC地址表项匹配时,则对该报文进行转发。当报文的源MAC地址与MAC地址表项不匹配时,则丢弃该报文。
注意事项
- 若在Eth-Trunk接口下执行命令mac-address learning disable,必须保证Eth-Trunk接口处于二层模式,否则将导致执行本命令失败。如果Eth-Trunk接口处于三层模式,请在Eth-Trunk接口视图下执行命令portswitch ethernet,将三层Eth-Trunk接口切换为二层Eth-Trunk接口。
- VLAN视图下不支持丢弃或转发动作的配置。
- 配置关闭MAC地址学习功能后,设备将不会再从该接口学习新的MAC地址,但是无法做到阻止某些设备或终端访问网络。
使用实例
# 关闭VLAN编号为2的MAC地址学习功能。
<HUAWEI> system-view
[HUAWEI] vlan 2
[HUAWEI-vlan2] mac-address learning disable
mac-address learning disable(流行为视图)
命令功能
mac-address learning disable命令用来在流行为中去使能MAC地址学习功能。
undo mac-address learning disable命令用来使能流行为中的MAC地址学习功能。
缺省情况下,流行为中的MAC地址学习功能处于使能状态。
命令格式
mac-address learning disable
undo mac-address learning disable
参数说明
无
视图
流行为视图
缺省级别
2:配置级
使用指南
应用场景
禁止MAC地址学习功能,主要应用在以下场景:
- 在网络比较稳定、报文的MAC地址相对固定的情况下,设备没有必要继续学习其他所有报文的MAC地址。此时通过应用流策略,对策略下所有流分类禁止MAC地址学习功能,既可以节省MAC地址表项开支,也可以提高设备的运行效率。
- 某些非法用户有时会采用频繁变换MAC地址的方式对网络进行攻击,此时通过应用流策略,对策略下所有流分类禁止MAC地址学习功能,可以避免此类攻击所造成的设备MAC地址表项溢出的问题,保护设备性能不受影响。
后续任务
执行traffic policy命令创建流策略,并在流策略视图下执行classifier behavior命令将相应的流分类跟配置了禁止MAC地址学习功能的流行为绑定。
注意事项
将配置了该命令的流行为与指定的流分类绑定后,该流分类所匹配的报文的MAC地址将不再被学习,而没有绑定该流行为的流分类所匹配的报文的MAC地址仍然默认被学习。
S系列中的SA单板不支持流行为视图下去使能MAC地址学习功能。
mac-address learning disable命令与用于接口视图和VLAN视图下的mac-address learning disable命令在功能上基本相似,主要区别在于:mac-address learning disable命令仅针对匹配用户自定义流分类的报文生效,并通过流策略在全局、单板、接口或VLAN下应用来实现;而后者直接在物理接口、端口组或VLAN下配置即实现,对于相应视图下的所有报文均生效。
如果需要设备在接口、端口组或VLAN范围内禁止学习MAC地址,应选择配置接口视图、端口组视图和VLAN视图下的mac-address learning disable命令;如果仅需要禁止学习特定流分类的MAC地址,应选择配置流行为视图下的mac-address learning disable命令。用户应根据实际需要灵活选择所需配置。
使用实例
# 在流行为test中配置关闭MAC地址学习功能。
<HUAWEI> system-view [HUAWEI] traffic behavior test [HUAWEI-behavior-test] mac-address learning disable
相关主题
mac-address learning disable(接口视图和VLAN视图)
mac-address static vlan
命令功能
mac-address static vlan命令用来配置静态MAC地址表项。
undo mac-address static vlan命令用来删除静态MAC地址表项。
缺省情况下,设备没有配置静态MAC地址表项。
命令格式
mac-address static mac-address interface-type interface-number vlan vlan-id
undo mac-address static [ interface-type interface-number | vlan vlan-id ] *
undo mac-address static mac-address interface-type interface-number vlan vlan-id
基于VSI配置静态MAC地址,请参见mac-address static vlanif和mac-address static vsi。
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| mac-address | 指定静态MAC表项对应的MAC地址。 | 格式为H-H-H,其中H为1至4位的十六进制数。MAC地址不可设置为FFFF-FFFF-FFFF、组播地址和全零MAC地址。 |
| interface-type interface-number | 指定出接口为指定接口的静态MAC地址表项。 | – |
| vlan vlan-id | 指定出接口所属的VLAN编号。 | 整数形式,取值范围是1~4094。 |
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
手动配置静态MAC地址表项,一般应用在以下两种场景:
- 用于提高安全性。对通过伪装成合法用户MAC地址进行攻击的非法用户报文,直接丢弃。
- 有效指导报文进行单播转发,节省带宽。
注意事项
- 静态MAC地址表项指定的VLAN必须已经创建,并且已经加入指定的出接口。
- MAC地址表已满的情况下,继续配置静态MAC地址表项,则系统的处理方法如下:
- 如果MAC地址表中存在和静态MAC地址相同的动态MAC表项,则添加的静态MAC表项自动覆盖动态MAC地址表项。“和静态MAC地址相同”指的是MAC地址和VLAN相同。
- 如果MAC地址表中不存在和静态MAC地址相同的动态MAC表项,则该静态MAC表项将配置失败。
- 系统可以配置多个静态MAC地址表项,多次执行mac-address static命令后,配置结果是多次配置的累加。
使用实例
# 在MAC地址表中增加静态MAC地址表项:目的MAC地址为0003-0003-0003,VLAN为4,出接口为gigabitethernet1/0/2,即目的MAC地址为0003-0003-0003,VLAN为4的报文,从接口gigabitethernet1/0/2转发出去。
<HUAWEI> system-view [HUAWEI] vlan 4 [HUAWEI-vlan4] quit [HUAWEI] interface gigabitethernet 1/0/2 [HUAWEI-GigabitEthernet1/0/2] port link-type access [HUAWEI-GigabitEthernet1/0/2] port default vlan 4 [HUAWEI-GigabitEthernet1/0/2] quit [HUAWEI] mac-address static 0003-0003-0003 gigabitethernet 1/0/2 vlan 4
相关主题
mac-address threshold-alarm
命令功能
mac-address threshold-alarm命令用来配置MAC表资源使用的告警阈值。
undo mac-address threshold-alarm命令用来将MAC表资源使用的告警阈值恢复为缺省值。
缺省情况下,MAC表资源使用的告警上下限阈值分别为80%和70%,即当MAC表资源使用率高于80%或低于70%时会发送告警。
命令格式
mac-address threshold-alarm upper-limit upper-limit-value lower-limit lower-limit-value
undo mac-address threshold-alarm
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| upper-limit upper-limit-value | 配置MAC表资源使用的告警上限阈值。upper-limit-value为MAC表资源使用触发告警的上限百分比。 | upper-limit-value取值为整数形式,取值范围为1~100,缺省值为80。 |
| lower-limit lower-limit-value | 配置MAC表资源使用的告警下限阈值。lower-limit-value为MAC表资源使用触发告警的下限百分比。 | lower-limit-value取值为整数形式,取值范围为1~100,缺省值为70。且lower-limit-value的取值必须小于或等于upper-limit-value。 |
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
MAC表资源属于设备的关键资源,设备支持的MAC表空间大小是有限的,其使用率会影响设备的运行情况。用户可通过该命令来配置MAC表资源的使用率高于上限阈值或低于下限阈值时发送告警给网管人员,从而能及时了解设备上MAC表空间的使用率。
注意事项
该命令为覆盖式命令,多次执行该命令,结果按最后一次配置生效。
使用实例
# 配置设备的MAC表资源使用率高于90%或低于20%时发送告警。
<HUAWEI> system-view [HUAWEI] mac-address threshold-alarm upper-limit 90 lower-limit 20
mac-address update arp
命令功能
mac-address update arp命令用来使能MAC刷新ARP功能,即MAC地址的出接口变化时,通知更新ARP表项的出接口。
undo mac-address update arp命令用来关闭MAC刷新ARP功能。
缺省情况下,没有使能MAC刷新ARP功能。
命令格式
mac-address update arp
undo mac-address update arp
参数说明
无
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
在以太网中,MAC地址表项用于指导设备进行二层数据转发,ARP表项通过IP地址和MAC地址的映射指导设备进行不同网段间的通信。
MAC地址表项的出接口通过报文触发刷新的,ARP表项的出接口是在老化时间到后通过老化探测进行刷新的。这样就可能会出现MAC表项和ARP表项出接口不一致的情况,即MAC地址表项的出接口已刷新,而ARP表项的出接口没有及时刷新的情况。此时可以使能MAC刷新ARP的功能,在MAC地址表项出接口刷新时,直接刷新ARP表项的出接口。
注意事项
该命令只对动态ARP表项生效,不会更新静态ARP表项。
使用arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable命令配置ARP表项固化功能后,该命令不生效。
使能了MAC刷新ARP功能后,只有MAC表项的出接口发生变化,才会更新对应的ARP表项。
配置MAC刷新ARP功能,会导致丢弃免费ARP报文功能失效。
使用实例
# 使能设备的MAC刷新ARP功能。
<HUAWEI> system-view [HUAWEI] mac-address update arp
相关主题
mac-learning priority
命令功能
mac-learning priority命令用来配置接口学习MAC地址的优先级。
undo mac-learning priority命令用来恢复接口学习MAC地址的优先级为缺省值。
缺省情况下,接口学习MAC地址的优先级为0。
命令格式
mac-learning priority priority-id
undo mac-learning priority
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| priority priority-id | 接口学习MAC地址的优先级。 | 整数形式,取值范围是0~3,数值越大优先级越高。 |
视图
Ethernet接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图
缺省级别
2:配置级
使用指南
应用场景
网络交换机的上行接口连接服务器,下行接口连接用户。为防止非法用户伪造服务器MAC地址入侵交换机,可以提高服务器侧接口的MAC地址学习优先级,接口配置不同优先级之后,如果不同接口学到相同的MAC地址表项,那么高优先级接口学到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项,反之则不能覆盖。以保证交换机不会从其他接口学习到伪造服务器的MAC地址。这样用户可以访问正确的服务器,正常使用网络资源。
如果接口优先级相同,可以通过undo mac-learning priority allow-flapping命令配置不允许相同优先级的接口发生MAC地址表项覆盖。
mac-learning priority命令和undo mac-learning priority allow-flapping命令都可以提高网络的安全性,区别在于:
- undo mac-learning priority allow-flapping命令配置不允许相同优先级的接口发生MAC地址漂移时,如果网络设备下电,此时会学习到伪造网络设备的MAC地址,当网络设备再次上电时将无法学习到正确的MAC地址。
- mac-learning priority命令配置接口学习MAC地址优先级时,如果网络设备下电,此时会学习到伪造网络设备的MAC地址,当网络设备再次上电时还可以学习到正确的MAC地址。
注意事项
本命令为覆盖式命令,每个接口只允许配置一个MAC地址学习优先级,多次执行mac-learning priority命令后,以最后一次配置为准。
VSI内的MAC地址表项不支持该功能。
S系列中的SA单板不支持该配置。
使用实例
# 配置接口学习MAC地址的优先级为3。
<HUAWEI> system-view [HUAWEI] interface gigabitethernet 1/0/2 [HUAWEI-GigabitEthernet1/0/2] mac-learning priority 3
相关主题
mac-learning priority allow-flapping
mac-learning priority allow-flapping
命令功能
mac-learning priority allow-flapping命令用来配置允许相同优先级的接口发生MAC地址漂移。
undo mac-learning priority allow-flapping命令用来配置不允许相同优先级的接口发生MAC地址漂移。
缺省情况下,允许相同优先级的接口发生MAC地址漂移。
S系列中的SA单板,该配置不生效。
命令格式
mac-learning priority priority-id allow-flapping
undo mac-learning priority priority-id allow-flapping
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| priority priority-id | 接口学习MAC地址的优先级。 | 整数形式,取值范围是0~3,数值越大优先级越高。 |
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
网络中交换机的上行接口连接服务器,下行接口连接用户。为防止非法用户伪造服务器MAC地址入侵交换机,可以配置不允许相同优先级的接口发生MAC地址漂移。这样接口将不再学习相同的MAC地址,非法用户将无法使用网络设备MAC地址干扰交换机与网络设备正常通信。
mac-learning priority命令和undo mac-learning priority allow-flapping命令都可以防止MAC地址漂移,区别在于:
- undo mac-learning priority allow-flapping命令配置不允许相同优先级的接口发生MAC地址漂移时,如果网络设备下电,此时会学习到伪造网络设备的MAC地址,当网络设备再次上电时将无法学习到正确的MAC地址。
- mac-learning priority命令配置接口学习MAC地址优先级时,如果网络设备下电,此时会学习到伪造网络设备的MAC地址,当网络设备再次上电时还可以学习到正确的MAC地址。
注意事项
VSI内的MAC地址表项不支持该功能。
使用实例
# 配置不允许优先级为1的接口发生MAC地址漂移。
<HUAWEI> system-view [HUAWEI] undo mac-learning priority 1 allow-flapping
相关主题
mac-learning priority flapping-defend action
命令功能
mac-learning priority flapping-defend action命令用来配置禁止MAC地址漂移时报文的处理动作。
undo mac-learning priority flapping-defend action命令用来恢复禁止MAC地址漂移时报文的处理动作。
缺省情况下,禁止MAC地址漂移时报文的处理动作是转发。
S系列中的SA单板,该配置不生效。
命令格式
mac-learning priority flapping-defend action { forward | discard }
undo mac-learning priority flapping-defend action
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| forward | 禁止MAC地址漂移时报文的处理动作是转发。 | – |
| discard | 禁止MAC地址漂移时报文的处理动作是丢弃。 | – |
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
网络中交换机的上行接口连接服务器,下行接口连接用户。为防止非法用户伪造服务器MAC地址入侵交换机,可以通过在接口上配置mac-learning priority或在系统视图下配置undo mac-learning priority allow-flapping来禁止MAC地址漂移。这样接口将不再学习相同的MAC地址,非法用户将无法使用网络设备MAC地址干扰交换机与网络设备正常通信。但是非法用户的报文将会继续转发,此时可以通过该命令的discard动作,在禁止MAC地址漂移时,丢弃非法用户的报文。
注意事项
- 如果没有通过命令mac-learning priority或undo mac-learning priority allow-flapping禁止MAC地址漂移时,通过该命令指定动作为丢弃时不生效。
- VSI内的MAC地址表项不支持该功能。
使用实例
# 配置禁止MAC地址漂移时报文的处理动作为丢弃。
<HUAWEI> system-view [HUAWEI] mac-learning priority flapping-defend action discard
相关主题