一、数据帧格式
Ethernet_Ⅱ:Type/Length>=1536(0x0600)
D.MAC | S.MAC | Type | Data | FCS |
IEEE802.3:Type/Length<=1500(0x05DC)
D.MAC | S.MAC | Length | LLC | SNAP | Data | FCS |
二、MAC地址表的组成
MAC地址表主要由MAC地址、VLAN、端口号、地址类型组成
MAC地址表项分为三种:动态表项、静态表项、黑洞表项
动态表项 | 接口通过报文中的源MAC地址学习获得,表项默认老化时间5分钟;系统复位、接口热插拔,表项会消失 |
静态表项 | 手工配置,表项不会老化;系统复位、接口热插拔,表项不会消失 |
黑洞表项 | 手工配置,表项不会老化;配置了黑洞表项,S.MAC或D.MAC是该MAC的报文会被丢弃 |
配置静态表项:
[Huawei]mac-address static 5489-9844-0CDB Ethernet 0/0/4 vlan 1
配置黑洞表项:
[Huawei]mac-address blackhole 00aa-bbcc-ddee
配置MAC表项老化时间:
[Huawei]mac-address aging-time 1000
三、端口安全
端口安全是交换机通过接口学习到的动态MAC地址转换为安全MAC地址
安全MAC地址分类 |
|
安全动态MAC地址 | 使能端口安全,未使能Sticky MAC功能 |
安全静态MAC地址 | 使能端口安全,并配置了静态MAC地址 |
Sticky MAC地址 | 使能端口安全,使能Sticky MAC功能 |
端口安全保护动作 |
|
Restrict | 丢弃源MAC地址不存在的报文并上报告警 |
Protect | 丢弃源MAC地址不存在的报文,不上报告警 |
Shutdown | 接口状态被置为err-down,不上报告警(可自动恢复,也可以手动恢复) |
配置端口安全:
[Huawei-Ethernet0/0/1]port-security enable //使能端口安全
[Huawei-Ethernet0/0/1]port-security protect-action shutdown //配置端口安全保护动作
[Huawei-Ethernet0/0/1]port-security max-mac-num 1 //配置端口安全动态MAC学习限制数量
[Huawei-Ethernet0/0/1]port-security aging-time 1000 //配置接口学习到的安全动态MAC地址老化时间
接口使能Sticky MAC功能,安全动态MAC地址表项将转化为Sticky MAC地址
接口使能Sticky MAC功能,即使配置了port-security aging-time,Sticky MAC也不会被老化。
Sticky MAC地址表项,保存后重启设备不丢弃。
配置Sticky MAC功能:
[Huawei-Ethernet0/0/1]port-security enable //使能端口安全
[Huawei-Ethernet0/0/1]port-security mac-address sticky //使能接口sticky mac功能
四、MAC地址漂移
MAC地址漂移是指设备上同一个vlan内两个接口学习到同一个MAC地址,后面学习到的MAC地址表项覆盖原MAC地址表项的现象
解决方法:提高接口MAC地址学习优先级,不能出现相同优先级的接。
配置MAC地址防漂移:
[Huawei-Ethernet0/0/2]mac-learning priority 2 //配置接口MAC地址学习优先级,数值越大优先级越高
[Huawei]undo mac-learning priority 2 allow-flapping //配置不允许相同优先级接口发生MAC地址漂移
[Huawei]mac-address flapping detection //配置全局地址漂移检测
[Huawei-vlan1]loop-detect eth-loop block-time 100 retry-times 3 //配置基于VLAN的地址漂移检测