华为交换机MAC地址漂移配置实验

一、实验拓扑图:

           

二、实验要求:

1、根据图示配置VLAN信息,E0/0/3为TRUNK端口,放行所有VLAN。

2、在S2上配置VLAN10的MAC漂移检测,将产生漂移的MAC地址阻塞,阻塞30秒,允许重复2次。

3、在S2上配置VLAN111的MAC漂移检测,将产生MAC地址漂移的端口阻塞,阻塞30秒,允许重复2次。

4、从PC1上分别PING PC2、PC9,查看S1、S2的MAC地址表,截图。

5、从PC4上PING PC1,查看S1、S2的MAC地址表,查看VLAN10的MAC地址漂移检测详情(display loop-detect eth-loop vlan 10),观察交换机上的告警信息,截图,与操作4的截图对比。

6、继续不断地从PC1上PING PC4,查看S1、S2的MAC地址表变化,查看VLAN10的MAC地址漂移检测详情(display loop-detect eth-loop vlan 10),观察交换机上的告警信息,截图与操作5对比。

7、当5489-9826-6b11 被阻塞后,从PC1上PING PC2、PC9,能否PING通?(2NO 9YES WHY?)  从PC9上 PING PC2,能否通?(YES)

8、从PC5上交替PING PC6、PC7,查看S1、S2的MAC地址表,能否PING通?(YES)在这一步多操作几次,直到S1上也出现告警信息为止。

9、先从PC5上PING PC3(YES),然后从PC6上PING PC7,查看S1、S2 MAC地址表,查看 VLAN111 的MAC地址漂移检测详情(display loop-detect eth-loop vlan 111),观察交换机上的告警信息,截图与操作8作对比。

 

10、继续不断地从PC6上PING PC7,查看 S1、S2 的MAC地址表变化,查看VLAN111的MAC地址漂移检测详情(display loop-detect  eth-loop vlan 111),观察交换机上的告警信息,截图与操作9对比。

11、在S2上查看MAC地址漂移检测详情(display loop-detect eth-loop),当VLAN111上的Ethernet0/0/3端口被阻塞后,从PC5上PING PC3,能否PING通?(NO)从PC9上PING PC2,能否PING通?(YES)WHY?

12、在S2上查看MAC地址漂移历史记录(display mac-address flapping record)总结以上的操作心得。

三、配置命令与原因分析:

1、根据图示配置VLAN信息,E0/0/3为TRUNK端口,放行所有VLAN。

S1命令:
sysname S1
#
vlan batch 10 111
#
interface Ethernet0/0/1
 port link-type access
 port default vlan 10
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 111
#
interface Ethernet0/0/3
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface Ethernet0/0/4
 port link-type access
 port default vlan 111
#
interface Ethernet0/0/5
 port link-type access
 port default vlan 10
#

S2命令:

sysname S2

#

vlan batch 10 103 111

#

interface Ethernet0/0/1

 port link-type access

#

interface Ethernet0/0/2

 port link-type access

 port default vlan 10

#

interface Ethernet0/0/3

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094

#

interface Ethernet0/0/4

 port link-type access

 port default vlan 111

#

interface Ethernet0/0/5

 port link-type access

 port default vlan 10

#

2、在S2上配置VLAN10的MAC漂移检测,将产生漂移的MAC地址阻塞,阻塞30秒,允许重复2次。

S2命令:
vlan 10
 loop-detect eth-loop block-mac block-time 30 retry-times 2

3、在S2上配置VLAN111的MAC漂移检测,将产生MAC地址漂移的端口阻塞,阻塞30秒,允许重复2次。

S2命令:
vlan 111
 loop-detect eth-loop block-time 30 retry-times 2

4、从PC1上分别PING PC2、PC9,查看S1、S2的MAC地址表,截图。

5、从PC4上PING PC1,查看S1、S2的MAC地址表,查看VLAN10的MAC地址漂移检测详情(display loop-detect eth-loop vlan 10),观察交换机上的告警信息,截图,与操作4的截图对比。

以上截图和第4题的截图对比后发现此时存在Mac地址漂移,因为是PC4伪造PC1的Mac地址然后ping PC1导致的,此时S2上PC1的Mac地址与接口的绑定从e0/0/3变为e0/0/5。

6、继续不断地从PC1上PING PC4,查看S1、S2的MAC地址表变化,查看VLAN10的MAC地址漂移检测详情(display loop-detect eth-loop vlan 10),观察交换机上的告警信息,截图与操作5对比。

从上图可以看出Mac地址存在漂移,并且该漂移Mac地址被永久阻塞,S2最终学习到该Mac地址的端口从e0/0/3变为e0/0/5。

7、当5489-9826-6b11 被阻塞后,从PC1上PING PC2、PC9,能否PING通?(2NO 9YES WHY?)  从PC9上 PING PC2,能否通?(YES)

因为只是在S2上配置Mac地址漂移检测,所以只有S2交换机阻塞了该漂移Mac地址。因此,PC1 ping S2上的PC2就不能通,ping S1上的PC9能通。

8、从PC5上交替PING PC6、PC7,查看S1、S2的MAC地址表,能否PING通?(YES)在这一步多操作几次,直到S1上也出现告警信息为止。

多ping几次后pc5 ping pc6和pc7 :

从告警信息可以看出PC7的Mac地址存在漂移,一开始ping都能ping通,多ping几次后就只能ping通pc7了。

9、先从PC5上PING PC3(YES),然后从PC6上PING PC7,查看S1、S2 MAC地址表,查看 VLAN111 的MAC地址漂移检测详情(display loop-detect eth-loop vlan 111),观察交换机上的告警信息,截图与操作8作对比。

10、继续不断地从PC6上PING PC7,查看 S1、S2 的MAC地址表变化,查看VLAN111的MAC地址漂移检测详情(display loop-detect  eth-loop vlan 111),观察交换机上的告警信息,截图与操作9对比。

11、在S2上查看MAC地址漂移检测详情(display loop-detect eth-loop),当VLAN111上的Ethernet0/0/3端口被阻塞后,从PC5上PING PC3,能否PING通?(NO)从PC9上PING PC2,能否PING通?(YES)WHY?

PC5不能ping通PC3的原因是VLAN111上的e0/0/3端口被阻塞了,而PC5和PC3正好连接的是交换机的vlan111端口。PC9能ping通PC2的原因是这两台PC接入交换机的端口是vlan10,所以不受影响。

12、在S2上查看MAC地址漂移历史记录(display mac-address flapping record)总结以上的操作心得。

 

操作心得:

①配置Mac地址漂移检测时尽量选择将产生漂移的Mac地址阻塞,而不是采取阻塞端口。因为这样才能不影响处于相同vlan下的其他PC的正常通信。

②要学会通过抓包、display命令、debug命令和告警信息来分析网络中存在的问题并采用合理的方案来解决问题。

 

 

相关推荐
©️2020 CSDN 皮肤主题: 1024 设计师:白松林 返回首页