一、    现象:MAC地址飘移

关于mac地址飘移,在网上查找并总结后,归纳可能为以下七种情况:


 1、可能存在环路;

 2、可能VRRP、HSRP等协议不正常引起。比如设备主备频繁切换,导致交换机学习同一mac地址飘移;

 3、可能至少两台终端MAC地址相同,这样的情况不影响其他用户端;

 4、是用户端换了网线,而两个网线接口不在同一台交换机上,mac会记忆一段时间,之后一切恢复正常;

 5、H3C交换机开启STP功能后,CISCO设备可能出现报告MAC地址移动的现象,如果网络中不存在环路,该现象不影响业务。

 6、再多加一种:可能arp欺诈、***,导致不同端口学习到同一真实或欺诈的mac地址,此结论未验证。

 7、因为无线用户漫游,导致的MAC地址漂移告警。正常现象,对业务无影响。


二、    查看mac地址飘移信息


对于思科cisco设备

思科设备会跳出提示,以下为CISCO 3750 mac飘移(flapping)提示信息:

3750-edit#

1w2d: %SW_MATM-4-MACFLAP_NOTIF: Host a601.0000.0000 in vlan 23 is flapping betwe

en port Gi1/0/2 and port Gi1/0/1

3750-edit#

1w2d: %SW_MATM-4-MACFLAP_NOTIF: Host a601.0000.0000 in vlan 23 is flapping betwe

en port Gi1/0/2 and port Gi1/0/1

3750-edit#

1w2d: %SW_MATM-4-MACFLAP_NOTIF: Host a601.0000.0000 in vlan 23 is flapping betwe

en port Gi1/0/2 and port Gi1/0/1


对于华为设备


http://support.huawei.com/ecommunity/bbs/10226299.html


三、    mac地址飘移现象对应解决思路

1、环路

环路解决的思路就是使用生成树协议、loopback-detection,或者使用堆叠(如IRF)去除物理环路,或者排查服务器网卡是否有绑定等策略,或者拔掉造成环路的网线。

环路一般会伴随着端口峰值(peak)变得超高,或CPU使用率超高,或ping的时候丢包严重。

dis int g1/0/1

 Peak value of input: xxxxx bytes/sec, at 2014-01-28 14:05:47

 Peak value of output: xxxxx bytes/sec, at 2014-0130 06:31:46

dis cpu

Slot 1 CPU 0 CPU usage:

       xx% in last 5 seconds

       xx% in last 1 minute

       xx% in last 5 minutes

2、VRRP、HSRP等协议不正常引起

    参照配置手册,更改为正确配置即可。

3、多台终端MAC地址相同

    使得终端mac地址唯一即可。

4、用户端换了网线

    等一会儿就行了。

5、关于不同厂家的设备互联出现MAC地址漂移的解释

 

关于MAC地址漂移

思科3750与H3C 3100 互连问题,MAC飘移

最近,公司一设备是C3750,gi1/0/12 、g1/0/22和g1/0/2各连接一台H3C 3100,总有个mac地址(000f.e207.f2e0 )在上述几个端口间飘来飘去,无环路,不地址欺骗,不知道是什么原因,日志提示如下:

Aug  4 22:15:07.292 GMT: %SW_MATM-4-MACFLAP_NOTIF: Host 000f.e207.f2e0 in vlan 800 is flapping between port Gi1/0/12 and port Gi1/0/22

Aug  4 22:16:07.691 GMT: %SW_MATM-4-MACFLAP_NOTIF: Host 000f.e207.f2e0 in vlan 800 is flapping between port Gi1/0/12 and port Gi1/0/22

 

查看vlan 800的生成树状态如下:

VLAN0800

  Spanning tree enabled protocol ieee

  Root ID    Priority    4896

             Address     001f.27dd.6200

             This bridge is the root

             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec


  Bridge ID  Priority    4896   (priority 4096 sys-id-ext 800)

             Address     001f.27dd.6200

             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

             Aging Time 300

Interface        Role Sts Cost      Prio.Nbr Type

---------------- ---- --- --------- -------- --------------------------------

Gi1/0/2          Desg FWD 4         128.2    P2p

Gi1/0/12         Desg FWD 19        128.12   P2p

Gi1/0/22         Desg FWD 19        128.22   P2p

 

解释:

思科默认使用PVST+,可以选择配置的有PVST MST 等等

而华为产品一般是三种STP(IEEE 802.1D),RSTP(IEEE 802.1W),MSTP(IEEE 802.1S)

当搜索000f.e207.f2e0或00E0-FC09-BCF9这个mac的时候,会发现很多人在问这个问题。


据厂商自己解释

“S3600系列交 换机开启STP功 能后,对端设备可能出现报告MAC地址移动的现象。其原因为S3600系列交换机的BPDU报文采用固定MAC地址为源MAC。该情况对正常业务没有影响。为了防止 该日志信息对正常日志信息的影响,可以通过类似日志信息过滤的功能对此种日志信息过滤。

S系列交换机生成 树协议报文的源MAC地址是00E0-FC09-BCF9或者 000F-E207-F2E0。”

因为多厂商间对协议的理解方式不同,各厂商按照各自的方式改动了实现的方式,所以应尽量避免二层互联,对接的时候一定要提前测试好保持谨慎。

以下为官方解决方案:

问题原因

部分低端交换机的BPDU协议报文的源MAC采用000f-e207-f2e0。

H3C定义的LACP报文(DMAC=0180C2000002、H3C设备SMAC=000f-e207-f2e0、)也是BPDU报文的一种。由于V3平台交换机每端口没有设置各自的MAC地址,因此BPDU源MAC都是使用上述固定的特殊MAC作为源MAC地址的。但S3600/5600系列交换机最新版本支持在系统视图下使用port-mac命令进行定义。

对于固定源MAC地址,H3C交换机是不学习BPDU报文的源MAC的,但有些友商设备对于BPDU的源MAC是进行学习的,因此在友商设备上有时会记录MAC地址漂移的告警。

解决方法:

对于V3平台交换机如S3600/5600系列交换机可以升级到最新版本通过port-mac命令更改BPDU报文的源MAC地址。但是需要注意的是,如果网络中没有环路,那么该现象正常不影响业务使用,因此也不推荐使用port-mac命令进行更改。

 

修改方法:

system-view

System View: return to User View with Ctrl+Z.

[Sysname] port-mac xxxx-xxxx-xxxx

6、arp欺诈、***引起

找到中毒的终端,杀毒。

终端查找方法一:网关设备处抓包,必定有大量arp报文,看arp对应的源IP和MAC,按端口找到终端。杀毒。

这样做有可能还不容易找到,可看端口流量作为参考。

终端查找方法二:最简化网络,拔掉所有线。一个一个或一部分一部分接回来,直到接进某条线后网络出问题,由此可判断。


from:http://blog.sina.com.cn/s/blog_5e96cbeb0102vcwo.html