- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-MAC地址表典型配置指导
本章节下载: 01-MAC地址表典型配置指导 (143.53 KB)
目 录
MAC地址表记录了与该设备相连的设备的MAC地址、与该设备相连的设备的端口号以及所属的VLAN ID。在转发数据时,设备根据报文中的目的MAC地址查询MAC地址表,快速定位出端口,从而减少广播。
MAC地址表项分为:静态MAC地址表项、动态MAC地址表项、黑洞MAC地址表项。
表1-1 MAC地址表项对比
|
表项类型 |
表项生成方式 |
表项老化时间 |
优点 |
|
静态MAC地址表项 |
由用户手工配置 |
表项不老化 |
用于转发含有特定目的MAC地址的报文,不需要广播,提高了端口的转发速率 |
|
动态MAC地址表项 |
l 通过源MAC地址学习自动生成 l 由用户手工配置 |
l 表项有老化时间 l 用户可以修改表项的老化时间 |
如果MAC地址表项在老化时间内没有数据交互,该表项将被自动删除,节省了MAC地址空间 |
|
黑洞MAC地址表项 |
由用户手工配置 |
表项不老化 |
用于丢弃含有特定源和目的MAC地址的报文,提高了端口的安全性 |
如图1-1所示,在某一网络的交换机Switch上连有文件服务器、NMS(Network Management Server,网管服务器)及用户PC,现要求:
l 交换机在转发目的地址为服务器地址的报文时不再使用广播,而始终通过单播发送去往服务器的报文;
l 为了增强网络管理的安全性,要求连接NMS的端口仅允许这台NMS接入。
图1-1 MAC地址表组网示意图
l 为避免交换机在转发目的地址为服务器地址的报文时进行广播,可以在交换机上配置服务器的静态MAC地址表项,使交换机始终通过单播发送去往服务器的报文;
l 要实现连接NMS的端口仅允许NMS接入,可以在交换机上配置NMS的静态MAC地址表项,并关闭这个端口的MAC地址学习功能,使交换机仅能转发目的MAC为NMS的报文,其他主机无法通过此端口通信;
l 连接PC的端口使用动态MAC地址表项,通过源MAC地址学习自动建立表项,如果相应表项在老化时间内没有数据交互,该表项将被自动删除。
l 创建VLAN 10,并将所涉及端口加入到VLAN 10;
l 在GigabitEthernet1/0/2端口添加服务器的MAC地址,使交换机始终通过单播发送去往服务器的报文;
l 在连接NMS的端口GigabitEthernet1/0/10上配置最大MAC学习数为0,即为关闭这个端口的MAC地址学习功能,再手工添加NMS的静态MAC表项,这样可使交换机仅能转发目的MAC为NMS的报文,其他主机无法通过此端口通信
l 连接PC的端口使用缺省配置,即使用动态MAC地址表项,老化时间过后,相应表项自动删除。
|
产品 |
软件版本 |
|
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
|
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
|
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
|
CE3000-32F以太网交换机 |
Release 1211 |
|
S5810系列以太网交换机 |
Release 1102 |
|
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5500-EI-D系列以太网交换机 |
Release 2208 |
|
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
|
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5120-EI-D系列以太网交换机 |
Release 1505 |
|
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
|
S5120-LI系列以太网交换机 |
Release 1107 |
|
E552&E528以太网交换机 |
Release 1103 |
|
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
|
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
|
S3100V2系列以太网交换机 |
Release 5103 |
|
E126B以太网交换机 |
Release 5103 |
# 创建VLAN10,并将GigabitEthernet1/0/2、GigabitEthernet1/0/5、GigabitEthernet1/0/10端口加入VLAN10.
<Sysname> system-view
[Sysname] vlan 10
[Sysname-vlan10] port GigabitEthernet1/0/2 GigabitEthernet1/0/5 GigabitEthernet1/0/10
[Sysname-vlan10] quit
# 添加服务器的MAC地址,使交换机始终通过端口GigabitEthernet1/0/2单播发送去往服务器的报文。
[Sysname] mac-address static 000f-e20f-dc71 interface GigabitEthernet 1/0/2 vlan 10
# 配置端口GigabitEthernet1/0/10最大MAC学习数为0并手工添加NMS的静态MAC表项,实现GigabitEthernet1/0/10端口只能转发源地址为NMS的报文,保证其他主机无法通过此端口通信。
[Sysname] interface GigabitEthernet 1/0/10
[Sysname-GigabitEthernet1/0/10] mac-address max-mac-count 0
[Sysname-GigabitEthernet1/0/10] mac-address static 0014-222c-aa69 vlan 10
# 配置当端口学习的MAC地址数达到设置的最大MAC地址数后,禁止转发收到的源MAC地址不在MAC地址表里的数据帧(S3610、S5510、S3500-EA三个系列以太网交换机支持此步骤,其它交换机不支持)。
[Sysname-GigabitEthernet1/0/10] mac-address max-mac-count disable-forwarding
[Sysname-GigabitEthernet1/0/10] quit
# 查看MAC地址表配置。
[Sysname] display mac-address interface GigabitEthernet 1/0/2
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
000f-e20f-dc71 10 Config static GigabitEthernet1/0/2 NOAGED
0014-222c-aa69 10 Config static GigabitEthernet1/0/10 NOAGED
00e0-fc5e-b1fb 1 Learned GigabitEthernet1/0/2 AGING
00e0-fc55-f116 1 Learned GigabitEthernet1/0/2 AGING
--- 4 mac address(es) found ---
#
vlan 10
#
interface GigabitEthernet1/0/2
port access vlan 10
mac-address static 000f-e20f-dc71 vlan 10
#
interface GigabitEthernet1/0/5
port access vlan 10
#
interface GigabitEthernet1/0/10
port access vlan 10
mac-address max-mac-count 0
mac-address max-mac-count disable-forwarding
mac-address static 0014-222c-aa69 vlan 10
l 除S7500E系列以太网交换机Release 6300软件版本以外,其它设备及其版本不能在聚合端口上配置静态和动态MAC地址表项。
l S5120-SI、S5120-EI、S5500-SI、S5500-EI、S5800、S5820X、S7500E等系列以太网交换机不支持 mac-address max-mac-count 命令中的disable-forwarding参数,当端口学习的MAC地址数达到配置的最大MAC地址数后,端口会禁止转发收到的源MAC地址不在MAC地址表里的数据帧。
在网络监控中,需要对加入和离开网络的用户进行监控。由于MAC地址能唯一标识一个网络用户,所以可以通过监控加入和离开网络的MAC地址对用户进行跟踪。
通过使用MAC Information功能,当二层以太网端口学习到或删除MAC地址时会发送Syslog或Trap信息,通过对Syslog和Trap信息的分析,监控端可以实现对进入网络的用户进行监控。
对加入和离开网络的MAC地址进行监控,实现对网络用户的跟踪。
图1-2 MAC Information典型配置组网图
l 在Device及各端口上使能MAC Information功能;
l 为了防止过多的Trap信息干扰用户,用户可以配置发送Trap信息的时间间隔,当到达时间间隔时再发送Trap信息;
l 配置Device信息中心功能,将MAC变化信息利用Trap方式发送给Server,Server对接收到的Trap信息进行显示并分析,实现对进入网络的用户进行监控;
表1-3 配置适用的产品与软件版本关系
|
产品 |
软件版本 |
|
S7500E系列太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
|
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
|
S5820X&S5800系列以太网交换机 |
Release 1110,Release 1211 |
|
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5500-EI-D系列以太网交换机 |
Release 2208 |
|
S5500-SI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
(1) 配置MAC Information功能
# 全局使能MAC Information。
<Device> system-view
[Device] mac-address information enabele
# 配置MAC Information工作模式为Trap方式。
[Device] mac-address information mode trap
# 配置端口GigabitEthernet2/0/1及GigabitEthernet2/0/3上使能MAC Information。
[Device] interface gigabitethernet 2/0/1
[Device-GigabitEthernet2/0/1] mac-address information enable added
[Device-GigabitEthernet2/0/1] mac-address information enable deleted
[Device-GigabitEthernet2/0/1] quit
[Device] interface gigabitethernet 2/0/3
[Device-GigabitEthernet2/0/3] mac-address information enable added
[Device-GigabitEthernet2/0/3] mac-address information enable deleted
[Device-GigabitEthernet2/0/3] quit
# 配置MAC Information发送时间间隔为300秒
[Device] mac-address information interval 300
(2) 配置Device可以将Trap发送到Server。
请参见“网络管理和监控配置指导”中的“信息中心配置”。
#
mac-address information enable
mac-address information interval 300
mac-address information mode trap
#
interface GigabitEthernet2/0/1
mac-address information enable added
mac-address information enable deleted
#
interface GigabitEthernet2/0/3
mac-address information enable added
mac-address information enable deleted
#
l 使用MAC Information功能时,需要用户在系统视图和端口视图下同时使能MAC Information功能;
l S7500E系列以太网交换机不支持将学习或删除的MAC地址发送到Syslog。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
