前言
MAC(Media Access Control)地址用来定义网络设备的位置。MAC地址由48比特长、12位的16进制数字组成,其中从左到右开始,0到23bit是厂商向IETF等机构申请用来标识厂商的代码,24到47bit由厂商自行分派,是各个厂商制造的所有网卡的一个唯一编号。
MAC地址可以分为3种类型:
- 物理MAC地址:这种类型的MAC地址唯一的标识了以太网上的一个终端,该地址为全球唯一的硬件地址;
- 广播MAC地址:全1的MAC地址为广播地址(FF-FF-FF-FF-FF-FF),用来表示LAN上的所有终端设备;
- 组播MAC地址:除广播地址外,第8bit为1的MAC地址为组播MAC地址(例如01-00-00-00-00-00),用来代表LAN上的一组终端。其中以01-80-c2开头的组播MAC地址叫BPDU MAC,一般作为协议报文的目的MAC地址标示某种协议报文。
01 认识MAC地址
交换机上面的MAC地址分为系统MAC和接口MAC两种。
公众号 网络民工 专注于IT技术领域,结合实战经验,为您分享网络技术、系统集成、网络工程等一线技术解析和实践案例等深度干货文章,愿我们一起悦享技术,成就梦想!70篇原创内容
其中接口MAC又包括管理网口MAC、VLANIF接口MAC、二层物理接口MAC、三层路由主接口MAC、子接口MAC、二层Eth-Trunk接口MAC、三层Eth-Trunk接口MAC。
系统MAC也就是我们所说的设备MAC,可以通过命令display bridge mac-address查看。管理网口MAC、子接口MAC、二层物理接口MAC和二层Eth-Trunk接口MAC是相同的,使用的就是系统MAC。其他接口MAC与系统MAC不一致,具体MAC地址可以通过display interface查看。
1.1 MAC原理
MAC地址的定义和分类
MAC地址表的定义
MAC地址表记录了交换机学习到的其他设备的MAC地址与接口的对应关系,以及接口所属VLAN等信息。设备在转发报文时,根据报文的目的MAC地址查询MAC地址表,如果MAC地址表中包含与报文目的MAC地址对应的表项,则直接通过该表项中的出接口转发该报文;如果MAC地址表中没有包含报文目的MAC地址对应的表项时,设备将采取广播方式在所属VLAN内除接收接口外的所有接口转发该报文。
MAC地址表的分类
MAC地址表中的表项分为:动态表项、静态表项和黑洞表项。另外交换机的MAC地址表中还存在一种业务类型的MAC地址表项,譬如:安全MAC、MUX MAC、Authen MAC、Guest MAC等。该类MAC地址表项是由对应业务维护的,一般是通过动态表项转换来的。
表2-2 MAC地址表项
MAC地址表的作用
MAC地址表用于指导报文进行单播转发。如图2-1中,PC1发往PC3的报文,在到达交换机Switch时,根据报文中的目的MAC地址MAC3和VLAN10查询交换机的MAC地址表,获取出接口Port3,然后报文直接从接口Port3转发到PC3,完成数据的转发。
图2-2 MAC地址学习示意图
如图2-2,HostA向SwitchA发送数据时,SwitchA从数据帧中解析出源MAC地址(即HostA的MAC地址)和VLAN ID。
- 如果MAC地址表中不存在该MAC地址表项,设备则将这个新MAC地址以及该MAC地址对应的PortA和VLAN ID作为一个新的表项加入到MAC地址表中。
- 如果MAC地址表中已经存在该MAC地址表项,设备将通过重置该表项的老化时间,对该表项进行更新。
所以设备在收到数据帧时,才会触发MAC地址的学习和刷新。当设备有多块接口板时,为了避免不必要的广播报文以及提高报文转发的速度,每个接口板学习到的MAC地址表项,都会自动同步到其他单板。
MAC地址老化过程
为适应网络的变化,MAC表需要不断更新。MAC表中自动生成的表项(即动态表项)并非永远有效,每一条表项都有一个生存周期,到达生存周期仍得不到更新的表项将被删除,这个生存周期被称作老化时间。如果在到达生存周期前记录被更新,则该表项的老化时间重新计算。
表2-3 MAC地址学习控制方式说明
MAC地址漂移
什么是MAC地址漂移
MAC地址漂移是指设备上一个VLAN内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。图2-4所示,MAC地址为0011-0022-0034,VLAN ID为2的表项,出接口由GE1/0/1刷新为GE1/0/2,这就是MAC地址漂移。设备出现MAC地址漂移时,设备CPU占用率会有不同程度的升高。
正常情况下,网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路,可以通过查看告警信息和漂移记录,快速定位和排除环路。
图2-5 MAC地址漂移检测组网图
如图2-5网络中,若SwitchC和SwitchD之间误接网线,则SwitchB、SwitchC、SwitchD之间形成环路。当SwitchA上Port1接口从网络中收到一个广播报文后转发给SwitchB,该报文经过环路,会被SwitchA上Port2接口收到。配置MAC地址漂移检测功能,SwitchA就会感知到MAC地址出接口跳变的现象。若连续出现此现象,SwitchA就会上报MAC漂移告警,提醒管理员进行维护。
如何防止MAC地址漂移
网络中产生环路或非法用户进行网络攻击都会造成MAC地址发生漂移,导致MAC地址不稳定。
在规划网络时,可以通过下面两种方式来避免这种情况:
- 提高接口MAC地址学习优先级。当不同接口学到相同的MAC地址表项时,高优先级接口学到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项,防止MAC地址在接口间发生漂移。
- 不允许相同优先级的接口发生MAC地址表项覆盖。当伪造网络设备所连接口的优先级与安全的网络设备相同时,后学习到的伪造网络设备的MAC地址表项不会覆盖之前正确的表项。但如果网络设备下电,仍会学习到伪造网络设备的MAC地址,当网络设备再次上电时将无法学习到正确的MAC地址。
如图2-6所示,为防止非法用户伪造服务器MAC地址入侵Switch,可以提高服务器侧接口Port1的MAC地址学习优先级。
图2-7 配置MAC刷新ARP功能之前
MAC刷新ARP可以实现在MAC出接口更新时,直接刷新ARP表项的出接口的功能。如图2-8所示,在配置MAC刷新ARP功能后,在T2时间点,MAC地址表项出接口刷新为GE1/0/2后,直接把ARP表项的出接口刷新为GE1/0/2。解决了T2时间点和T3时间点之间,ARP表项出接口不可用的问题,避免了业务通信的中断。
图2-9 MAC地址防漂移组网图
2.2 通过MAC漂移检测快速发现环路
在组网发生环路时,环路上的故障点一定存在MAC地址漂移现象。利用这一现象,可以快速的判断网络中是否存在环路。
当设备出现如下现象时,可以开启MAC漂移检测功能,判断是否是环路导致的。
- MAC地址表项时有时无
- ping操作时通时不通
- CPU使用率升高,出现超过阈值的告警
MAC漂移检测功能相比其他环路检测功能的优点是配置简单。各类环路检测特性对比如表2-4所示。
图2-10 VRRP典型组网图
而在有些情况下如图2-11,VRRP备份组下挂的设备,不是交换机而是服务器Server。Server发送报文时,一般情况下只会选择一个网口发包,当检测到网络故障或者流量异常时,切换到另外一个网口发包。
- SwitchA为VRRP主设备,一开始服务器使用Port2发送报文,此时SwitchA学习到的服务器ARP表项和MAC表项都在Port2接口上,SwitchB学习的服务器MAC在Port1接口;
- 当服务器检测到Port2故障时,服务器切换至Port1继续发送业务报文,这时SwitchA学习到的服务器MAC地址会刷新到Port1,但如果服务器切换转发接口后不主动发送ARP请求报文的话,ARP表项还是在Port2接口上。这样SwitchA发往服务器的报文就会从接口Port2接口发出去,而不能被正确转发,直到该ARP表项老化。
这种情况下就可以在Switch上配置MAC刷新ARP功能,当MAC表项的出接口变化时,会即时更新ARP表项的出接口,从而保证MAC表项和ARP表项的一致性。
图2-11 VRRP下挂服务器组网图
网络民工网络民工专注于IT技术领域,结合实战经验,为您分享网络技术、系统集成、网络工程等一线技术解析和实践案例等深度干货文章,愿我们一起悦享技术,成就梦想!70篇原创内容
公众号
关于MAC地址配置示例,请期待下期内容:
- 1. 配置静态MAC地址示例
- 2. 配置黑洞MAC地址示例
- 3. 配置基于接口的MAC地址学习限制示例
- 4. 配置基于VLAN的MAC地址学习限制示例
- 5. 配置基于VSI的MAC地址学习限制示例
- 6. 配置MAC防漂移示例
- 7. 配置MAC地址漂移检测示例
