MAC地址漂移概述

MAC地址漂移是指交換機(jī)上一個(gè)VLAN內(nèi)有兩個(gè)端口學(xué)習(xí)到同一個(gè)MAC地址，后學(xué)習(xí)到的MAC地址表項(xiàng)覆蓋原MAC地址表項(xiàng)的現(xiàn)象。

當(dāng)一個(gè)MAC地址在兩個(gè)端口之間頻繁發(fā)生遷移時(shí)，即會(huì)產(chǎn)生MAC地址漂移現(xiàn)象。

正常情況下，網(wǎng)絡(luò)中不會(huì)在短時(shí)間內(nèi)出現(xiàn)大量MAC地址漂移的情況。出現(xiàn)這種現(xiàn)象一般都意味著網(wǎng)絡(luò)中存在環(huán)路，或者存在網(wǎng)絡(luò)攻擊行為。

防止MAC地址漂移

如果是環(huán)路引發(fā)MAC地址漂移，治本的方法是部署防環(huán)技術(shù)，例如STP，消除二層環(huán)路。如果由于網(wǎng)絡(luò)攻擊等其他原因引起，則可使用如下MAC地址防漂移特性：

1.配置接口MAC地址學(xué)習(xí)優(yōu)先級(jí)

當(dāng)MAC地址在交換機(jī)的兩個(gè)接口之間發(fā)生漂移時(shí)，可以將其中一個(gè)接口的MAC地址學(xué)習(xí)優(yōu)先級(jí)提高。高優(yōu)先級(jí)的接口學(xué)習(xí)到的MAC地址表項(xiàng)將覆蓋低優(yōu)先級(jí)接口學(xué)習(xí)到的MAC地址表項(xiàng)。

2.配置不允許相同優(yōu)先級(jí)接口MAC地址漂移

當(dāng)偽造網(wǎng)絡(luò)設(shè)備所連接口的MAC地址優(yōu)先級(jí)與安全的網(wǎng)絡(luò)設(shè)備相同時(shí)，后學(xué)習(xí)到的偽造網(wǎng)絡(luò)設(shè)備MAC地址表項(xiàng)不會(huì)覆蓋之前正確的表項(xiàng)。

• 缺省時(shí)接口MAC地址學(xué)習(xí)的優(yōu)先級(jí)均為0，數(shù)值越大優(yōu)先級(jí)越高。當(dāng)同一個(gè)MAC地址被兩個(gè)接口學(xué)習(xí)到后，接口MAC地址學(xué)習(xí)優(yōu)先級(jí)高的會(huì)被保留，MAC地址學(xué)習(xí)優(yōu)先級(jí)低的被覆蓋。
• 在配置不允許相同優(yōu)先級(jí)接口MAC地址漂移時(shí)，如果安全網(wǎng)絡(luò)設(shè)備下電，則交換機(jī)仍會(huì)學(xué)習(xí)到偽造網(wǎng)絡(luò)設(shè)備的MAC地址，當(dāng)網(wǎng)絡(luò)設(shè)備再次上電時(shí)將無(wú)法學(xué)習(xí)到正確的MAC地址。因此該特性需謹(jǐn)慎使用，如果交換機(jī)的接口連接的網(wǎng)絡(luò)設(shè)備是服務(wù)器，當(dāng)服務(wù)器下電后，另外的接口學(xué)習(xí)到與服務(wù)器相同的MAC地址，當(dāng)服務(wù)器再次上電后就不能學(xué)習(xí)到正確的MAC地址。

MAC地址漂移檢測(cè)

交換機(jī)支持MAC地址漂移檢測(cè)機(jī)制，分為以下兩種方式：

(1)基于VLAN的MAC地址漂移檢測(cè)：

• 配置VLAN的MAC地址漂移檢測(cè)功能可以檢測(cè)指定VLAN下的所有的MAC地址是否發(fā)生漂移。
• 當(dāng)MAC地址發(fā)生漂移后，可以配置指定的動(dòng)作，例如告警、阻斷接口或阻斷MAC地址。

(2)全局MAC地址漂移檢測(cè)

• 該功能可以檢測(cè)設(shè)備上的所有的MAC地址是否發(fā)生了漂移。
• 若發(fā)生漂移，設(shè)備會(huì)上報(bào)告警到網(wǎng)管系統(tǒng)。
• 用戶(hù)也可以指定發(fā)生漂移后的處理動(dòng)作，例如將接口關(guān)閉或退出VLAN。

基于VLAN的MAC地址漂移檢測(cè)

在配置基于VLAN的MAC地址漂移檢測(cè)功能后，如果MAC地址發(fā)生漂移時(shí)，則可根據(jù)需求配置接口做出的動(dòng)作有以下三種：

• 發(fā)送告警，當(dāng)檢測(cè)到MAC地址發(fā)生漂移時(shí)只給網(wǎng)管發(fā)送告警。
• 接口阻斷，當(dāng)檢測(cè)到MAC地址發(fā)生漂移時(shí)，根據(jù)設(shè)置的阻塞時(shí)間對(duì)接口進(jìn)行阻塞，并關(guān)閉接口收發(fā)報(bào)文的能力。
• MAC地址阻斷，當(dāng)檢測(cè)到MAC地址發(fā)生漂移時(shí)，只阻塞當(dāng)前MAC地址，而不對(duì)物理接口進(jìn)行阻塞，當(dāng)前接口下的其他MAC的通信不受影響。

當(dāng)配置接口阻塞時(shí)：

• 檢測(cè)到VLAN2內(nèi)產(chǎn)生MAC地址漂移時(shí)，將產(chǎn)生漂移后的接口直接阻塞。
• 接口將被阻塞10秒（該時(shí)長(zhǎng)使用block-time關(guān)鍵字指定），接口被阻塞時(shí)是無(wú)法正常收發(fā)數(shù)據(jù)的。
• 10秒之后接口會(huì)被放開(kāi)并重新進(jìn)行檢測(cè)，此時(shí)該接口可以正常收發(fā)數(shù)據(jù)，如果20秒內(nèi)沒(méi)有再檢測(cè)到MAC地址漂移，則接口的阻塞將被徹底解除；而如果20秒內(nèi)再次檢測(cè)到MAC地址漂移，則再次將該接口阻塞，如此重復(fù)2次（該次數(shù)使用retry-times關(guān)鍵字指定），如果交換機(jī)依然能檢測(cè)到該接口發(fā)生MAC地址漂移，則永久阻塞該接口。

全局MAC地址漂移檢測(cè)

當(dāng)交換機(jī)檢測(cè)到MAC地址漂移，在缺省情況下，它只是簡(jiǎn)單地上報(bào)告警，并不會(huì)采取其他動(dòng)作。在實(shí)際網(wǎng)絡(luò)部署中，可以根據(jù)網(wǎng)絡(luò)需求，對(duì)檢測(cè)到MAC地址漂移之后定義以下動(dòng)作：

• error-down：當(dāng)配置了MAC地址漂移檢測(cè)的端口檢測(cè)到有MAC地址漂移時(shí)，將對(duì)應(yīng)接口狀態(tài)置為error-down，不再轉(zhuǎn)發(fā)數(shù)據(jù)。
• quit-vlan：當(dāng)配置了MAC地址漂移檢測(cè)的端口檢測(cè)到有MAC地址漂移時(shí)，將退出當(dāng)前接口所屬的VLAN。

• 華為交換機(jī)默認(rèn)開(kāi)啟全局MAC地址漂移檢測(cè)功能，因此缺省時(shí)交換機(jī)便會(huì)對(duì)設(shè)備上的所有VLAN進(jìn)行MAC地址漂移檢測(cè)。
• 在某些場(chǎng)景下，需要對(duì)某些VLAN不進(jìn)行MAC地址漂移檢測(cè)，可以通過(guò)配置MAC地址漂移檢測(cè)的VLAN白名單來(lái)實(shí)現(xiàn)。
• 如果接口由于發(fā)生了MAC地址漂移從而被設(shè)置為Error-Down，默認(rèn)情況下是不會(huì)自動(dòng)恢復(fù)的。
• 如果希望Error-Down的接口能夠自動(dòng)恢復(fù)，在系統(tǒng)視圖下配置如下命令：

error-down auto-recovery cause mac-address-flapping interval time-value

• 如果接口由于發(fā)生了MAC地址漂移，被設(shè)置為離開(kāi)VLAN，如要實(shí)現(xiàn)接口自動(dòng)恢復(fù)，可以在系統(tǒng)視圖下配置如下命令：

mac-address flapping quit-vlan recover-time time-value

MAC地址漂移配置命令介紹 

(1)配置接口學(xué)習(xí)MAC地址的優(yōu)先級(jí)：

[Huawei-GigabitEthernet0/0/1] mac-learning priority priority-id

缺省情況下，接口學(xué)習(xí)MAC地址的優(yōu)先級(jí)為0，數(shù)值越大優(yōu)先級(jí)越高。

(2)配置禁止MAC地址漂移時(shí)報(bào)文的處理動(dòng)作為丟棄：

[Huawei-GigabitEthernet0/0/1] mac-learning priority flapping-defend action discard

缺省情況下，禁止MAC地址漂移時(shí)報(bào)文的處理動(dòng)作是轉(zhuǎn)發(fā)。

(3)配置不允許相同優(yōu)先級(jí)的接口發(fā)生MAC地址漂移：

[Huawei] undo mac-learning priority priority-id allow-flapping

缺省情況下，允許相同優(yōu)先級(jí)的接口發(fā)生MAC地址漂移。

(4)配置MAC地址漂移檢測(cè)功能。

[Huawei-vlan2] mac-address flapping detection

缺省情況下，已經(jīng)配置了對(duì)交換機(jī)上所有VLAN進(jìn)行MAC地址漂移檢測(cè)的功能。

(5)(可選）配置MAC地址漂移檢測(cè)的VLAN白名單：

[Huawei] mac-address flapping detection exclude vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

缺省情況下，沒(méi)有配置MAC地址漂移檢測(cè)的VLAN白名單。

”

(6)（可選）配置發(fā)生漂移后接口的處理動(dòng)作：

[Huawei-GigabitEthernet0/0/1] mac-address flapping action { quit-vlan | error-down }

缺省情況下，對(duì)超過(guò)MAC地址學(xué)習(xí)數(shù)限制的報(bào)文采取丟棄動(dòng)作。

(7)（可選）配置MAC地址漂移表項(xiàng)的老化時(shí)間：

[Huawei] mac-address flapping aging-time aging-time

缺省情況下，MAC地址漂移表項(xiàng)的老化時(shí)間為300秒。

(8) 配置MAC地址漂移檢測(cè)功能：

[Huawei-vlan2] loop-detect eth-loop { [ block-mac ] block-time block-time retry-times retry-times | alarm-only }

MAC地址漂移配置舉例

實(shí)驗(yàn)介紹：

• 網(wǎng)絡(luò)基礎(chǔ)配置已完成，Switch3與Switch4之間誤接網(wǎng)線(xiàn)導(dǎo)致網(wǎng)絡(luò)出現(xiàn)環(huán)路；
• 在Switch1的接口GE0/0/1上配置MAC地址防漂移功能，防止被非法用戶(hù)攻擊；
• 在Switch2上配置MAC地址漂移檢測(cè)功能，判斷網(wǎng)絡(luò)中存在的環(huán)路，排除故障。

(1)在Switch1與Server相連的接口GE0/0/1上配置MAC地址學(xué)習(xí)優(yōu)先級(jí)高于其他接口，此優(yōu)先級(jí)默認(rèn)值為0。

[Switch1] interface GigabitEthernet 0/0/1
[Switch1-GigabitEthernet 0/0/1] mac-leaning priority 3

在Switch2上配置MAC地址漂移檢測(cè)功能，并配置接口MAC地址漂移后的處理動(dòng)作：

[Switch2] mac-address flapping detection
[Switch2] mac-address flapping aging-time 500
[Switch2-GigabitEthernet0/0/1] mac-address flapping action error-down
[Switch2-GigabitEthernet0/0/2] mac-address flapping action error-down
[Switch2] error-down auto-recovery cause mac-address-flapping interval 500

• 當(dāng)Switch3與Switch4之間誤連接之后，Switch2的接口GE0/0/1的MAC地址漂移到接口GE0/0/2后，觸發(fā)接口error-down，接口GE0/0/2關(guān)閉。
• 使用display mac-address flapping record可查看到漂移記錄。

配置驗(yàn)證配置完成后，當(dāng)Switch2的接口GE0/0/1的MAC地址漂移到接口GE0/0/2后，接口GE0/0/2關(guān)閉；使用display mac-address flapping record可查看到漂移記錄。

[Switch2] display mac-address flapping record
 S  : start time                                                                
 E  : end time                                                                  
(Q) : quit vlan                                                                 
(D) : error down 
---------------------------------------------------------------------------------------------------
Move-Time                 VLAN MAC-Address     Original-Port    Move-Ports   MoveNum
---------------------------------------------------------------------------------------------------
S:2020-06-22 17:22:36     1    5489-9815-662b  GE0/0/1         GE0/0/2(D)   83
E:2020-06-22 17:22:44
---------------------------------------------------------------------------------------------------
Total items on slot 0: 1