华为交换机MAC地址漂移相关说明

什么是MAC地址漂移
MAC地址漂移是指设备上一个VLAN内有两个或者三个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。通常认为第一个学习到MAC地址的接口是正确的出接口,称为源端口(Original Port),后学习的端口是漂移端口(Move Port),漂移端口通常是在环路上或者下挂网络中有环路的端口。如图所示,MAC地址为00e0-fc12-3456,VLAN ID为2的表项,出接口由interface1刷新为interface2,这就是MAC地址漂移。设备出现MAC地址漂移时,设备CPU占用率会有不同程度的升高。

正常情况下,网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路或非法用户进行网络攻击,可以通过查看告警信息和漂移记录,快速定位和排除环路。

MAC地址漂移示意图

 

防止MAC地址漂移
在规划网络时,可以通过下面两种方式来避免MAC地址漂移:

提高接口MAC地址学习优先级。当不同接口学到相同的MAC地址表项时,高优先级接口学到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项,防止MAC地址在接口间发生漂移。

不允许相同优先级的接口发生MAC地址表项覆盖。当伪造网络设备所连接口的优先级与安全的网络设备相同时,后学习到的伪造网络设备的MAC地址表项不会覆盖之前正确的表项。但如果网络设备下电,仍会学习到伪造网络设备的MAC地址,当网络设备再次上电时将无法学习到正确的MAC地址。

如图所示,为防止非法用户伪造服务器MAC地址入侵DeviceA,可以提高服务器侧接口Port1的MAC地址学习优先级。
MAC防漂移应用组网图

MAC地址漂移检测
MAC地址漂移检测是利用MAC地址出接口跳变的现象,检测MAC地址是否发生漂移的功能。

配置MAC地址漂移检测功能后,在发生MAC地址漂移时,可以上报包括MAC地址、VLAN,以及跳变的接口等信息的告警。其中跳变的接口即为可能出现环路的接口。网络管理员可以根据告警信息,手工排查网络中环路的源头,也可以使用MAC漂移检测提供的后续动作,使跳变的端口down或者VLAN从端口中退出,实现自动破环。
MAC地址漂移检测

如上图所示网络中,若DeviceC和DeviceD之间误接网线,则DeviceB、DeviceC、DeviceD之间形成环路。当DeviceA上interface1接口从网络中收到一个广播报文后转发给DeviceB,该报文经过环路,会被DeviceA上interface2接口收到。配置MAC地址漂移检测功能,DeviceA就会感知到MAC地址出接口跳变的现象。若连续出现此现象,DeviceA就会上报MAC漂移告警,提醒用户进行维护。

MAC地址漂移后的处理机制
接口发生MAC地址漂移后,设备会自动触发广播和未知单播的流量抑制,使得发生漂移的出接口转发速率为入接口带宽的1%,用户可以执行storm suppression mac-address flapping命令使接口下MAC漂移联动流量抑制的阈值按照cir进行灵活的配置,并可以使报文强制按照MAC漂移联动流量抑制的阈值进行转发。

还可以配置发生漂移后接口Error-Down功能。当检测到发生MAC地址漂移,接口将会被Error-Down并上报告警。

ICP备案号:晋ICP备18007549号-1
站长微信:15534641008