mac地址 【教学中心】MAC地址表

媒体访问控制地址表记录了连接到该设备的设备的媒体访问控制地址、连接到该设备的设备的接口号及其所属的VLAN标识。转发数据时，设备根据报文中的目的MAC地址查询MAC地址表，快速定位接口，减少广播。

1.1.1媒体访问控制地址表条目的生成方式

生成MAC地址表条目有两种方式:自动生成和手动配置。

1.自动生成媒体访问控制地址表条目

一般情况下，MAC地址表由设备通过源MAC地址学习过程自动建立。设备学习MAC地址的方法如下:如果从一个接口接收到一个数据帧，设备会分析该数据帧的源MAC地址，认为目的MAC地址为MAC-SOURCE的报文可以由接口a转发；如果媒体访问控制地址表已经包含媒体访问控制源，设备将更新表项。如果媒体访问控制地址表不包含媒体访问控制源，设备将添加这个新的媒体访问控制地址和对应于这个媒体访问控制地址的接口A作为媒体访问控制地址表的新条目。

为了适应网络的变化，MAC地址表需要不断更新。MAC地址表中自动生成的条目并不总是有效的，每个条目都有一个生命周期。到达生命周期后无法刷新的条目将被删除。这个生命周期叫做老化时间。如果记录在到达生命周期之前被刷新，则条目的老化时间将被重新计算。

2.手动配置媒体访问控制地址表条目

当设备通过学习源MAC地址自动建立MAC地址表时，无法区分合法用户和黑客用户的报文，带来安全隐患。如果黑客将攻击消息的源MAC地址伪装成合法用户的MAC地址，并从设备的其他接口进入，设备会获知错误的MAC地址表条目，因此应该转发给合法用户的消息会转发给黑客用户。

为了提高接口安全性，网络管理员可以手动在MAC地址表中添加特定的MAC地址条目，并将用户设备绑定到接口上，从而防止具有虚假身份的非法用户诈骗数据。

1.1.2媒体访问控制地址条目的分类

媒体访问控制地址条目分为静态媒体访问控制地址条目、动态媒体访问控制地址条目和黑洞媒体访问控制地址条目。

l静态MAC地址条目由用户手动配置，条目不老化。

l动态MAC地址条目包括用户配置的，设备通过源MAC地址获知的，条目有老化时间。

用户手动配置的静态MAC地址条目和黑洞MAC地址条目不会被动态MAC地址条目覆盖，而动态MAC地址条目可以被静态MAC地址条目和黑洞MAC地址条目覆盖。

1.1.3基于媒体访问控制地址表的消息转发

转发报文时，设备会根据MAC地址表条目信息采用以下两种转发方式:

l单播模式:当MAC地址表中包含与报文目的MAC地址对应的条目时，设备直接从条目中的转发接口发送报文。

l广播模式:当设备接收到目的地址为全1的报文，或者MAC地址表中没有对应报文目的MAC地址的条目时，设备会采用广播模式将报文转发到接收接口以外的所有接口。

1.1.4配置媒体访问控制地址表条目

通常，设备通过源MAC地址学习过程自动建立MAC地址表。

为了提高接口安全性，网络管理员可以手动在MAC地址表中添加特定的MAC地址条目，并将用户设备绑定到接口上，从而防止具有虚假身份的非法用户诈骗数据。

另外，如果需要丢弃指定源MAC地址或目的MAC地址的消息，可以配置黑洞MAC地址表条目。

1.全局配置媒体访问控制地址表条目

表1-1全局配置媒体访问控制地址表项目

操作

顺序

解释

进入系统视图

系统视图

-

全局配置媒体访问控制地址表条目

配置动态/静态媒体访问控制地址表条目

MAC-address { dynamic | static } MAC-address接口-接口类型-接口号vlanvlan-id

你必须从两者中选择一个

配置黑洞媒体访问控制地址表条目

MAC-address blackhole MAC-address VLAN VLAN-id

添加MAC地址表条目时，命令中接口参数指定的接口必须属于vlan参数指定的VLAN，并且必须提前创建VLAN，否则添加将失败。

2.接口配置媒体访问控制地址表条目

表1-2接口配置媒体访问控制地址表项目

操作

顺序

解释

进入系统视图

系统视图

-

进入第2层以太网端口和第2层聚合接口的视图

接口接口类型接口号

-

在接口下添加/修改媒体访问控制地址表条目

mac地址{动态|静态}mac地址vlanvlan-id

肯定地选择

添加MAC地址表条目时，当前接口必须属于命令中vlan参数指定的VLAN，并且必须提前创建VLAN，否则添加将失败。

1.1.5关闭媒体访问控制地址学习功能

有时候为了保证设备的安全，需要关闭MAC地址学习功能。危及设备安全的常见情况是黑客用大量不同源MAC地址的报文攻击设备，导致设备的MAC地址表资源耗尽，设备无法根据网络的变化更新MAC地址表。关闭MAC地址学习可以有效防止这种攻击。

1.关闭全局媒体访问控制地址学习功能

当全局MAC地址学习功能关闭时，所有接口的MAC地址学习功能也关闭。

表1-3关闭全局媒体访问控制地址学习功能

操作

顺序

解释

进入系统视图

系统视图

-

关闭全局MAC地址的学习功能

mac地址mac学习禁用

肯定地选择

默认情况下，全局媒体访问控制地址学习功能是打开的

关闭媒体访问控制地址学习功能后，学习到的媒体访问控制地址条目将继续有效，直到老化。

2.关闭接口的媒体访问控制地址学习功能

在启用全局MAC地址学习功能的前提下，用户可以关闭设备上单个接口或端口组的MAC地址学习功能。

表1-4关闭接口的MAC地址学习功能

操作

顺序

解释

进入系统视图

系统视图

-

打开全局媒体访问控制地址学习功能

撤消mac地址mac学习禁用

可选的

默认情况下，全局媒体访问控制地址学习功能是打开的

进入第2层以太网端口、第2层聚合接口或端口组视图

进入第2层以太网端口或第2层聚合接口视图

接口接口类型接口号

你必须从两者中选择一个

进入第2层以太网端口或第2层聚合接口视图后，以下配置仅在当前接口上生效；进入端口组视图后，以下配置将在端口组的所有接口上生效

进入端口组视图

端口-组手册端口-组-名称

关闭接口的媒体访问控制地址学习功能

mac地址mac学习禁用

肯定地选择

默认情况下，接口的媒体访问控制地址学习功能是打开的

l关闭MAC地址学习功能后，学习到的MAC地址条目将继续有效，直至老化。

与L端口组相关的配置请参考《第2层技术-以太网交换配置指南》中的“以太网端口”。

3.关闭VLAN的媒体访问控制地址学习功能

用户可以关闭设备上指定VLAN的媒体访问控制地址学习功能。

表1-5关闭VLAN的媒体访问控制地址学习功能

操作

顺序

解释

进入系统视图

系统视图

-

打开全局媒体访问控制地址学习功能

撤消mac地址mac学习禁用

可选的

默认情况下，全局媒体访问控制地址学习功能是打开的

进入VLAN视图

vlanvlan-id

-

关闭VLAN的媒体访问控制地址学习功能

mac地址mac学习禁用

肯定地选择

默认情况下，VLAN的媒体访问控制地址学习功能是打开的

关闭媒体访问控制地址学习功能后，学习到的媒体访问控制地址条目将继续有效，直到老化。

1.1.6配置动态媒体访问控制地址表条目的老化时间

当网络拓扑发生变化时，动态媒体访问控制地址条目不会及时自动更新。这样，由于设备无法获知新的MAC地址，用户流量无法正常转发。因此，需要配置动态MAC地址条目的老化时间。当超过设定的老化时间时，自动删除动态MAC地址表项，设备再次学习MAC地址，构建新的动态MAC地址表项。

配置合适的老化时间可以有效利用MAC地址老化功能。用户配置的老化时间过长或过短，可能会影响设备的运行性能:

l如果用户配置的老化时间过长，设备可能会保存很多过时的MAC地址表条目，从而耗尽MAC地址表资源，导致设备无法根据网络的变化更新MAC地址表。

l如果用户配置的老化时间过短，设备可能会删除有效的MAC地址条目，导致设备广播大量数据报文，影响设备的运行性能。

表1-6配置动态媒体访问控制地址表项的老化时间

操作

顺序

解释

进入系统视图

系统视图

-

配置动态媒体访问控制地址表条目的老化时间

mac地址计时器{ aging seconds | no-age }

可选的

默认情况下，媒体访问控制地址老化时间为300秒

l动态MAC地址表项的老化时间作用于所有接口，地址老化只作用于动态MAC地址表项。

l在相对稳定的网络中，如果长时间没有流量，所有动态MAC地址条目都会被删除，可能导致设备突然广播大量数据报文，被他人截获，造成安全隐患。此时，动态MAC地址条目的老化时间可以设置为不老化，以减少广播，增加网络稳定性和安全性。

1.1.7配置端口可以学习的最大媒体访问控制地址数量

通过配置第2层以太网端口或端口组可以获知的最大媒体访问控制地址数量，用户可以控制设备维护的媒体访问控制地址表中的条目数量。当接口学习的MAC地址数量达到配置的最大值时，接口将不再学习MAC地址。

表1-7配置接口可以获知的最大媒体访问控制地址数

操作

顺序

解释

进入系统视图

系统视图

-

进入第2层以太网端口或端口组视图

进入第2层以太网端口视图

接口接口类型接口号

你必须从两者中选择一个

进入第2层以太网端口视图后，以下配置仅在当前接口上生效；进入端口组视图后，以下配置将在端口组的所有接口上生效

进入端口组视图

端口-组手册端口-组-名称

配置接口可以学习的最大媒体访问控制地址数

mac地址max-mac-countcount

肯定地选择

默认情况下，未配置以太网端口/端口组可以学习的最大媒体访问控制地址数

第2层链路聚合端口不支持配置端口可以学习的最大媒体访问控制地址数量。

l当以太网端口配置为聚合组的成员端口时，如果在这些成员端口上配置了端口可以获知的最大MAC地址数，则不能选择成员端口。因此，请不要配置聚合组成员端口上的端口可以获知的最大MAC地址数量。

1.1.8媒体访问控制的典型配置示例

1.网络要求

l有一个用户主机Host A，它的MAC地址是000f-e235-dc71，它的VLAN是VLAN 1，它连接的设备接口是千兆以太网1/0/1。为了防止媒体访问控制地址攻击，在设备的媒体访问控制地址表中为用户主机添加一个静态条目。

还有一个用户主机B，它的媒体访问控制地址是000f-e235-abcd，它的VLAN是VLAN 1。由于用户主机曾经访问网络进行非法操作，为了避免这种情况再次发生，在设备中添加了一个黑洞MAC地址表条目，使得用户主机无法接收到消息。

l将设备动态MAC地址条目的老化时间配置为500秒。

2.网络图

3.配置步骤

#添加静态MAC地址表条目。

& ltSysname>。系统视图

mac地址静态000f-e235-dc71接口千兆以太网1/0/1 vlan 1

#添加一个黑洞MAC地址表条目。

MAC-address black hole 000 f-e235-ABCD VLAN 1

#将动态MAC地址表条目的老化时间配置为500秒。

mac地址计时器老化500

#检查以太网端口千兆以太网1/0/1上的MAC地址表信息。

显示mac地址接口千兆以太网1/0/1

ADDR州老化时间

000f-e235-dc71 1配置静态GigabitEthernet1/0/1 NOAGED

-找到1个mac地址-

#检查黑洞MAC地址表信息。

显示mac地址黑洞

ADDR州老化时间

000f-e235-abcd 1黑洞无观测不良效应

-找到1个mac地址-

#检查动态MAC地址表条目的老化时间。

显示mac地址老化时间

Mac地址老化时间:500秒