MAC地址漂移概述

MAC地址漂移是指交換機上一個VLAN內有兩個端口學習到同一個MAC地址，后學習到的MAC地址表項覆蓋原MAC地址表項的現(xiàn)象。

當一個MAC地址在兩個端口之間頻繁發(fā)生遷移時，即會產生MAC地址漂移現(xiàn)象。

正常情況下，網絡中不會在短時間內出現(xiàn)大量MAC地址漂移的情況。出現(xiàn)這種現(xiàn)象一般都意味著網絡中存在環(huán)路，或者存在網絡攻擊行為。

防止MAC地址漂移

如果是環(huán)路引發(fā)MAC地址漂移，治本的方法是部署防環(huán)技術，例如STP，消除二層環(huán)路。如果由于網絡攻擊等其他原因引起，則可使用如下MAC地址防漂移特性：

1.配置接口MAC地址學習優(yōu)先級

當MAC地址在交換機的兩個接口之間發(fā)生漂移時，可以將其中一個接口的MAC地址學習優(yōu)先級提高。高優(yōu)先級的接口學習到的MAC地址表項將覆蓋低優(yōu)先級接口學習到的MAC地址表項。

2.配置不允許相同優(yōu)先級接口MAC地址漂移

當偽造網絡設備所連接口的MAC地址優(yōu)先級與安全的網絡設備相同時，后學習到的偽造網絡設備MAC地址表項不會覆蓋之前正確的表項。

• 缺省時接口MAC地址學習的優(yōu)先級均為0，數(shù)值越大優(yōu)先級越高。當同一個MAC地址被兩個接口學習到后，接口MAC地址學習優(yōu)先級高的會被保留，MAC地址學習優(yōu)先級低的被覆蓋。
• 在配置不允許相同優(yōu)先級接口MAC地址漂移時，如果安全網絡設備下電，則交換機仍會學習到偽造網絡設備的MAC地址，當網絡設備再次上電時將無法學習到正確的MAC地址。因此該特性需謹慎使用，如果交換機的接口連接的網絡設備是服務器，當服務器下電后，另外的接口學習到與服務器相同的MAC地址，當服務器再次上電后就不能學習到正確的MAC地址。

MAC地址漂移檢測

交換機支持MAC地址漂移檢測機制，分為以下兩種方式：

(1)基于VLAN的MAC地址漂移檢測：

• 配置VLAN的MAC地址漂移檢測功能可以檢測指定VLAN下的所有的MAC地址是否發(fā)生漂移。
• 當MAC地址發(fā)生漂移后，可以配置指定的動作，例如告警、阻斷接口或阻斷MAC地址。

(2)全局MAC地址漂移檢測

• 該功能可以檢測設備上的所有的MAC地址是否發(fā)生了漂移。
• 若發(fā)生漂移，設備會上報告警到網管系統(tǒng)。
• 用戶也可以指定發(fā)生漂移后的處理動作，例如將接口關閉或退出VLAN。

基于VLAN的MAC地址漂移檢測

在配置基于VLAN的MAC地址漂移檢測功能后，如果MAC地址發(fā)生漂移時，則可根據需求配置接口做出的動作有以下三種：

• 發(fā)送告警，當檢測到MAC地址發(fā)生漂移時只給網管發(fā)送告警。
• 接口阻斷，當檢測到MAC地址發(fā)生漂移時，根據設置的阻塞時間對接口進行阻塞，并關閉接口收發(fā)報文的能力。
• MAC地址阻斷，當檢測到MAC地址發(fā)生漂移時，只阻塞當前MAC地址，而不對物理接口進行阻塞，當前接口下的其他MAC的通信不受影響。

當配置接口阻塞時：

• 檢測到VLAN2內產生MAC地址漂移時，將產生漂移后的接口直接阻塞。
• 接口將被阻塞10秒（該時長使用block-time關鍵字指定），接口被阻塞時是無法正常收發(fā)數(shù)據的。
• 10秒之后接口會被放開并重新進行檢測，此時該接口可以正常收發(fā)數(shù)據，如果20秒內沒有再檢測到MAC地址漂移，則接口的阻塞將被徹底解除；而如果20秒內再次檢測到MAC地址漂移，則再次將該接口阻塞，如此重復2次（該次數(shù)使用retry-times關鍵字指定），如果交換機依然能檢測到該接口發(fā)生MAC地址漂移，則永久阻塞該接口。

全局MAC地址漂移檢測

當交換機檢測到MAC地址漂移，在缺省情況下，它只是簡單地上報告警，并不會采取其他動作。在實際網絡部署中，可以根據網絡需求，對檢測到MAC地址漂移之后定義以下動作：

• error-down：當配置了MAC地址漂移檢測的端口檢測到有MAC地址漂移時，將對應接口狀態(tài)置為error-down，不再轉發(fā)數(shù)據。
• quit-vlan：當配置了MAC地址漂移檢測的端口檢測到有MAC地址漂移時，將退出當前接口所屬的VLAN。

• 華為交換機默認開啟全局MAC地址漂移檢測功能，因此缺省時交換機便會對設備上的所有VLAN進行MAC地址漂移檢測。
• 在某些場景下，需要對某些VLAN不進行MAC地址漂移檢測，可以通過配置MAC地址漂移檢測的VLAN白名單來實現(xiàn)。
• 如果接口由于發(fā)生了MAC地址漂移從而被設置為Error-Down，默認情況下是不會自動恢復的。
• 如果希望Error-Down的接口能夠自動恢復，在系統(tǒng)視圖下配置如下命令：

error-down auto-recovery cause mac-address-flapping interval time-value

• 如果接口由于發(fā)生了MAC地址漂移，被設置為離開VLAN，如要實現(xiàn)接口自動恢復，可以在系統(tǒng)視圖下配置如下命令：

mac-address flapping quit-vlan recover-time time-value

MAC地址漂移配置命令介紹 

(1)配置接口學習MAC地址的優(yōu)先級：

[Huawei-GigabitEthernet0/0/1] mac-learning priority priority-id

缺省情況下，接口學習MAC地址的優(yōu)先級為0，數(shù)值越大優(yōu)先級越高。

(2)配置禁止MAC地址漂移時報文的處理動作為丟棄：

[Huawei-GigabitEthernet0/0/1] mac-learning priority flapping-defend action discard

缺省情況下，禁止MAC地址漂移時報文的處理動作是轉發(fā)。

(3)配置不允許相同優(yōu)先級的接口發(fā)生MAC地址漂移：

[Huawei] undo mac-learning priority priority-id allow-flapping

缺省情況下，允許相同優(yōu)先級的接口發(fā)生MAC地址漂移。

(4)配置MAC地址漂移檢測功能。

[Huawei-vlan2] mac-address flapping detection

缺省情況下，已經配置了對交換機上所有VLAN進行MAC地址漂移檢測的功能。

(5)(可選）配置MAC地址漂移檢測的VLAN白名單：

[Huawei] mac-address flapping detection exclude vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

缺省情況下，沒有配置MAC地址漂移檢測的VLAN白名單。

”

(6)（可選）配置發(fā)生漂移后接口的處理動作：

[Huawei-GigabitEthernet0/0/1] mac-address flapping action { quit-vlan | error-down }

缺省情況下，對超過MAC地址學習數(shù)限制的報文采取丟棄動作。

(7)（可選）配置MAC地址漂移表項的老化時間：

[Huawei] mac-address flapping aging-time aging-time

缺省情況下，MAC地址漂移表項的老化時間為300秒。

(8) 配置MAC地址漂移檢測功能：

[Huawei-vlan2] loop-detect eth-loop { [ block-mac ] block-time block-time retry-times retry-times | alarm-only }

MAC地址漂移配置舉例

實驗介紹：

• 網絡基礎配置已完成，Switch3與Switch4之間誤接網線導致網絡出現(xiàn)環(huán)路；
• 在Switch1的接口GE0/0/1上配置MAC地址防漂移功能，防止被非法用戶攻擊；
• 在Switch2上配置MAC地址漂移檢測功能，判斷網絡中存在的環(huán)路，排除故障。

(1)在Switch1與Server相連的接口GE0/0/1上配置MAC地址學習優(yōu)先級高于其他接口，此優(yōu)先級默認值為0。

[Switch1] interface GigabitEthernet 0/0/1
[Switch1-GigabitEthernet 0/0/1] mac-leaning priority 3

在Switch2上配置MAC地址漂移檢測功能，并配置接口MAC地址漂移后的處理動作：

[Switch2] mac-address flapping detection
[Switch2] mac-address flapping aging-time 500
[Switch2-GigabitEthernet0/0/1] mac-address flapping action error-down
[Switch2-GigabitEthernet0/0/2] mac-address flapping action error-down
[Switch2] error-down auto-recovery cause mac-address-flapping interval 500

• 當Switch3與Switch4之間誤連接之后，Switch2的接口GE0/0/1的MAC地址漂移到接口GE0/0/2后，觸發(fā)接口error-down，接口GE0/0/2關閉。
• 使用display mac-address flapping record可查看到漂移記錄。

配置驗證配置完成后，當Switch2的接口GE0/0/1的MAC地址漂移到接口GE0/0/2后，接口GE0/0/2關閉；使用display mac-address flapping record可查看到漂移記錄。

[Switch2] display mac-address flapping record
 S  : start time                                                                
 E  : end time                                                                  
(Q) : quit vlan                                                                 
(D) : error down 
---------------------------------------------------------------------------------------------------
Move-Time                 VLAN MAC-Address     Original-Port    Move-Ports   MoveNum
---------------------------------------------------------------------------------------------------
S:2020-06-22 17:22:36     1    5489-9815-662b  GE0/0/1         GE0/0/2(D)   83
E:2020-06-22 17:22:44
---------------------------------------------------------------------------------------------------
Total items on slot 0: 1