交换机MAC地址表管理PPT课件.ppt

交换机MAC地址表管理 2020 3 20 1 引入案例 某学校网络最近经常掉线 网管人员通过网络监控发现网内有台计算机 不停地向网络中发送广播包 怀疑感染了病毒 经查证 此台计算机不是学校的计算机 属于非法接入 网管人员必须马上采取措施 阻止病毒进一步感染网络中的其它计算机 也防止此计算机再次通过相同端口偷偷接入单位网络 学校网络中还有一台网关服务器和一台网管服务器 数据量交换较大 网管人员希望能找到一个简单可行的办法 优化网络交换性能 增加网络管理的安全性 2020 3 20 2 案例分析 想要对某台计算机在网络中进行永久隔离 可以禁用其IP地址 但倘若该计算机换了个IP地址 仍然能接入网络 因此 对计算机进行MAC地址过滤 是一个相对彻底的隔离方法 基于服务器在网络中相对固定的特性 可以在其相连的交换机上手工添加网关服务器的静态MAC地址表项 使交换机通过相应的端口将数据报文单播发送到网关服务器 这样就能很大程度减少网络中目的地址为服务器地址的广播包 以节约带宽资源 保证网络畅通 对于网管服务器 可以将静态MAC地址和端口禁止学习MAC地址结合起来 保证与网管服务器相连的交换机以太网端口只能允许网管服务器接入 增加网络管理的安全性 2020 3 20 3 基本原理 一 MAC地址和MAC地址表MAC 介质访问控制 地址是在网络通信用来识别主机的标识 交换机和集线器相比 最大的优势就在于交换机能根据MAC地址来判断 决定帧该往何处转发 交换机的缓存中有一个MAC地址表 需要转发数据时 交换机会在地址表查询是否有与目的MAC地址对应的表项 如果有 交换机立即将数据报文往该表项中的转发端口发送 如果没有 交换机则会将数据报文以广播的形式发送到除了接收端口外的所有端口 尽最大能力保证目的主机接收到数据报文 因此 交换机地址表的构建和维护决定了数据转发的方向和效率 2020 3 20 4 构建和维护MAC地址表项可以通过以下两种方式来进行 1 手工配置 这种方式构建的MAC地址表项属于静态MAC地址表项 完全由用户手工添加和删除 没有老化时间 这种方式适用于网络中比较固定的网络设备 可以减少网络中的广播包 用户还可以通过手工添加黑洞MAC地址表项 当交换机接收到源MAC地址或者目的MAC地址与黑洞MAC地址的表项相符的数据报文时 交换机会立即将该报文丢弃 2 动态学习 这是交换机在工作中自动构建MAC地址表的方式 整个过程不需要人工干预 当交换机收到一个数据帧时 先在自己的MAC地址表中查找是否有该数据帧的源MAC地址 如果没有 则将该源MAC地址记录到自己的MAC地址表中通常情况下 MAC地址表中大多数的表项都是通过动态学习方式来逐渐构建起来的 2020 3 20 5 2020 3 20 6 二 MAC地址表的管理交换机的MAC地址表的容量是有限的 因此交换机采用老化机制来维护MAC地址表 以保证最大限度地利用地址表项资源 交换机在构建某条表项时 会相应地开启该表项的老化定时器 如果在老化时间内 交换机始终没有收到该表项中的MAC地址的报文 交换机就会将该表项删除 失效的表项不会继续占用MAC地址表资源 这样 即使网络中的设备更换或者移除 交换机的MAC地址表始终能保持网络中最新的拓扑结构记录 合适的老化时间可以提高MAC地址表项资源的利用率 但过长或过短的老化时间 反而影响交换机的性能 如果老化时间过长 交换机中保存的MAC地址表项的数量过多会将地址表资源消耗完 网络中的拓扑变化就无法及时更新 如果老化时间过短 则有效的MAC地址表项会被交换机过早删除 从而降低交换机的转发效率 2020 3 20 7 交换机还可以通过限制交换机在以太网端口学习MAC地址数量或者禁止指定VLAN的MAC地址学习功能 来保证网络 VLAN中用户的稳定性和安全性 防止非法用户接入网络 命令介绍 1 mac address static dynamic blackhole mac address interfaceinterface typeinterface number vlanvlan idundomac address mac address attribute 用途 mac address命令用来在MAC地址转发表中添加或修改地址表项 undomac address命令用来删除MAC地址表项 视图 系统视图 以太网端口视图 2020 3 20 8 参数 static 配置静态MAC地址表项 dynamic 配置动态MAC地址表项 blackhole 配置黑洞MAC地址表项 mac address 需要配置的MAC地址 形式为H H H 在配置时 用户可以省去MAC地址中每段开头的 0 例如输入 f e2 1 即表示输入的MAC地址为 000f 00e2 0001 interface typeinterface number 端口类型和端口编号 表示对应该MAC地址的转发端口 vlan id 指定的VLANID 取值范围为1 4094 但该VLAN必须已经创建 mac address attribute 表示要删除的MAC地址属性的字符串 取值见下表 2020 3 20 9 2020 3 20 10 例1 在系统视图下 配置静态MAC地址表项 MAC地址为000f e20f 0101 使用端口Ethernet1 0 1来转发目的为该地址的报文 端口Ethernet1 0 1处于VLAN2中 H3C mac addressstatic000f e20f 0101interfaceEthernet1 0 1vlan2 例2 在以太网端口Ethernet1 0 1视图下 配置静态MAC地址表项 MAC地址为000f e20f 0101 使用该端口来转发目的为该地址的报文 端口处于VLAN2中 H3C Ethernet1 0 1 mac addressstatic000f e20f 0101vlan22 mac addresstimer agingage no aging undomac addresstimeraging 2020 3 20 11 用途 mac addresstimer命令用来设置动态MAC地址表项的老化时间 undomac addresstimer命令用来恢复动态MAC地址表项老化时间为缺省值 缺省情况下 动态MAC地址表项的老化时间为300秒 视图 系统视图 参数 agingage 动态MAC地址表项的老化时间 age的取值范围为10 1000000 单位为秒 no aging 不老化 例 在系统视图下 设置动态表项的老化时间为500秒 H3C mac addresstimeraging500 2020 3 20 12 3 mac addressmax mac countcountundomac addressmax mac count 用途 mac addressmax mac count命令用来设置以太网端口最多可以学习到的MAC地址数 undomac addressmax mac count命令用来取消对以太网端口最多可以学习到的MAC地址数的限制 缺省情况下 没有配置对端口学习MAC地址数量的限制 视图 以太网端口视图 参数 count 端口可以学习的最大MAC地址数 范围为0 8192 为0即表示不允许该端口学习MAC地址 例 在以太网端口视图下 将以太网端口Ethernet1 0 1最多学习到的地址的数目设为500 2020 3 20 13 H3C Ethernet1 0 1 mac addressmax mac count5004 mac addressmax mac count0undomac addressmax mac count 用途 mac addressmax mac count0命令用来禁止交换机在当前VLAN下学习MAC地址 undomac addressmax mac count命令用来恢复允许在VLAN下学习MAC地址 缺省情况下 允许交换机的所有VLAN都可以学习MAC地址 视图 VLAN视图 例 在VLAN视图下 禁止交换机在VLAN2中学习MAC地址 H3C vlan2 mac addressmax mac count0 2020 3 20 14 5 displaymac address display option 用途 displaymac address命令用来显示MAC地址转发表的信息 包括MAC地址所对应VLAN和以太网端口 地址状态 静态还是动态 是否处在老化时间内等信息 视图 任意视图 参数 display option 表示可以有选择的显示部分MAC地址表信息 取值如下表所示 2020 3 20 15 2020 3 20 16 mac address MAC地址 形式为H H H static 显示静态MAC地址表项 dynamic 显示动态MAC地址表项 blackhole 显示黑洞MAC地址表项 interface typeinterface number 显示指定端口上的MAC地址表信息 interface type和interface number分别表示端口类型和端口编号 vlan id 显示指定VLAN内的MAC地址表信息 vlan id的取值范围为1 4094 count 在显示信息中仅显示MAC地址表的地址总数 statistics 以统计数据的形式显示当前交换机中的MAC地址表项信息 2020 3 20 17 例 查看本交换机所有MAC地址表的信息 H3C displaymac addressMACADDRVLANIDSTATEPORTINDEXAGINGTIME s 000f e207 f2e01LearnedEthernet1 0 17AGING000f e282 fc5a1LearnedEthernet1 0 15AGING000f e2d6 c0311LearnedEthernet1 0 17AGING000f e2d6 c0491LearnedEthernet1 0 17AGING 4macaddress es found 解决方案 一 案例描述案例需求如下 1 交换机始终通过Ethernet1 0 1端口单播发送去往网关服务器的报文 2 交换机以太网端口Ethernet1 0 2只允许网管服务器接入 2020 3 20 18 3 交换机不再转发源地址或目的地址为非法接入计算机MAC地址的数据报文 4 为了优化网络传输性能 交换机的MAC地址表项老化时间为500秒 2020 3 20 19 二 拓扑结构 2020 3 20 20 实验设备 PC机4台 H3C系列交换机S3100 16C EI 实施过程 一 登录交换机SwitchA 创建VLAN2 并将Ethernet1 0 1 Ethernet1 0 2 Ethernet1 0 3端口加入VLAN2 1 进入系统视图 system view2 创建VLAN2 SwitchA vlan23 进入VLAN2视图 把交换机端口Ethernet1 0 1 Ethernet1 0 2口加入VLAN2 SwitchA vlan2 portEthernet1 0 1Ethernet1 0 2Ethernet1 0 3 SwitchA vlan2 quit 2020 3 20 21 二 在交换机MAC地址表中添加网关服务器和网管服务器静态MAC地址 SwitchA mac addressstatic0050 8d5b 402finterfaceEthernet1 0 1vlan2 SwitchA mac addressstatic0024 2305 6a62interfaceEthernet1 0 2vlan2三 设置交换机上动态MAC地址表项的老化时间为500秒 SwitchA mac addresstimeraging500四 将非法接入的计算机MAC地址在交换机MAC地址表中添加为黑洞MAC地址 交换机将不再转发源地址或目的地址为此MAC地址的数据报文 SwitchA mac addressblackhole0014 222c aa69interfaceEthernet1 0 3vlan2 2020 3 20 22 五 禁止交换机以太网端口Ethernet1 0 2禁止学习MAC地址 该端口只允许网管服务器接入 SwitchA inter