收藏
下载资源

交换机MAC地址表管理课件

上传人:s9****2 文档编号:567422686 上传时间:2024-07-20 格式:PPT 页数:24 大小:564KB
返回 下载 相关 举报
交换机MAC地址表管理课件_第1页
第1页 / 共24页
交换机MAC地址表管理课件_第2页
第2页 / 共24页
交换机MAC地址表管理课件_第3页
第3页 / 共24页
交换机MAC地址表管理课件_第4页
第4页 / 共24页
交换机MAC地址表管理课件_第5页
第5页 / 共24页
点击查看更多>>
资源描述

《交换机MAC地址表管理课件》由会员分享,可在线阅读,更多相关《交换机MAC地址表管理课件(24页珍藏版)》请在金锄头文库上搜索。

1、交换机MAC地址表管理 【引入案例引入案例】某学校网络最近经常掉线,网管人员通过网络监控发现网内有台计算机,不停地向网络中发送广播包,怀疑感染了病毒。经查证,此台计算机不是学校的计算机,属于非法接入。网管人员必须马上采取措施,阻止病毒进一步感染网络中的其它计算机,也防止此计算机再次通过相同端口偷偷接入单位网络。学校网络中还有一台网关服务器和一台网管服务器,数据量交换较大。网管人员希望能找到一个简单可行的办法,优化网络交换性能,增加网络管理的安全性。 【案例分析案例分析】想要对某台计算机在网络中进行永久隔离,可以禁用其IP地址,但倘若该计算机换了个IP地址,仍然能接入网络。因此,对计算机进行MA

2、C地址过滤,是一个相对彻底的隔离方法。基于服务器在网络中相对固定的特性,可以在其相连的交换机上手工添加网关服务器的静态MAC地址表项,使交换机通过相应的端口将数据报文单播发送到网关服务器,这样就能很大程度减少网络中目的地址为服务器地址的广播包,以节约带宽资源,保证网络畅通;对于网管服务器,可以将静态MAC地址和端口禁止学习MAC地址结合起来,保证与网管服务器相连的交换机以太网端口只能允许网管服务器接入,增加网络管理的安全性。 【基本原理基本原理】一、MAC地址和MAC地址表MAC(介质访问控制)地址是在网络通信用来识别主机的标识。交换机和集线器相比,最大的优势就在于交换机能根据MAC地址来判断

3、,决定帧该往何处转发。交换机的缓存中有一个MAC地址表,需要转发数据时,交换机会在地址表查询是否有与目的MAC地址对应的表项,如果有,交换机立即将数据报文往该表项中的转发端口发送;如果没有,交换机则会将数据报文以广播的形式发送到除了接收端口外的所有端口,尽最大能力保证目的主机接收到数据报文。因此,交换机地址表的构建和维护决定了数据转发的方向和效率。构建和维护MAC地址表项可以通过以下两种方式来进行:1、手工配置:这种方式构建的MAC地址表项属于静态MAC地址表项,完全由用户手工添加和删除,没有老化时间。这种方式适用于网络中比较固定的网络设备,可以减少网络中的广播包。用户还可以通过手工添加黑洞M

4、AC地址表项,当交换机接收到源MAC地址或者目的MAC地址与黑洞MAC地址的表项相符的数据报文时,交换机会立即将该报文丢弃。2、动态学习:这是交换机在工作中自动构建MAC地址表的方式,整个过程不需要人工干预。当交换机收到一个数据帧时,先在自己的MAC地址表中查找是否有该数据帧的源MAC地址,如果没有,则将该源MAC地址记录到自己的MAC地址表中通常情况下,MAC地址表中大多数的表项都是通过动态学习方式来逐渐构建起来的。二、MAC地址表的管理交换机的MAC地址表的容量是有限的,因此交换机采用老化机制来维护MAC地址表,以保证最大限度地利用地址表项资源。交换机在构建某条表项时,会相应地开启该表项的

5、老化定时器,如果在老化时间内,交换机始终没有收到该表项中的MAC地址的报文,交换机就会将该表项删除,失效的表项不会继续占用MAC地址表资源。这样,即使网络中的设备更换或者移除,交换机的MAC地址表始终能保持网络中最新的拓扑结构记录。合适的老化时间可以提高MAC地址表项资源的利用率,但过长或过短的老化时间,反而影响交换机的性能。如果老化时间过长,交换机中保存的MAC地址表项的数量过多会将地址表资源消耗完,网络中的拓扑变化就无法及时更新;如果老化时间过短,则有效的MAC地址表项会被交换机过早删除,从而降低交换机的转发效率。交换机还可以通过限制交换机在以太网端口学习MAC地址数量或者禁止指定VLAN

6、的MAC地址学习功能,来保证网络、VLAN中用户的稳定性和安全性,防止非法用户接入网络。 【命令介命令介绍】1、mac-address static | dynamic | blackhole mac-address interface interface-type interface-number vlan vlan-id undo mac-address mac-address-attribute 【用途】mac-address命令用来在MAC地址转发表中添加或修改地址表项。undo mac-address命令用来删除MAC地址表项。【视图】系统视图/以太网端口视图【参数】static:配

7、置静态MAC地址表项。dynamic:配置动态MAC地址表项。blackhole:配置黑洞MAC地址表项。mac-address:需要配置的MAC地址,形式为H-H-H。在配置时,用户可以省去MAC地址中每段开头的“0”,例如输入“f-e2-1”即表示输入的MAC地址为“000f-00e2-0001”。interface-type interface-number:端口类型和端口编号,表示对应该MAC地址的转发端口。vlan-id:指定的VLAN ID,取值范围为14094,但该VLAN必须已经创建。mac-address-attribute:表示要删除的MAC地址属性的字符串,取值见下表。

8、static | dynamic | blackhole interface interface-type interface-number删除指定端口上的静态、动态或黑洞MAC地址 static | dynamic | blackhole vlan vlan-id删除指定VLAN中的静态、动态或黑洞MAC地址 static | dynamic | blackhole mac-address interface interface-type interface-number vlan vlan-id删除指定的静态、动态或黑洞MAC地址interface interface-type inter

9、face-number删除指定端口上的所有MAC地址表项vlan vlan-id删除指定VLAN中的所有MAC地址表项mac-address interface interface-type interface-number vlan vlan-id删除指定MAC地址的表项【例1】在系统视图下,配置静态MAC地址表项,MAC地址为000f-e20f-0101,使用端口Ethernet1/0/1来转发目的为该地址的报文,端口Ethernet1/0/1处于VLAN 2中。 H3C mac-address static 000f-e20f-0101 interface Ethernet 1/0/1

10、vlan 2【例2】在以太网端口Ethernet1/0/1视图下,配置静态MAC地址表项,MAC地址为000f-e20f-0101,使用该端口来转发目的为该地址的报文,端口处于VLAN 2中。H3C- Ethernet 1/0/1 mac-address static 000f-e20f-0101 vlan 22、mac-address timer aging age | no-aging undo mac-address timer aging 【用途】mac-address timer命令用来设置动态MAC地址表项的老化时间。undo mac-address timer命令用来恢复动态MA

11、C地址表项老化时间为缺省值。缺省情况下,动态MAC地址表项的老化时间为300秒。【视图】系统视图【参数】aging age:动态MAC地址表项的老化时间,age的取值范围为101000000,单位为秒。no-aging:不老化。【例】在系统视图下,设置动态表项的老化时间为500秒。H3C mac-address timer aging 5003、mac-address max-mac-count countundo mac-address max-mac-count【用途】mac-address max-mac-count命令用来设置以太网端口最多可以学习到的MAC地址数。undo mac-a

12、ddress max-mac-count命令用来取消对以太网端口最多可以学习到的MAC地址数的限制。缺省情况下,没有配置对端口学习MAC地址数量的限制。【视图】以太网端口视图【参数】count:端口可以学习的最大MAC地址数,范围为08192,为0即表示不允许该端口学习MAC地址。【例】在以太网端口视图下,将以太网端口Ethernet1/0/1最多学习到的地址的数目设为500。H3C -Ethernet 1/0/1 mac-address max-mac-count 5004、mac-address max-mac-count 0undo mac-address max-mac-count【用

13、途】mac-address max-mac-count 0命令用来禁止交换机在当前VLAN下学习MAC地址,undo mac-address max-mac-count命令用来恢复允许在VLAN下学习MAC地址。缺省情况下,允许交换机的所有VLAN都可以学习MAC地址。【视图】VLAN视图【例】在VLAN视图下,禁止交换机在VLAN 2中学习MAC地址.H3C-vlan2 mac-address max-mac-count 05、display mac-address display-option 【用途】display mac-address命令用来显示MAC地址转发表的信息,包括MAC地址

14、所对应VLAN和以太网端口、地址状态(静态还是动态)、是否处在老化时间内等信息。【视图】任意视图【参数】display-option:表示可以有选择的显示部分MAC地址表信息,取值如下表所示:mac-address vlan vlan-id 显示指定的MAC地址信息 static | dynamic | blackhole interface interface-type interface-number vlan vlan-id count 显示动态、静态或黑洞MAC地址信息interface interface-type interface-number vlan vlan-id coun

15、t 显示指定端口中的所有MAC地址信息vlan vlan-id count 显示指定VLAN中的所有MAC地址信息count显示交换机MAC地址表项的总数量statistics显示交换机MAC地址表项的统计数据mac-address:MAC地址,形式为H-H-H。static:显示静态MAC地址表项。dynamic:显示动态MAC地址表项。blackhole:显示黑洞MAC地址表项。interface-type interface-number:显示指定端口上的MAC地址表信息,interface-type和interface-number分别表示端口类型和端口编号。vlan-id:显示指定V

16、LAN内的MAC地址表信息,vlan-id的取值范围为14094。count:在显示信息中仅显示MAC地址表的地址总数。statistics:以统计数据的形式显示当前交换机中的MAC地址表项信息。【例】查看本交换机所有MAC地址表的信息。H3C display mac-addressMAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)000f-e207-f2e0 1 Learned Ethernet1/0/17 AGING000f-e282-fc5a 1 Learned Ethernet1/0/15 AGING000f-e2d6-c031 1 Lear

17、ned Ethernet1/0/17 AGING000f-e2d6-c049 1 Learned Ethernet1/0/17 AGING - 4 mac address(es) found - 【解决方案解决方案】一、案例描述案例需求如下:1、交换机始终通过Ethernet1/0/1端口单播发送去往网关服务器的报文。2、交换机以太网端口Ethernet1/0/2只允许网管服务器接入。3、交换机不再转发源地址或目的地址为非法接入计算机MAC地址的数据报文。4、为了优化网络传输性能,交换机的MAC地址表项老化时间为500秒。主机MAC地址IP地址连接端口网关服务器0050-8d5b-402f10

18、.10.1.254/24Ethernet 1/0/1网管服务器0024-2305-6a6210.10.1.1/24Ethernet 1/0/2非法接入的计算机0014-222c-aa6910.10.1.2/24Ethernet 1/0/3二、拓扑结构 【实验设备】PC机4台、H3C系列交换机S3100-16C-EI【实施过程】一、登录交换机SwitchA,创建VLAN2,并将Ethernet1/0/1、Ethernet1/0/2、Ethernet1/0/3端口加入VLAN2。1、进入系统视图。system-view2、创建VLAN2。SwitchAvlan 23、进入VLAN2视图,把交换机端

19、口Ethernet1/0/1、Ethernet1/0/2口加入VLAN2。SwitchA -vlan2port Ethernet1/0/1 Ethernet1/0/2 Ethernet1/0/3SwitchA vlan2quit二、在交换机MAC地址表中添加网关服务器和网管服务器静态MAC地址。SwitchA mac-address static 0050-8d5b-402f interface Ethernet 1/0/1 vlan 2SwitchA mac-address static 0024-2305-6a62 interface Ethernet 1/0/2 vlan 2三、设置交换

20、机上动态MAC地址表项的老化时间为500秒。SwitchA mac-address timer aging 500四、将非法接入的计算机MAC地址在交换机MAC地址表中添加为黑洞MAC地址,交换机将不再转发源地址或目的地址为此MAC地址的数据报文。SwitchA mac-address blackhole 0014-222c-aa69 interface Ethernet 1/0/3 vlan 2五、禁止交换机以太网端口Ethernet 1/0/2禁止学习MAC地址,该端口只允许网管服务器接入。SwitchAinterface Ethernet 1/0/2SwitchA- Ethernet 1

21、/0/2 mac-address max-mac-count 0六、测试,并将结果记录到实验报告中。1、查看交换机MAC地址表项。SwitchAdisplay mac-address 2、在非法接入的计算机上使用ping命令测试其与网关服务器的连通性。源主机测试命令目的主机结果计算机1(非法接入)Ping网关服务器连通 不通3、在网管服务器上使用ping命令测试其与网关服务器的连通性;换一台计算机代替网管服务器接入交换机端口Ethernet 1/0/2,再测试该计算机与网关服务器的连通性,结果为不通。源主机测试命令目的主机结果网管服务器Ping网关服务器连通 不通计算机2Ping网关服务器连通 不通

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号