实验六 管理MAC地址转发表共35页

MAC地址管理专题编著：梁大干审核：钟敏中兴通讯数据用服部修改记录目录第1章MAC简介 (1)1.1MAC简介 (1)1.1.1 MAC地址表的构成及意义 (1)1.1.2 MAC地址的分类 (2)1.1.3 MAC地址表的建立与删除 (2)1.2设备与版本信息 (3)第2章配置MAC (4)2.1MAC配置思路 (4)2.2MAC配置命令 (4)2.2.1 设置MAC地址老化时间 (4)2.2.2 MAC地址固化 (5)2.2.3 端口绑定MAC地址 (6)2.2.4 使能端口MAC地址学习 (7)2.2.5 限制端口MAC地址数目 (7)2.2.6 端口MAC地址学习保护 (8)2.2.7 MAC地址过滤 (9)2.3配置注意事项 (10)第3章MAC配置实例 (11)3.1网络拓扑 (11)3.2配置步骤 (12)第4章MAC维护与诊断 (13)4.1MAC维护与诊断 (13)第1章MAC简介摘要：本章介绍MAC的原理及ZXR10系列交换机对MAC的支持情况。

1.1 MAC简介MAC（Media Access Control）地址是网络设备的硬件标识，交换机根据MAC地址进行报文转发。

MAC地址具有唯一性，这保证了报文的正确转发。

每个交换机都维护着一张MAC地址表。

在这张表中，MAC地址和交换机的端口一一对应。

当交换机收到数据帧时，根据MAC地址表来决定对该数据帧进行过滤还是转发到交换机的相应端口。

MAC地址表是交换机实现快速转发的基础和前提。

1.1.1 MAC地址表的构成及意义MAC地址表的表项由MAC地址和VLAN ID唯一标识，只要MAC地址和VLAN ID 部分相同，就认为是同一个表项。

ZXR10交换机MAC地址表的表项包含以下部分：1．MAC地址：如00D0.8756.95CA。

2．VLAN ID：如果某个端口被设置成属于多个VLAN，那么同一个MAC地址会对应多个VLAN ID。

实验手册：MAC地址泛洪的攻击和解决办法实验目的：1、了解MAC地址泛洪攻击的原理2、预防和解决交换机的MAC地址泛洪攻击交换机的MAC地址表空间是有限的，但是正常情况下都可以正常使用。

黑客可以通过大量虚假的MAC地址填充交换机MAC地址表，直到溢出为止。

让交换机无法正常学习MAC地址，进而转发所有数据都成了广播，等于变成了一个HUB。

要解决这个问题，我们需要做交换机的端口安全。

交换机的端口安全分为两种：1、限制交换机接口学习MAC地址的数量Switch(config-if)#switchport port-security 开启交换机的端口安全功能。

该端口模式必须是静态（access或trunk）Switch(config-if)#switchport port-security maximum 5 让该端口最多可以学习5个MAC地址，默认开启了端口安全功能以后，只能学习一个MAC地址Switch#show port-security，查看开启了端口安全功能的端口Switch#show port-security address，查看已经绑定使用的PC 的MAC地址一旦违反规定，会有三种惩罚情况：1、shutdown 默认把该接口直接关闭，并且发出报警日志2、protocol 丢包，不会再接收或转发任何数据3、restrict 丢包，并发送告警到SNMP报警Switch(config-if)#switchport port-security violation ? 可以通过该命令修改惩罚情况2、交换机的接口绑定主机的MAC地址可以对交换机的接口绑定PC机的MAC地址，只要PC机一连接到交换机，马上检查端口绑定的MAC地址，如果不匹配就会进入惩罚状态Switch(config-if)#switchport port-security mac-address 0003.E499.26D6 手动绑定交换机的MAC地址。

mac地址规范MAC地址是网卡的唯一标识符，用于在局域网中识别和路由数据包。

MAC地址由48位二进制数表示，通常以16进制数表示。

MAC地址的规范制定了一些规则和约定，以确保MAC地址的唯一性和可识别性。

1. MAC地址的格式：MAC地址由6个字节组成，格式为XX:XX:XX:XX:XX:XX。

其中，每个字节由2个十六进制数表示，使用冒号（：）进行分隔。

2. 第一个字节的规范：第一个字节的最高位被用作多播（multicast）地址的标志，如果最高位为1，则表示该MAC地址是一个多播地址。

否则，表示是一个单播（unicast）地址。

此外，第一个字节还有一些特定的取值范围，如：- 00-05-69：美国思科公司- 08-00-27：Oracle公司3. 唯一性和全球性：MAC地址在全球范围内必须是唯一的，以确保在局域网中不会出现冲突。

IEEE（电气和电子工程师协会）负责颁发MAC 地址的唯一标识符。

每个MAC地址的前三个字节是由IEEE 进行分配的，称为组织唯一标识符（OUI）。

其他的三个字节由具体设备制造商分配。

4. MAC地址的修改：通过软件手段可以修改MAC地址，这被称为MAC地址伪装。

但是，通常情况下，网卡的MAC地址是固定的，无法修改。

只有某些特殊的硬件或软件可以实现MAC地址的修改。

5. MAC地址过滤：在一些网络设备上，可以启用MAC地址过滤功能，只允许特定的MAC地址通过。

这可以增加网络的安全性，防止未经授权的设备访问网络。

6. MAC地址和IP地址的对应：在局域网中，MAC地址和IP地址是相关联的。

每个局域网设备都有一个唯一的MAC地址和IP地址。

通过ARP（地址解析协议），可以将IP地址与对应的MAC地址进行映射和识别。

7. MAC地址的用途：MAC地址在局域网中有着重要的作用，主要用于数据包的路由和MAC地址表的建立。

路由器通过查找目标MAC地址的方式将数据包发送给目标设备。

交换机通过学习MAC地址和端口的对应关系，建立MAC地址表，实现数据包的转发。

MAC地址表（交换机）、ARP缓存表以及路由表（路由器）⼀、MAC地址表详解 说到MAC地址表，就不得不说⼀下交换机的⼯作原理了，因为交换机是根据MAC地址表转发数据帧的。

在交换机中有⼀张记录着局域⽹主机MAC地址与交换机接⼝的对应关系的表，即为MAC地址表，交换机就是根据这张表负责将数据帧传输到指定的主机上的。

交换机的⼯作原理 交换机在接收到数据帧以后，⾸先会记录数据帧中的源MAC地址和对应的接⼝到MAC表中，接着会检查⾃⼰的MAC表中是否有数据帧中⽬标MAC地址的信息，如果有则会根据MAC表中记录的对应接⼝将数据帧发送出去(也就是单播)，如果没有，则会将该数据帧从⾮接受接⼝发送出去(也就是⼴播)。

下图为数据经过单交换机的传输过程。

单交换机数据交换⽰意图 1)主机A会将⼀个源MAC地址为⾃⼰，⽬标MAC地址为主机B的数据帧发送给交换机。

2)交换机收到此数据帧后，⾸先将数据帧中的源MAC地址和对应的接⼝(接⼝为f 0/1) 记录到MAC地址表中。

3)然后交换机会检查⾃⼰的MAC地址表中是否有数据帧中的⽬标MAC地址的信息，如果有，则从MAC地址表中记录的接⼝发送出去，如果没有，则会将此数据帧从⾮接收接⼝的所有接⼝发送出去(也就是除了f 0/1接⼝)。

4)这时，局域⽹的所有主机都会收到此数据帧，但是只有主机B收到此数据帧时会响应这个⼴播，并回应⼀个数据帧，此数据帧中包括主机B的MAC地址。

如果没有主机相应这个⼴播，则会继续向下⼀个交换机或路由器传播。

5)当交换机收到主机B回应的数据帧后，也会记录数据帧中的源MAC地址(也就是主机B的MAC地址)，这时，再当主机A和主机B通信时，交换机根据MAC地址表中的记录，实现单播了。

下图为经多个交换机进⾏数据传播的过程。

经多个交换机数据传播的过程 1)主机A将⼀个源MAC地址为⾃⼰、⽬标MAC地址主机C的数据帧发送给交换机。

2)交换机1收到此数据帧后，会解析源MAC地址，并检查MAC地址表，发现没有⽬标MAC地址的记录，则会将数据帧⼴播出去，主机B和交换机2都会收到此数据帧。

实验四MAC 地址表管理1.实验原理一、MAC 地址表简介为了快速转发报文，以太网交换机需要维护MAC 地址表。

MAC 地址表的表项包含了与该以太网交换机相连的设备的MAC 地址、与此设备相连的以太网交换机的端口号以及所属的VLAN ID。

MAC 地址表中的表项包括静态表项和动态表项：静态表项是由用户配置的，不会被老化。

动态表项可以由用户配置或由以太网交换机学习得来，动态表项会被老化（当设置了该表项的老化时间数值时该表项会被老化掉，当设置老化时间为no-aging 时该表项不会老化掉）。

以太网交换机学习MAC地址的方法如图1-1所示：如果从某端口（假设为端口1）收到一个数据帧，以太网交换机就会分析该数据帧的源MAC地址（假设为MAC-SOURCE）并认为目的MAC地址为MAC-SOURCE的报文可以由端口1 转发；如果MAC地址表中已经包含MAC-SOURCE，以太网交换机将对该表项进行更新；如果MAC地址表中尚未包含MAC-SOURCE，以太网交换机则将这个新MAC地址以及该MAC地址对应的端口1 作为一个新的表项加入到MAC地址表中。

对于目的MAC 地址能够在MAC 地址表中找到的报文，以太网交换机会直接使用硬件进行转发；对于目的MAC 地址不能在MAC 地址表中找到的报文，以太网交换机对报文采用广播方式进行转发。

广播报文发出后，会出现下面两种情况：报文到达了目的MAC 地址对应的网络设备。

目的网络设备将应答此广播报文，应答报文中包含了此设备的MAC 地址。

交换机通过地址学习将新的MAC 地址加入到MAC 地址表中。

去往同一目的MAC 地址的后续报文，就可以利用该新增的MAC 地址表项直接进行转发了。

报文无法到达目的MAC 地址对应的网络设备。

由于不会收到目的网络设备的应答报文，交换机将无法学习到目的设备的MAC 地址。

二、设置MAC 地址表项管理员根据实际情况可以手工添加、修改或删除MAC 地址表中的表项。

实验六交换机的VLAN配置-MAC地址绑定端口实验目的：1、了解什么是交换机的MAC绑定功能；2、熟练掌握MAC与端口绑定的静态方式。

实验环境：Packet tracer软件实验内容：1、把PC机的MAC地址绑定到交换机某个端口上基本原理：考虑到交换机使用的安全性，可以使用端口绑定技术，防止陌生计算机接入，避免了人为随意调换交换机端口。

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。

这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。

而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。

另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样, VLAN就必须不停地配置。

实验步骤：一、把MAC地址绑定到交换机的端口PC-PT PC-PTPCI PC2实验拓扑如上图。

PC1: IP : 192.168.3.3 MAC 地址：000C.7611.8157PC2 IP : 192.16832 MAC 地址：000C.7611.817F注：添加主机时，默认有一个MA地址，在config选项卡中能看到，或者在运行里输入命令ipconfig /all 查看。

建议用默认的MA（地址。

1 •启动交换机，并进入到特权模式Switch〉enableSwitch#2 •恢复到厂商设置Switch# erase startup-config 擦除配置Switch# reloadSwitch> enswitch# show vlan-ini *1郦⑥saw21-1刊畐劇VUJ 3 Of ntStatus.FortsIIrFujLi■scti ver-aO/Z. r^/3P F 虫IEFd 碣 rjrb. MI /'< K <I /H MF FJI /LC F 讪门1上 FWl? Fdi/14. fW 占3 LT F1D/J4, F 曲许FS 吃1W 讪空.切ML,IWIII 3 ■.- vil iHC b ijn: TIJf^LcI i I E IH 1 ■ il« I adJ L■L - bi ・ i-ihi/dj.1D3ac t^1mxz'qfVIM Type IUDfl TV FtfK&EEti 您 ftptri^A匸 TrwicL InniZ1血戈1UJLU1 JSoQ -■■ ■U 0IDT fdd. inirn^-* - ■- D Q tU J3 5101C03 1500 -- - --0 0 10C4 Edfivt 101LU4 】划-- - 1 MH « ■0 a 1005 trn«t 101DD5IEEE -— —iLi—Dn庁撐：■； 95 -3创HP :a:APSrjuN3. pc1插入交换机第5 口，pc2插入交换机第2口。