配置MAC地址表

MAC地址表特性配置目录第1章配置MAC地址 (1)1.1 MAC地址配置任务列表 (1)1.2 MAC地址配置任务 (1)1.2.1 配置静态MAC地址 (1)1.2.2 配置MAC地址老化时间 (1)1.2.3 配置VLAN共享MAC地址 (2)1.2.4 显示MAC地址表 (2)1.2.5 清除动态MAC地址 (2)第1章配置MAC地址1.1 MAC地址配置任务列表配置静态MAC地址配置MAC地址老化时间配置VLAN共享MAC地址显示MAC地址表清除动态MAC地址1.2 MAC地址配置任务1.2.1 配置静态MAC地址静态MAC地址表项指的是那些不能够被交换机老化掉的MAC地址表项，它只能被人工的删除掉。

根据交换机使用过程中的实际需要，可以添加和删除静态MAC地址。

进入特权模式下按下列步骤来添加和删除一个静态MAC地址。

命令目的configure 进入全局配置模式[no] mac address-table static mac-addr vlan vlan-id interface interface-id 添加/删除一个静态MAC地址表项。

mac-addr为MAC地址；vlan-id为VLAN号，有效范围1~4094 ；interface-id为端口名称。

exit 退回到管理模式。

write 保存配置。

1.2.2 配置MAC地址老化时间当一个动态的MAC地址在指定的老化时间内没有被使用时，交换机将把该MAC地址从MAC地址表中删除。

交换机MAC地址的老化时间可以根据需要进行配置，默认的老化时间为300秒。

进入特权模式下按下列步骤来配置MAC地址的老化时间。

命令目的configure进入全局配置模式。

mac address-table aging-time [0 | 13-1000000]配置MAC 地址的老化时间。

0表示MAC 地址不老化 ；13－1000000以秒为单位的MAC 地址老化时间。

1.14 MAC地址认证典型配置举例1.14.1 本地MAC地址认证1. 组网需求如图1-2所示，某子网的用户主机与设备的端口GigabitEthernet2/0/1相连接。

∙设备的管理者希望在端口GigabitEthernet2/0/1上对用户接入进行MAC地址认证，以控制它们对Internet的访问。

∙要求设备每隔180秒就对用户是否下线进行检测；并且当用户认证失败时，需等待180秒后才能对用户再次发起认证。

∙所有用户都属于ISP域bbb，认证时使用本地认证的方式。

∙使用用户的MAC地址作用户名和密码，其中MAC地址带连字符、字母小写。

2. 组网图图1-2 启动MAC地址认证对接入用户进行本地认证3. 配置步骤# 添加网络接入类本地接入用户。

本例中添加Host A的本地用户，用户名和密码均为Host A的MAC地址00-e0-fc-12-34-56，服务类型为lan-access。

<Device> system-view[Device] local-user 00-e0-fc-12-34-56 class network[Device-luser-network-00-e0-fc-12-34-56] password simple 00-e0-fc-12-34-56[Device-luser-network-00-e0-fc-12-34-56] service-type lan-access[Device-luser-network-00-e0-fc-12-34-56] quit# 配置ISP域，使用本地认证方法。

[Device] domain bbb[Device-isp-bbb] authentication lan-access local[Device-isp-bbb] quit# 开启端口GigabitEthernet2/0/1的MAC地址认证。

[Device] interface gigabitethernet 2/0/1[Device-Gigabitethernet2/0/1] mac-authentication[Device-Gigabitethernet2/0/1] quit# 配置MAC地址认证用户所使用的ISP域。

MAC地址表配置与绑定MAC地址表分类---静态MAC地址表项由⽤户⼿⼯配置，表项不⽼化；---⿊洞MAC地址表项包括源⿊洞MAC地址表项和⽬的⿊洞MAC地址表项，⽤于丢弃含有特定源MAC地址或⽬的MAC地址的报⽂（例如，出于安全考虑，可以屏蔽某个⽤户接收报⽂），由⽤户⼿⼯配置，表项不⽼化；---动态MAC地址表项包括⽤户配置的以及设备通过源MAC地址学习得来的，表项有⽼化时间。

1、增加⼀个静态MAC地址表项。

system-view[Sysname] mac-address static 000f-e235-dc71 interface ten-gigabitethernet 1/0/1 vlan 12、增加⼀个⽬的⿊洞MAC地址表项。

[Sysname] mac-address blackhole 000f-e235-abcd vlan 13、配置动态MAC地址表项的⽼化时间为500秒。

[Sysname] mac-address timer aging 5004、查看以太⽹接⼝Ten-GigabitEthernet1/0/1上的MAC地址表信息。

[Sysname] display mac-address interface ten-gigabitethernet 1/0/1MAC Address VLAN ID State Port Aging000f-e235-dc71 1 Static XGE1/0/1 N5、查看⽬的⿊洞MAC地址表信息。

[Sysname] display mac-address blackholeMAC Address VLAN ID State Port Aging000f-e235-abcd 1 Blackhole N/A N6、查看动态MAC地址表项的⽼化时间。

[Sysname] display mac-address aging-timeMAC address aging time: 500s。

MAC地址表（交换机）、ARP缓存表以及路由表（路由器）⼀、MAC地址表详解 说到MAC地址表，就不得不说⼀下交换机的⼯作原理了，因为交换机是根据MAC地址表转发数据帧的。

在交换机中有⼀张记录着局域⽹主机MAC地址与交换机接⼝的对应关系的表，即为MAC地址表，交换机就是根据这张表负责将数据帧传输到指定的主机上的。

交换机的⼯作原理 交换机在接收到数据帧以后，⾸先会记录数据帧中的源MAC地址和对应的接⼝到MAC表中，接着会检查⾃⼰的MAC表中是否有数据帧中⽬标MAC地址的信息，如果有则会根据MAC表中记录的对应接⼝将数据帧发送出去(也就是单播)，如果没有，则会将该数据帧从⾮接受接⼝发送出去(也就是⼴播)。

下图为数据经过单交换机的传输过程。

单交换机数据交换⽰意图 1)主机A会将⼀个源MAC地址为⾃⼰，⽬标MAC地址为主机B的数据帧发送给交换机。

2)交换机收到此数据帧后，⾸先将数据帧中的源MAC地址和对应的接⼝(接⼝为f 0/1) 记录到MAC地址表中。

3)然后交换机会检查⾃⼰的MAC地址表中是否有数据帧中的⽬标MAC地址的信息，如果有，则从MAC地址表中记录的接⼝发送出去，如果没有，则会将此数据帧从⾮接收接⼝的所有接⼝发送出去(也就是除了f 0/1接⼝)。

4)这时，局域⽹的所有主机都会收到此数据帧，但是只有主机B收到此数据帧时会响应这个⼴播，并回应⼀个数据帧，此数据帧中包括主机B的MAC地址。

如果没有主机相应这个⼴播，则会继续向下⼀个交换机或路由器传播。

5)当交换机收到主机B回应的数据帧后，也会记录数据帧中的源MAC地址(也就是主机B的MAC地址)，这时，再当主机A和主机B通信时，交换机根据MAC地址表中的记录，实现单播了。

下图为经多个交换机进⾏数据传播的过程。

经多个交换机数据传播的过程 1)主机A将⼀个源MAC地址为⾃⼰、⽬标MAC地址主机C的数据帧发送给交换机。

2)交换机1收到此数据帧后，会解析源MAC地址，并检查MAC地址表，发现没有⽬标MAC地址的记录，则会将数据帧⼴播出去，主机B和交换机2都会收到此数据帧。

交换机实现MAC地址表的绑定和过滤结构图：交换式使用2970，两台PC机同时只接一台到G0/2端口上目的：绑定配置后，在G0/2绑定PC1的端口，PC1只能接到G0/2才能工作，接其他的口都不能工作，PC2接该口或其他口自动工作过滤配置后，PC1交换机任意口都不能工作，PC2接该口或其他口自动工作1.配置绑定switch(config)#int vlan 1switch(config-if-vla1)#ip add 192.168.1.11 255.255.255.0switch(config-if-vla1)#no shut使用MAC地址表配置绑定Switch(config)#mac-address-table static 00-04-61-7E-AD-9D vlan 1 interface GIgabitEthernet 0/2验证测试：Switch#show mac-address-tableAll 0180.c200.0010 STATIC CPUAll ffff.ffff.ffff STATIC CPU1 0004.617e.ad9d STATIC Gi0/2Total Mac Addresses for this criterion: 21PC1接到G0/2端口可以PING通192.168.1.11PC1接其他端口PING不通192.168.1.11PC2接G0/2或其他端口都可以PING通192.168.1.11将PC2网线接到G0/2接口上能PING通vlan1自动学习到MAC地址Switch#show mac-address-table1 0004.617e.ad9d STATIC Gi0/21 000a.e42c.0198 DYNAMIC Gi0/22配置MAC地址过滤2970做不了过滤switch(config)#mac-address-table blackhole address 00-04-61-7E-AD-9D vlan 1 Switch#show mac-address-table无论PC1接到交换机哪个端口，都PING不通192.168.1.11PC2接任意口都可以PING通。

教案编号：12a管理MAC地址表学习目标：1、理解交换机的工作原理2、理解MAC地址表的作用3、掌握有关MAC地址表管理的命令教学过程：一、MAC 地址表介绍MAC地址表是标识数据包中MAC地址与交换机端口之间映射关系的表，其MAC地址分为静态MAC地址和动态MAC 地址。

静态MAC 地址由用户配置，具有最高优先级（不能被动态MAC 地址覆盖）且永久生效；动态MAC 地址由交换机在转发数据帧的过程中学习，且在有限时间内生效。

二、交换机的工作原理当交换机接收到需要转发的数据帧时，首先学习数据帧的源MAC地址与接收端口之间的关系，并到MAC地址表。

这种方法得到的叫动态MAC地址表，同时根据设定的老化时间进行倒计时，当在失效前再次学到此条目时，会重新设定老化时间。

如果过了老化时间（默认为5分钟），该条地址表会失效。

此过程叫地址学习。

当然MAC地址条目也可以用命令手工添加，手工添加的条目不会因老化而失效。

交换机根据数据帧的目的MAC地址查询MAC地址表。

如果命中相关表项，交换机将数据帧从相应端口转发；否则，交换机将数据帧在其所属广播域内广播。

此过程叫数据的转发。

交换机根据数据帧的目的MAC地址查询到的转发端口如果就是接到数据的端口，则过滤（即丢弃）数据。

此过程叫数据的过滤。

三、分析MAC 地址表的的建立过程初始状态下MAC地址表中没有任何学习到的地址映射表项，以主机1和主机3的相互通信为例，MAC地址表的学习过程如下：1.当主机1向主机3传输信息时，交换机在端口5处收到该信息的源MAC地址00-01-11-11-11-11，交换机的MAC地址表中就会增加MAC地址00-01-11-11-11-11和端口5映射表项；2.同时交换机会检查到该信息的目标MAC地址00-01-33-33-33-33，此时交换机中只有MAC 地址00-01-11-11-11-11和端口5的映射表项，没有00-01-33-33-33-33对应的端口映射，因此交换机只能将该信息广播给交换机的每个端口；3.位于端口12的主机3、4均收到主机1发出的信息，但主机4不会给主机1回应，因为目标MAC地址为00-01-33-33-33-33，只有主机3会给主机1回应。

MAC地址转发表管理目录目录第1章 MAC地址转发表管理命令...........................................................................................1-11.1 MAC地址转发表管理命令..................................................................................................1-11.1.1 display mac-address aging-time.............................................................................1-11.1.2 display mac-address...............................................................................................1-21.1.3 mac-address............................................................................................................1-41.1.4 mac-address max-mac-count..................................................................................1-51.1.5 mac-address timer..................................................................................................1-6第1章 MAC地址转发表管理命令说明：本章节内容只涉及静态、动态和黑洞MAC地址表项的管理，有关组播MAC地址表项管理的内容，请参见本手册“组播协议”部分。

H3C交换‎机MAC地‎址表管理配‎置MA‎C地址表‎项的分类与‎特点‎根据自身‎特点和配置‎方式等的不‎同，MAC‎地址表项‎可以分为三‎类：1‎、静态 M‎A C 地址‎表项：‎也称‎为“永久地‎址”，由用‎户手工添加‎和删除，不‎会随着时间‎老化。

对于‎一个设备变‎动较小的网‎络，手工添‎加静态地址‎表项可以减‎少网络中的‎广播流量。

‎2、‎动态 MA‎C地址表‎项：‎指‎可以按照用‎户配置的老‎化时间而老‎化掉的MA‎C地址表‎项，交换机‎可以通过M‎A C 地址‎学习机制或‎通过用户手‎工建立的方‎式添加动态‎M AC 地‎址表项。

‎3、黑‎洞 MAC‎地址表项‎：‎由用户手‎工配置的一‎类特殊的M‎A C 地址‎，当交换机‎接收到源M‎A C 地址‎或目的MA‎C地址为‎黑洞MAC‎地址的报‎文时，会将‎该报文丢弃‎。

‎(4)在系‎统视图下添‎加MAC ‎地址表项的‎操作进入‎系统视图‎s yste‎m-vie‎w添加‎M AC 地‎址表项：‎m ac-a‎d dres‎s { s‎t atic‎| dy‎n amic‎| bl‎a ckho‎l e } ‎m ac-a‎d dres‎s int‎e rfac‎e int‎e rfac‎e-typ‎eint‎e rfac‎e-num‎b er ‎v lan ‎v lan-‎i d水‎1. 组网‎需求‎用户‎通过con‎s ole口‎登录到交换‎机，配置地‎址表管理。

‎要求(1‎)设置交‎换机上动态‎m ac地址‎表项的老化‎时间为50‎0秒(2‎)在vla‎n1中的e‎t hern‎e t 2/‎1/2端口‎添加一个静‎态地址00‎e0-fc‎35-dc‎71(3‎)在vla‎n1中的G‎i gabi‎t Ethe‎r net ‎1/0/2‎端口添加一‎个黑洞ma‎c地址,以‎阻止该电脑‎参与网络活‎动。

(4‎)在vla‎n1中的G‎i gabi‎t Ethe‎r net ‎1/0/2‎端口删除黑‎洞mac地‎址‎2. 配置‎步骤‎ # ‎进入交换机‎系统视图。

实验九 交换机MAC地址表管理【实验目的】1、掌握交换机MAC地址表的建立和维护方式。

2、掌握MAC地址表的管理3、熟练应用MAC地址表的管理手段解决局域网的安全问题。

【引入案例】某学校网络最近经常掉线，网管人员通过网络监控发现网内有台计算机，不停地向网络中发送广播包，怀疑感染了病毒。

经查证，此台计算机不是学校的计算机，属于非法接入。

网管人员必须马上采取措施，阻止病毒进一步感染网络中的其它计算机，也防止此计算机再次通过相同端口偷偷接入单位网络。

学校网络中还有一台网关服务器和一台网管服务器，数据量交换较大。

网管人员希望能找到一个简单可行的办法，优化网络交换性能，增加网络管理的安全性。

【案例分析】想要对某台计算机在网络中进行永久隔离，可以禁用其IP地址，但倘若该计算机换了个IP地址，仍然能接入网络。

因此，对计算机进行MAC地址过滤，是一个相对彻底的隔离方法。

基于服务器在网络中相对固定的特性，可以在其相连的交换机上手工添加网关服务器的静态MAC地址表项，使交换机通过相应的端口将数据报文单播发送到网关服务器，这样就能很大程度减少网络中目的地址为服务器地址的广播包，以节约带宽资源，保证网络畅通；对于网管服务器，可以将静态MAC地址和端口禁止学习MAC地址结合起来，保证与网管服务器相连的交换机以太网端口只能允许网管服务器接入，增加网络管理的安全性。

【基本原理】一、MAC地址和MAC地址表MAC（介质访问控制）地址是在网络通信用来识别主机的标识。

交换机和集线器相比，最大的优势就在于交换机能根据MAC地址来判断，决定帧该往何处转发。

交换机的缓存中有一个MAC地址表，需要转发数据时，交换机会在地址表查询是否有与目的MAC地址对应的表项，如果有，交换机立即将数据报文往该表项中的转发端口发送；如果没有，交换机则会将数据报文以广播的形式发送到除了接收端口外的所有端口，尽最大能力保证目的主机接收到数据报文。

因此，交换机地址表的构建和维护决定了数据转发的方向和效率。

MAC地址管理目录目录第1章 MAC地址表管理命令...................................................................................................1-11.1 MAC地址表管理命令..........................................................................................................1-11.1.1 display mac-address...............................................................................................1-11.1.2 display mac-address aging-time.............................................................................1-21.1.3 display mac-limit......................................................................................................1-31.1.4 mac-address............................................................................................................1-31.1.5 mac-address max-mac-count..................................................................................1-51.1.6 mac-address max-mac-count enable......................................................................1-61.1.7 mac-address max-mac-count max-mac-num.........................................................1-81.1.8 mac-address timer..................................................................................................1-91.1.9 mac-limit..................................................................................................................1-91.1.10 reset mac-address..............................................................................................1-101.1.11 source-mac..........................................................................................................1-11第2章静态组播MAC配置命令...............................................................................................2-12.1 静态组播MAC配置命令......................................................................................................2-12.1.1 display mac-address multicast static.......................................................................2-12.1.2 mac-address multicast............................................................................................2-22.1.3 reset mac-address multicast...................................................................................2-3第1章 MAC地址表管理命令1.1 MAC地址表管理命令1.1.1 display mac-address【命令】display mac-address [ mac-addr [ vlan vlan-id ] | [ static | dynamic ] [ interfaceinterface-type interface-number ] [ vlan vlan-id ] [ count ] ]【视图】任意视图【参数】mac-addr：MAC地址。

目录1 端口安全配置.....................................................................................................................................1-11.1 端口安全简介.....................................................................................................................................1-11.1.1 概述........................................................................................................................................1-11.1.2 端口安全的特性......................................................................................................................1-21.1.3 端口安全模式..........................................................................................................................1-21.1.4 端口安全对WLAN的支持........................................................................................................1-41.1.5 端口安全对Guest VLAN和Auth-Fail VLAN的支持..................................................................1-51.2 端口安全配置任务简介......................................................................................................................1-51.3 使能端口安全功能.............................................................................................................................1-51.3.1 配置准备.................................................................................................................................1-51.3.2 使能端口安全功能...................................................................................................................1-61.4 配置端口允许的最大安全MAC地址数................................................................................................1-61.5 配置端口安全模式.............................................................................................................................1-71.5.1 配置准备.................................................................................................................................1-71.5.2 配置端口安全模式...................................................................................................................1-71.6 配置端口安全的特性..........................................................................................................................1-81.6.1 配置NeedToKnow特性...........................................................................................................1-81.6.2 配置入侵检测特性...................................................................................................................1-91.6.3 配置Trap特性..........................................................................................................................1-91.7 配置安全MAC地址...........................................................................................................................1-101.7.1 配置准备...............................................................................................................................1-101.7.2 配置安全MAC地址................................................................................................................1-101.8 配置端口安全支持WLAN.................................................................................................................1-101.8.1 配置支持WLAN的端口安全模式...........................................................................................1-111.8.2 使能密钥协商功能.................................................................................................................1-121.8.3 配置预共享密钥....................................................................................................................1-121.9 配置当前端口不应用服务器下发的授权信息...................................................................................1-121.10 端口安全显示和维护......................................................................................................................1-131.11 端口安全典型配置举例..................................................................................................................1-131.11.1 端口安全autoLearn模式配置举例.......................................................................................1-131.11.2 端口安全userLoginWithOUI模式配置举例..........................................................................1-151.11.3 端口安全macAddressElseUserLoginSecure模式配置举例................................................1-191.11.4 端口安全支持WLAN的userLoginSecureExt模式配置举例.................................................1-211.11.5 端口安全支持MAC-based Guest VLAN配置举例...............................................................1-241.12 常见配置错误举例.........................................................................................................................1-261.12.1 端口安全模式无法设置.......................................................................................................1-261.12.2 无法配置端口安全MAC地址...............................................................................................1-261.12.3 用户在线情况下无法更换端口安全模式..............................................................................1-26本文中标有“请以实际情况为准”的特性描述，表示各型号对于此特性的支持情况可能不同，本节将对此进行说明。

MAC地址转发表管理目录目录第1章 MAC地址转发表管理..................................................................................................1-11.1 MAC地址转发表管理简介..................................................................................................1-11.1.1 MAC地址转发表简介..............................................................................................1-11.1.2 MAC地址学习过程简介...........................................................................................1-11.1.3 MAC地址转发表管理..............................................................................................1-41.2 MAC地址转发表管理配置..................................................................................................1-51.2.1 MAC地址转发表管理配置简介................................................................................1-51.2.2 设置MAC地址表项.................................................................................................1-51.2.3 设置系统MAC地址老化时间..................................................................................1-61.2.4 设置以太网端口最多可以学习到的MAC地址数量..................................................1-71.2.5 配置目的MAC地址更新功能..................................................................................1-81.2.6 配置以太网端口的MAC地址..................................................................................1-81.3 MAC地址转发表管理配置显示..........................................................................................1-91.4 MAC地址转发表管理典型配置举例.................................................................................1-101.4.1 在交换机上手工添加静态MAC地址......................................................................1-10MAC地址转发表管理第1章 MAC地址转发表管理第1章 MAC地址转发表管理说明：z本章节内容只涉及静态、动态和黑洞MAC地址表项的管理，有关组播MAC地址和安全MAC地址表项管理的内容，请分别参见“组播协议”和“端口安全”部分。

交换机的MAC地址表除了动态学习之外，还可以静态手工指定，并且在指定MAC地址时，还可以指定在某个VLAN 的某个接口收到相应的MAC后，将数据包作丢弃处理。

交换机在转发数据时，需要根据MAC地址表来做出相应转发，如果目标主机的MAC地址不在表中，交换机将收到的数据包在所有活动接口上广播发送。

当交换机上的接口状态变成UP之后，将动态从该接口上学习MAC地址，并且将学习到的MAC地址与接口相对应后放入MAC地址表。

注：交换机上，一个接口可以对应多个MAC地址，地址的数量无上限，但不超过交换机所支持的MAC地址最大数量。

一个MAC地址可以同时出现在交换机的多个接口上，但此特性并不被所有型号的交换机支持，在某些型号的交换机上，一个MAC地址只能出现在一个接口上，如果出现在另外一个接口上，将会报错，并且数据转发也会出错。

1.查看交换机MAC地址表（1）查看接口F0/1的MAC地址表Switch#sh mac-address-table interface f0/1Mac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----2 0013.1a2f.0680 DYNAMIC Fa0/1Total Mac Addresses for this criterion: 1Switch#说明：交换机从F0/1上学习到了MAC地址0013.1a2f.0680，并且说明是动态学习到的。

2.手工静态指定MAC地址（1）手工静态指定MAC地址Switch(config)#mac-address-table static 0013.1a2f.0680 vlan 1 interface f0/2说明：指定VLAN 1的接口F0/2的MAC地址为0013.1a2f.0680。