目  录

1 MAC地址表

1.1 MAC地址表简介

1.1.1 MAC地址表项的生成方式

1.1.2 MAC地址表项的分类

1.2 配置MAC地址表

1.2.1 配置MAC地址表项

1.2.2 关闭MAC地址学习功能

1.2.3 配置动态MAC地址表项的老化时间

1.2.4 配置MAC地址数学习上限

1.2.5 配置当达到MAC地址数学习上限时的报文转发规则

1.2.6 配置接口的MAC地址学习优先级

1.2.7 开启MAC地址同步功能

1.2.8 配置MAC地址迁移上报功能

1.2.9 配置快速更新ARP表项和ND表项功能

1.2.10 关闭报文入接口与静态MAC地址表项匹配检查功能

1.2.11 开启MAC地址表告警功能

1.2.12 开启MAC地址表快速修复功能

1.3 MAC地址表显示和维护

1.4 MAC地址表典型配置举例

2 MAC Information

2.1 MAC Information简介

2.2 配置MAC Information功能

2.2.1 开启MAC Information功能

2.2.2 配置发送MAC变化通知的方式

2.2.3 配置发送MAC变化通知的时间间隔

2.2.4 配置MAC Information缓存队列长度

2.3 MAC Information典型配置举例

MAC（Media Access Control，媒体访问控制）地址表记录了MAC地址与接口的对应关系，以及接口所属的VLAN等信息。设备在转发报文时，根据报文的目的MAC地址查询MAC地址表，如果MAC地址表中包含与报文目的MAC地址对应的表项，则直接通过该表项中的出接口转发该报文；如果MAC地址表中没有包含报文目的MAC地址对应的表项时，设备将采取广播方式通过对应VLAN内除接收接口外的所有接口转发该报文。

MAC地址表项的生成方式有两种：自动生成、手工配置。

一般情况下，MAC地址表由设备通过源MAC地址学习自动生成。设备学习MAC地址的过程如下：

·     从某接口（假设为接口A）收到一个数据帧，设备分析该数据帧的源MAC地址（假设为MAC-SOURCE），并认为目的MAC地址为MAC-SOURCE的报文可以由接口A转发。

·     如果MAC地址表中已经包含MAC-SOURCE，设备将对该表项进行更新。

·     如果MAC地址表中尚未包含MAC-SOURCE，设备则将这个新MAC地址以及该MAC地址对应的接口A作为一个新的表项加入到MAC地址表中。

为适应网络拓扑的变化，MAC地址表需要不断更新。MAC地址表中自动生成的表项并非永远有效，每一条表项都有一个生存周期，到达生存周期仍得不到刷新的表项将被删除，这个生存周期被称作老化时间。如果在到达生存周期前某表项被刷新，则重新计算该表项的老化时间。

设备通过源MAC地址学习自动生成MAC地址表时，无法区分合法用户和非法用户的报文，带来了安全隐患。如果非法用户将攻击报文的源MAC地址伪装成合法用户的MAC地址，并从设备的其他接口进入，设备就会学习到错误的MAC地址表项，于是将本应转发给合法用户的报文转发给非法用户。

为了提高安全性，网络管理员可手工在MAC地址表中加入特定MAC地址表项，将用户设备与接口绑定，从而防止非法用户骗取数据。

MAC地址表项分为以下几种：

·     静态MAC地址表项：由用户手工配置，用于目的是某个MAC地址的报文从对应接口转发出去，表项不老化。静态MAC地址表项优先级高于自动生成的MAC地址表项。

·     动态MAC地址表项：可以由用户手工配置，也可以由设备通过源MAC地址学习自动生成，用于目的是某个MAC地址的报文从对应接口转发出去，表项有老化时间。手工配置的动态MAC地址表项优先级等于自动生成的MAC地址表项。

·     黑洞MAC地址表项：由用户手工配置，用于丢弃源MAC地址或目的MAC地址为指定MAC地址的报文（例如，出于安全考虑，可以禁止某个用户发送和接收报文），表项不老化。黑洞MAC地址表项优先级高于自动生成的MAC地址表项。

·     多端口单播MAC地址表项：由用户手工配置，用于目的是某个单播MAC地址的报文从多个接口复制转发出去，表项不老化。多端口单播MAC地址表项优先级高于自动生成的MAC地址表项。

静态MAC地址表项、黑洞MAC地址表项和多端口单播MAC地址表项不会被动态MAC地址表项覆盖，而动态MAC地址表项可以被静态MAC地址表项和黑洞MAC地址表项覆盖。静态MAC地址表项、黑洞MAC地址表项和多端口单播MAC地址表项不会彼此覆盖。

多端口单播MAC地址表项不影响对应MAC地址的动态学习，对于同一MAC地址，多端口单播MAC地址表项和动态MAC地址表项可以同时存在，优先根据多端口单播MAC地址转发报文。

本章节内容只涉及单播的静态、动态、黑洞MAC地址表项和多端口单播MAC地址表项。有关静态组播MAC地址表项的相关介绍和配置内容，请参见“IP组播配置指导”中的“组播路由与转发”和“IPv6组播路由与转发”。有关VPLS中MAC地址表项的相关介绍和配置内容，请参见“MPLS配置指导”中的“VPLS”。

以下配置均为可选配置，且配置过程无先后顺序，用户可以根据实际情况选择配置。

配置MAC地址表项时，需要注意：

·     在手工配置动态MAC地址表项时，如果MAC地址表中已经存在MAC地址相匹配的自动生成表项，但该表项的接口与配置不符，那么该手工配置失败。

·     如果不保存配置，设备重启后所有手工配置的MAC地址表项都会丢失；如果保存配置，设备重启后手工配置的静态MAC地址表项、黑洞MAC地址表项和多端口单播MAC地址表项不会丢失，手工配置的动态MAC地址表项会丢失。

配置MAC地址表项后，当设备收到的报文的源MAC地址与配置表项中的MAC地址相同时，不同类型的MAC地址表项处理方式不同：

表1-1 不同类型MAC地址表项对源MAC地址匹配报文的处理方式

MAC地址表项类型

报文源MAC地址与配置表项中的MAC地址相同

静态MAC地址表项

不检查报文入接口与表项中的接口是否相同，直接根据目的MAC地址转发该报文

多端口单播MAC地址表项

进行MAC地址学习，生成动态MAC地址表项，但仅多端口单播MAC地址表生效

黑洞MAC地址表项

丢弃该报文

动态MAC地址表项

·     如果报文入接口与该表项中的接口不同，则进行MAC地址学习，并覆盖该表项

·     如果报文入接口与该表项中的接口相同，则转发该报文，并更新该表项老化时间

(1)     全局配置静态/动态MAC地址表项

表1-2 全局配置静态/动态MAC地址表项

操作

命令

说明

进入系统视图

system-view

-

添加或者修改静态/动态MAC地址表项

mac-address { dynamic | static } mac-address interface interface-type interface-number vlan vlan-id

缺省情况下，未配置任何MAC地址表项

interface参数指定的接口必须属于vlan-id参数指定的VLAN，而且该VLAN必须事先创建，否则将配置失败

(2)     接口配置静态/动态MAC地址表项

表1-3 接口配置静态/动态MAC地址表项

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

·     二层以太网接口视图： interface interface-type interface-number

·     二层聚合接口视图： interface bridge-aggregation interface-number

·     S通道接口视图： interface s-channel interface-number.channel-id

·     聚合S通道接口视图： interface schannel-aggregation interface-number:channel-id

-

在接口下添加或者修改静态/动态MAC地址表项

mac-address { dynamic | static } mac-address vlan vlan-id

缺省情况下，接口下未配置任何MAC地址表项

当前接口必须属于vlan-id参数指定的VLAN，而且该VLAN必须事先创建，否则将配置失败

表1-4 配置黑洞MAC地址表项

操作

命令

说明

进入系统视图

system-view

-

添加或者修改黑洞MAC地址表项

mac-address blackhole mac-address vlan vlan-id

缺省情况下，未配置任何MAC地址表项

vlan-id参数指定的VLAN必须事先创建，否则将配置失败

网络管理员可手工配置多端口单播MAC地址表项，将多个端口和单播MAC地址绑定，以实现目的地址匹配该MAC地址的报文通过多个端口复制转发出去。例如，如图1-1在NLB（Network Load Balancing，网络负载均衡）集群的单播模式下，所有服务器使用一个共同的MAC地址（该MAC地址为集群MAC地址），发往集群MAC地址的报文要求发送到每一台服务器，这时可以在连接服务器组的设备上配置多端口单播MAC地址表项，把客户端发往服务器组的报文从所有连接服务器的端口转发出去。

图1-1 NLB集群

有两种方式可以配置多端口单播MAC地址表项：

(1)     全局配置多端口单播MAC地址表项

表1-5 全局配置多端口单播MAC地址表项

操作

命令

说明

进入系统视图

system-view

-

配置多端口单播MAC地址表项

mac-address multiport mac-address interface interface-list vlan vlan-id

缺省情况下，未配置任何多端口单播MAC地址表项

interface参数指定的接口必须属于vlan-id参数指定的VLAN，而且该VLAN必须事先创建，否则将配置失败

(2)     接口配置多端口单播MAC地址表项

表1-6 接口配置多端口单播MAC地址表项

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

·     二层以太网接口视图： interface interface-type interface-number

·     二层聚合接口视图： interface bridge-aggregation interface-number

-

配置接口加入多端口单播MAC地址表项

mac-address multiport mac-address vlan vlan-id

缺省情况下，接口下未配置任何多端口单播MAC地址表项

当前接口必须属于vlan-id参数指定的VLAN，而且该VLAN必须事先创建，否则将配置失败

缺省情况下，MAC地址学习功能处于开启状态。有时为了保证设备的安全，需要关闭MAC地址学习功能。常见的危及设备安全的情况是：非法用户使用大量源MAC地址不同的报文攻击设备，导致设备MAC地址表资源耗尽，造成设备无法根据网络的变化更新MAC地址表。关闭MAC地址学习功能可以有效防止这种攻击。

关闭MAC地址学习功能后，已经存在的动态MAC地址表项将被删除。

关闭全局的MAC地址学习功能后，接口将不再学习新的MAC地址。

全局MAC地址学习功能不能控制VPLS和VXLAN的VSI中MAC地址的学习。有关VPLS和VSI的介绍，请参见“MPLS配置指导”中的“VPLS”。有关VXLAN的介绍，请参见“VXLAN配置指导”中的“VXLAN”。

表1-7 关闭全局MAC地址学习功能

操作

命令

说明

进入系统视图

system-view

-

关闭全局的MAC地址学习功能

undo mac-address mac-learning enable

缺省情况下，全局的MAC地址学习功能处于开启状态

在开启全局的MAC地址学习功能的前提下，用户可以关闭设备上单个接口的MAC地址学习功能。

表1-8 关闭接口的MAC地址学习功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

·     二层以太网接口视图： interface interface-type interface-number

·     二层聚合接口视图： interface bridge-aggregation interface-number

·     S通道接口视图： interface s-channel interface-number.channel-id

·     聚合S通道接口视图： interface schannel-aggregation interface-number:channel-id

-

关闭接口的MAC地址学习功能

undo mac-address mac-learning enable

缺省情况下，接口的MAC地址学习功能处于开启状态

如图1-2所示，某公司的多个部门分散在不同的楼层中，并且用VLAN划分不同的部门，使得同一部门的用户之间可以互相通信，不同部门的用户之间互相隔离。经过一段时间后，网络已经固定，为了节约核心设备的MAC地址表项资源，同时防止外部对公司网络的访问，可以在Device A和Device B上关闭除VLAN 2、VLAN 3和VLAN 10以外其他VLAN的MAC地址学习功能。

图1-2 关闭VLAN的MAC地址学习功能组网图

在开启全局的MAC地址学习功能的前提下，用户可以关闭设备上指定VLAN的MAC地址学习功能。

表1-9 关闭VLAN的MAC地址学习功能

操作

命令

说明

进入系统视图

system-view

-

进入VLAN视图

vlan vlan-id

-

关闭VLAN的MAC地址学习功能

undo mac-address mac-learning enable

缺省情况下，VLAN的MAC地址学习功能处于开启状态

当网络拓扑改变后，如果动态MAC地址表项不及时更新，会导致用户流量不能正常转发。配置动态MAC地址表项的老化时间后，超过老化时间的动态MAC地址表项会被自动删除，设备将重新进行MAC地址学习，构建新的动态MAC地址表项。

用户配置的老化时间过长或者过短，都可能影响设备的运行性能：

·     如果用户配置的老化时间过长，设备可能会保存许多过时的MAC地址表项，从而耗尽MAC地址表资源，导致设备无法根据网络的变化更新MAC地址表。

·     如果用户配置的老化时间太短，设备可能会删除有效的MAC地址表项，导致设备广播大量的数据报文，增加网络的负担。

用户需要根据实际情况，配置合适的老化时间。如果网络比较稳定，可以将老化时间配置得长一些或者配置为不老化；否则，可以将老化时间配置得短一些。比如在一个比较稳定的网络，如果长时间没有流量，动态MAC地址表项会被全部删除，可能导致设备突然广播大量的数据报文，造成安全隐患，此时可将动态MAC地址表项的老化时间设得长一些或不老化，以减少广播，增加网络稳定性和安全性。

动态MAC地址表项的老化时间作用于全部接口上。

表1-10 配置动态MAC地址表项的老化时间

操作

命令

说明

进入系统视图

system-view

-

配置动态MAC地址表项的老化时间

mac-address timer { aging seconds | no-aging }

缺省情况下，动态MAC地址表项的老化时间为300秒

手工配置的动态MAC地址表项不计入MAC地址数学习上限。

配置基于MAC的VLAN、Voice VLAN或MAC地址认证时，本功能不生效。有关基于MAC的VLAN、Voice VLAN的介绍，请参见“二层技术-以太网交换配置指导”中的“VLAN”；有关MAC地址认证的介绍，请参见“安全配置指导”中的“MAC地址认证”。

请不要同时在接口视图和VLAN视图下配置本功能，否则会导致功能异常。

在VLAN视图下配置本功能时，对应VLAN仅支持基本的VLAN配置命令和基于端口的VLAN配置命令。相关命令请参见“二层技术-以太网交换命令参考”中的“VLAN”。

MAC地址数学习上限不支持在TRILL端口配置，该配置不能生效。

接口学习语音报文的MAC地址时，不受本功能限制。有关语音报文的详细介绍，请参见“二层技术-以太网交换配置指导”中的“Voice VLAN”。

通过配置接口的MAC地址数学习上限，用户可以控制设备维护的MAC地址表的表项数量。如果MAC地址表过于庞大，可能导致设备的转发性能下降。当接口学习到的MAC地址数达到上限时，该接口将不再对MAC地址进行学习。

表1-11 配置接口的MAC地址数学习上限

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网接口视图

interface interface-type interface-number

-

配置接口的MAC地址数学习上限

mac-address max-mac-count count

缺省情况下，接口最多可以学习到的MAC地址数目不作限制

VLAN学习语音报文的MAC地址时，不受本功能限制。有关语音报文的详细介绍，请参见“二层技术-以太网交换配置指导”中的“Voice VLAN”。

通过配置VLAN的MAC地址数学习上限，用户可以控制设备为某个VLAN维护的MAC地址表项数量。如果MAC地址表过于庞大，可能导致设备的转发性能下降。当VLAN学习到的MAC地址条数达到上限时，该VLAN将不再对MAC地址进行学习。

表1-12 配置VLAN的MAC地址数学习上限

操作

命令

说明

进入系统视图

system-view

-

进入VLAN视图

vlan vlan-id

-

配置VLAN的MAC地址数学习上限

mac-address max-mac-count count

缺省情况下，VLAN最多可以学习到的MAC地址数目不作限制

请不要同时在接口视图和VLAN视图下配置本功能，否则会导致功能异常。

在VLAN视图下配置本功能时，对应VLAN仅支持基本的VLAN配置命令和基于端口的VLAN配置命令。相关命令请参见“二层技术-以太网交换命令参考”中的“VLAN”。

当学习到的MAC地址数达到上限时，用户可以选择是否允许系统转发源MAC不在MAC地址表里的报文。

表1-13 配置当达到接口的MAC地址数学习上限时的报文转发规则

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网接口视图

interface interface-type interface-number

-

配置当达到接口的MAC地址数学习上限时，允许转发源MAC地址不在MAC地址表里的报文

mac-address max-mac-count enable-forwarding

缺省情况下，当达到接口的MAC地址数学习上限时，允许转发源MAC地址不在MAC地址表里的报文

表1-14 配置当达到VLAN的MAC地址数学习上限时的报文转发规则

操作

命令

说明

进入系统视图

system-view

-

进入VLAN视图

vlan vlan-id

-

配置当达到VLAN的MAC地址数学习上限时，允许转发源MAC地址不在MAC地址表里的报文

mac-address max-mac-count enable-forwarding

缺省情况下，当达到VLAN的MAC地址数学习上限时，允许转发源MAC地址不在MAC地址表里的报文

基于MAC地址转发报文的网络有时会因为下行接口的攻击行为或者环路，下行接口学习到网关等上层设备的MAC地址。为了避免这种情况，将接口的MAC地址学习功能分为两个优先级：高优先级和低优先级。对于高优先级的接口，可以学习任何MAC地址；对于低优先级的接口，在学习MAC地址时需要查看高优先级接口是否已经学到该MAC地址，如果已经学到，则不允许学习该MAC地址。比如，可以将上行接口的MAC地址学习优先级配置为高优先级，下行接口的MAC地址学习优先级配置为低优先级，那么，下行接口就不会学到网关等上层设备的MAC地址，避免了攻击。

表1-15 配置接口的MAC地址学习优先级

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

·     二层以太网接口视图： interface interface-type interface-number

·     二层聚合接口视图： interface bridge-aggregation interface-number

·     S通道接口视图： interface s-channel interface-number.channel-id

·     聚合S通道接口视图： interface schannel-aggregation interface-number:channel-id

-

配置接口的MAC地址学习优先级

mac-address mac-learning priority { high | low }

缺省情况下，MAC地址学习优先级为低优先级

设备通常有多块单板，为了避免不必要的广播报文，以及提高报文转发的速度，需要所有单板拥有同样的MAC地址表。开启全局的MAC地址同步功能后，设备会在所有单板间进行MAC地址表的同步。（独立运行模式）

IRF通常有多个成员设备，每个成员设备有多块单板，为了避免不必要的广播报文，以及提高报文转发的速度，需要所有成员设备的所有单板拥有同样的MAC地址表。开启全局的MAC地址同步功能后，设备会在所有成员设备的所有单板间进行MAC地址表的同步。（IRF模式）

如图1-3所示，是MAC地址同步功能的典型应用场景。Device A和Device B是两台配置了IRF功能的设备。无线接入点AP C和AP D分别连接到IRF成员设备Device A和Device B。

开启MAC地址同步功能后，IRF成员设备会将学习到的MAC地址同步给IRF设备内的其他成员设备。如图1-3所示，当Client A通过AP C接入时，Device A会将学习到的Client A的MAC地址同步给IRF设备内的其他成员设备Device B。

图1-3 Client A通过AP C接入时的MAC地址表

当用户的接入地点发生变化，例如从AP C的覆盖区域移动到AP D的覆盖区域时，IRF会将Client A的MAC地址重新学习到Device B上，并将更新后的MAC地址同步给IRF设备内的其他成员设备Device A（如图1-4所示），使用户的通信不受任何影响。

图1-4 Client A移动到通过AP D接入时的MAC地址表

表1-16 开启MAC地址同步功能

操作

命令

说明

进入系统视图

system-view

-

开启全局的MAC地址同步功能

mac-address mac-roaming enable

缺省情况下，全局的MAC地址同步功能处于关闭状态

MAC地址迁移是指：设备从某接口（假设接口A）学习到某MAC地址，之后从另一接口（假设接口B）接收到了以该MAC地址为源MAC地址的报文，且接口B与接口A所属的VLAN相同，则该MAC地址表项的出接口改为接口B，此时认为该MAC地址从接口A迁移到接口B。

如果MAC地址迁移频繁出现，且同一MAC地址总是在特定的两个接口之间迁移，那么网络中可能存在二层环路。可以通过查看MAC地址迁移记录，发现和定位环路。

当监测到某端口频繁迁移时，用户可以通过配置MAC地址迁移抑制功能，使频繁迁移的端口down，一定时间后该端口将自行恢复up，或者用户通过手动方式将该端口up。

如果需要查看设备启动后的MAC地址迁移记录，请使用display mac-address mac-move命令。

表1-17 配置MAC地址迁移上报功能

操作

命令

说明

进入系统视图

system-view

-

开启MAC地址迁移上报功能

mac-address notification mac-move [ interval interval ]

缺省情况下，MAC地址迁移上报功能处于关闭状态

需要注意的是，执行本命令后，系统采用Syslog方式上报MAC地址迁移信息到信息中心模块，如果同时通过snmp-agent trap enable mac-address命令开启MAC地址表的告警功能，系统还会采用Trap信息上报MAC地址迁移信息到SNMP模块

（可选）配置MAC地址迁移抑制功能的相关参数

mac-address notification mac-move suppression { interval interval | threshold threshold }

MAC地址迁移抑制功能的相关参数未配置，采用缺省抑制时间间隔30秒和缺省阈值3次

配置本命令后，当接口上开启了MAC地址迁移抑制功能时，本命令配置的参数才能生效

进入接口视图

·     二层以太网接口视图： interface interface-type interface-number

·     二层聚合接口视图： interface bridge-aggregation interface-number

-

（可选）开启接口上的MAC地址迁移抑制功能

mac-address notification mac-move suppression

缺省情况下，MAC地址迁移抑制功能处于关闭状态

网络中每台在网设备都有一个IP地址，用于该主机与其他设备的通信。在以太网中，终端设备或交换路由设备直接根据MAC地址来发送、接收以太网数据帧。ARP表项/ND表项提供IP地址到MAC地址的映射。不同网段间的设备进行通信时，需要通过ARP表项/ND表项来查找IP地址对应的MAC地址以及相应的出接口。

通常情况下，设备上的MAC地址表项和ARP表项/ND表项是一致的。但是在某些场景下，如图1-5所示，Laptop经常在无线站点AP 1和AP 2之间漫游，导致Switch上记录的Laptop的MAC地址与出端口的对应关系经常发生改变，而ARP表项/ND表项不能及时更新，影响到数据业务的正常转发。

图1-5 MAC地址迁移后ARP表项/ND表项不能更新

配置快速更新ARP表项/ND表项后，如果交换机上记录的MAC地址与出端口的对应关系发生改变，系统会立刻更新ARP表项/ND表项，保证了数据业务的不间断转发。

表1-18 配置快速更新ARP表项/ND表项功能

操作

命令

说明

进入系统视图

system-view

-

开启在MAC地址迁移后，快更新ARP表项/ND表项功能

mac-address mac-move fast-update

缺省情况下，在MAC地址迁移后，快速更新ARP表项/ND表项功能处于关闭状态

缺省情况下，报文入接口与静态MAC地址表项匹配检查功能处于开启状态。此时，设备会将接收到的报文的源MAC地址与静态MAC地址表项进行匹配。如果存在MAC地址与报文的源MAC相同的表项，但表项的出接口不是接收报文的端口，设备会丢弃该报文。

关闭报文入接口与静态MAC地址表项匹配检查功能后，设备不进行上述检查，即使存在上述类型的静态MAC地址表项，也会转发报文。

对于源MAC地址是VLAN接口的MAC地址的流量，需要在对应VLAN所在的二层接口上关闭报文入接口与静态MAC地址表项匹配检查功能才能转发。

表1-19 关闭报文入接口与静态MAC地址表项匹配检查功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

·     二层以太网接口视图： interface interface-type interface-number

·     三层以太网接口视图： interface interface-type interface-number

·     二层聚合接口视图： interface bridge-aggregation interface-number

·     三层聚合接口视图： interface route-aggregation interface-number

·     IRF物理端口视图： interface interface-type interface-number

-

关闭报文入接口与静态MAC地址表项匹配检查功能

undo mac-address static source-check enable

缺省情况下，报文入接口与静态MAC地址表项匹配检查功能处于开启状态

开启MAC地址表的告警功能后，MAC地址表模块会生成告警信息，用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块，请通过设置SNMP中告警信息的发送参数，来决定告警信息输出的相关属性。

关闭MAC地址表的告警功能后，设备将只发送日志信息到信息中心模块，此时请配置信息中心的输出规则和输出方向来查看MAC地址表模块的日志信息。

有关SNMP和信息中心的详细介绍，请参见“网络管理和监控配置指导”中的“SNMP”和“信息中心”。

表1-20 开启MAC地址表告警功能

操作

命令

说明

进入系统视图

system-view

-

开启MAC地址表的告警功能

snmp-agent trap enable mac-address [ mac-move ]

缺省情况下，MAC地址表的告警功能处于开启状态

当MAC地址表的告警功能关闭后，将采用Syslog方式上报信息

设备板卡在感知到MAC地址表发生变化时会发送同步消息给其他单板，此时其他板卡上的接口在学习同步的MAC地址时可能会产生异常，需要设备对异常板卡进行MAC地址表修复。在表项修复完成前，报文无法匹配目的MAC地址转发，只能广播发送。

MAC地址表快速修复功能处于关闭状态时，设备修复MAC地址表的时间间隔是30秒（不可配置）。开启MAC地址表快速修复功能后，设备MAC地址表产生异常时能够在短时间内恢复，以避免流量长时间通过广播发送。配置本功能后设备修复MAC地址表的时间间隔为2秒。

表1-21 开启MAC地址表快速修复功能

操作

命令

说明

进入系统视图

system-view

-

开启MAC地址表快速修复功能

mac-address quick-fix enable

缺省情况下，MAC地址表快速修复功能处于关闭状态

在完成上述配置后，在任意视图下执行display命令可以显示配置后MAC地址表的运行情况，通过查看显示信息验证配置的效果。

表1-22 MAC地址表显示和维护

操作

命令

显示MAC地址表信息

display mac-address [ mac-address [ vlan vlan-id ] | [ [ dynamic | static ] [ interface interface-type interface-number ] | blackhole | multiport ] [ vlan vlan-id ] [ count ] ]

显示MAC地址表动态表项的老化时间

display mac-address aging-time

显示MAC地址学习功能的开启状态

display mac-address mac-learning [ interface interface-type interface-number ]

显示MAC地址表的统计信息

display mac-address statistics

显示MAC地址迁移记录（独立运行模式）

display mac-address mac-move [ slot slot-number ]

显示MAC地址迁移记录（IRF模式）

display mac-address mac-move [ chassis chassis-number slot slot-number ]

·     现有一台用户主机，它的MAC地址为000f-e235-dc71，属于VLAN 1，连接Device的端口GigabitEthernet1/0/1。为防止假冒身份的非法用户骗取数据，在设备的MAC地址表中为该用户主机添加一条静态表项。

·     另有一台用户主机，它的MAC地址为000f-e235-abcd，属于VLAN 1。由于该用户主机曾经接入网络进行非法操作，为了避免此种情况再次发生，在设备上添加一条黑洞MAC地址表项，使该用户主机接收不到报文。

·     配置设备的动态MAC地址表项老化时间为500秒。

图1-6 MAC地址表典型配置组网图

‌

# 增加一个静态MAC地址表项，目的地址为000f-e235-dc71，出接口为GigabitEthernet1/0/1，且该接口属于VLAN 1。

system-view

[Device] mac-address static 000f-e235-dc71 interface gigabitethernet 1/0/1 vlan 1

# 增加一个黑洞MAC地址表项，地址为000f-e235-abcd，属于VLAN 1。

[Device] mac-address blackhole 000f-e235-abcd vlan 1

# 配置动态MAC地址表项的老化时间为500秒。

[Device] mac-address timer aging 500

# 查看端口GigabitEthernet1/0/1上的静态MAC地址表项信息。

[Device] display mac-address static interface gigabitethernet 1/0/1

MAC Address      VLAN ID    State            Port/Nickname            Aging

000f-e235-dc71   1          Static           GE1/0/1 N

# 查看黑洞MAC地址表信息。

[Device] display mac-address blackhole

MAC Address      VLAN ID    State            Port/Nickname            Aging

000f-e235-abcd   1          Blackhole        N/A                      N

# 查看动态MAC地址表项的老化时间。

[Device] display mac-address aging-time

MAC address aging time: 500s.

由于MAC地址能唯一标识一个网络用户，MAC Information功能通过监控接口学习和删除MAC地址表项，可以对用户加入和离开网络进行跟踪。具体机制为：当接口学习到一条新的MAC地址表项或删除一条已有MAC地址表项时，设备会将该MAC地址变化信息写入缓冲队列。当设定的发送MAC变化通知的时间间隔到期，设备立即发送记录了MAC地址变化信息的日志或SNMP告警信息。信息接收端通过对日志或SNMP告警信息进行分析，实现对网络中的用户进行监控，同时为分析网络的使用情况提供依据。

必须同时开启全局和接口的MAC Information功能，MAC Information功能才会生效。

表2-1 开启MAC Information功能

操作

命令

说明

进入系统视图

system-view

-

开启全局MAC Information功能

mac-address information enable

缺省情况下，全局MAC Information功能处于关闭状态

进入接口视图

·     二层以太网接口视图： interface interface-type interface-number

·     S通道接口视图： interface s-channel interface-number.channel-id

·     聚合S通道接口视图： interface schannel-aggregation interface-number:channel-id

-

开启接口的MAC Information功能

mac-address information enable { added | deleted }

缺省情况下，接口的MAC Information功能处于关闭状态

发送MAC变化通知的方式有两种：

·     Syslog方式：通过发送日志信息通知MAC地址的变化。采用该方式时，日志信息会被发送到设备的信息中心，由信息中心发送到监控终端。有关信息中心的详细介绍及相关配置，请参见“网络管理和监控配置指导”中的“信息中心”。

·     Trap方式：通过发送SNMP告警信息通知MAC地址的变化。采用该方式时，需要通过SNMP将SNMP告警信息发送到NMS。有关SNMP的详细介绍及相关配置，请参见“网络管理和监控配置指导”中的“SNMP”。

表2-2 配置发送MAC变化通知的方式

操作

命令

说明

进入系统视图

system-view

-

配置发送MAC变化通知的方式

mac-address information mode { syslog | trap }

缺省情况下，采用Trap方式发送MAC变化通知

为了防止过于频繁地发送MAC变化通知干扰用户，用户可以修改发送MAC变化通知的时间间隔。

表2-3 配置发送MAC变化通知的时间间隔

配置步骤

命令

说明

进入系统视图

system-view

-

配置发送MAC变化通知的时间间隔

mac-address information interval interval-time

缺省情况下，发送MAC变化通知的时间间隔为1秒

MAC Information缓存队列长度是否为0对应着不同的处理方式：

·     如果MAC Information缓存队列长度为0，则当接口学习到或删除一条MAC地址表项时会立即发送日志或SNMP告警信息。

·     如果MAC Information缓存队列长度不为0，则将MAC地址变化信息存放在缓存队列中。当未达到发送MAC变化通知的时间间隔，此时若缓存队列被写满，新的MAC地址变化信息将覆盖缓存队列中最后一条写入的信息；当达到发送MAC变化通知的时间间隔时，不论此时缓存队列是否已被写满，都发送日志或SNMP告警信息。

表2-4 配置MAC Information缓存队列长度

配置步骤

命令

说明

进入系统视图

system-view

-

配置MAC Information缓存队列长度

mac-address information queue-length value

缺省情况下，MAC Information缓存队列长度为50

·     Host A与远端服务器Server通过Device相连。

·     在Device的端口GigabitEthernet1/0/1上开启MAC Information功能，Device将端口GigabitEthernet1/0/1上的MAC地址添加或删除信息利用Syslog方式通过端口GigabitEthernet1/0/2发送给日志主机Host B，Host B可以对接收到的日志信息进行分析。

图2-1 MAC Information典型配置组网图

‌

(1)     配置Device可以将日志信息发送到Host B

·     Device上的配置

# 开启信息中心。

system-view

[Device] info-center enable

# 配置发送日志信息到IP地址为192.168.1.2/24的日志主机，日志主机记录工具为local4。

[Device] info-center loghost 192.168.1.2 facility local4

# 关闭loghost方向所有模块日志信息的输出开关。

[Device] info-center source default loghost deny

由于系统对各方向允许输出的日志信息的缺省情况不一样，所以配置前必须将所有模块指定方向（本例为loghost）上日志信息的输出开关关闭，再根据当前的需求配置输出规则，以免输出太多不需要的信息。

# 配置输出规则：允许MAC地址表模块的、等级高于等于informational的日志信息输出到日志主机。

[Device] info-center source mac loghost level informational

·     使用Unix操作系统的日志主机Host B上的配置

第一步：以超级用户的身份登录日志主机。

第二步：在/var/log/路径下为Device创建同名日志文件夹Device，在该文件夹创建文件info.log，用来存储来自Device的日志。

# mkdir /var/log/Device

# touch /var/log/Device/info.log

第三步：编辑/etc/路径下的文件syslog.conf，添加以下内容。

# Device configuration messages

local4.info /var/log/Device/info.log

以上配置中，local4表示日志主机接收日志的工具名称，info表示信息等级。Unix系统会把等级高于等于informational的日志记录到/var/log/Device/info.log文件中。

在编辑/etc/syslog.conf时应注意以下问题：

·     注释必须独立成行，并以字符#开头。

·     在文件名之后不得有多余的空格。

·     /etc/syslog.conf中指定的工具名称及信息等级与Device上info-center loghost和info-center source命令的相应参数的指定值要保持一致，否则日志信息可能无法正确输出到日志主机上。

第四步：查看系统守护进程syslogd的进程号，中止syslogd进程，并重新用-r选项在后台启动syslogd，使修改后配置生效。

# ps -ae | grep syslogd

147

# kill -HUP 147

# syslogd -r &

进行以上操作之后，Device的日志信息会输出到Host B，Host B会将这些日志信息存储到相应的文件中了。

(2)     配置MAC Information功能

# 开启全局MAC Information功能。

[Device] mac-address information enable

# 配置采用Syslog方式发送MAC变化通知。

[Device] mac-address information mode syslog

# 开启端口GigabitEthernet1/0/1的MAC Information功能，使该接口在学习到和删除MAC地址时记录MAC变化信息。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] mac-address information enable added

[Device-GigabitEthernet1/0/1] mac-address information enable deleted

[Device-GigabitEthernet1/0/1] quit

# 配置MAC Information缓存队列长度为100。

[Device] mac-address information queue-length 100

# 配置发送MAC变化通知的时间间隔为20秒。

[Device] mac-address information interval 20