所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
MAC配置命令

MAC配置命令

display bridge mac-address

命令功能

display bridge mac-address命令用来查看设备的桥MAC地址。

命令格式

display bridge mac-address

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

当用户需要查看设备的桥MAC地址时,可通过本命令查看。

使用实例

# 查看设备的桥MAC地址。

<HUAWEI> display bridge mac-address
System bridge MAC address: 00e0-f74b-6d00
表7-1  display bridge mac-address命令输出信息描述

项目

描述

System bridge MAC address

标识设备的桥MAC地址。

display mac-address

命令功能

display mac-address命令用来查看所有类型的MAC地址表项信息。显示的内容包括目的MAC地址、设备所属的VLAN、出接口、MAC表项类型等。

命令格式

display mac-address mac-address [ vlan vlan-id ]

display mac-address [ vlan vlan-id | interface interface-type interface-number ] *

参数说明

参数

参数说明

取值

mac-address

查看MAC地址是mac-address的地址表项信息。

格式为H-H-H。其中H为4位的十六进制数,可以输入1~4位,如00e0、fc01。当输入不足4位时,表示前面的几位为0,如:输入e0,等同于00e0。MAC地址不可设置为FFFF-FFFF-FFFF、组播地址。

vlan vlan-id

查看VLAN编号是vlan-id的MAC地址表项信息。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

interface interface-type interface-number

查看出接口为指定接口的MAC地址表项,其中:
  • interface-type表示出接口类型。
  • interface-number表示出接口编号。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

设备的MAC地址表用于存放交换机所学习到的其它设备的MAC地址信息。在转发数据时,根据以太网帧中的目的MAC地址和VLAN编号查询MAC表,快速定位设备的出接口。

本命令可以查看动态表项、静态表项、黑洞表项以及其它业务MAC表项,显示的内容包括目的MAC地址、设备所属的VLAN、出接口、MAC表项类型。

后续任务

用户可通过本命令查看系统中所有MAC地址表项。可以根据查看的结果来判断配置的MAC地址和学习到的MAC地址是否正确,若不正确可以使用undo mac-address命令删除或使用mac-address static命令增加正确表项。

注意事项

如果只输入display mac-address,不指定任何参数,则显示所有的MAC地址表项。

当设备上配置和学习了大量的MAC地址表项,使用本命令查看MAC地址表项时,推荐通过指定VLAN等参数对显示的信息进行过滤。否则可能因为显示信息内容过多而导致:
  • 终端屏幕不停地刷新而无法获取需要的信息。
  • 系统长时间的信息遍历和检索,造成系统无响应。
查看具体业务的MAC地址表项信息:

使用实例

# 查看MAC地址表中所有的MAC地址表项。

<HUAWEI> display mac-address
Flags: * - Backup  
       # - forwarding logical interface, operations cannot be performed based 
           on the interface.
BD   : bridge-domain   Age : dynamic MAC learned time in seconds
-------------------------------------------------------------------------------
MAC Address    VLAN/VSI/BD   Learned-From        Type                Age
-------------------------------------------------------------------------------
0000-0000-0033 100/-/-       10GE1/0/1           dynamic      4294367295
0000-0000-0001 200/-/-       10GE1/0/2           static                -
-------------------------------------------------------------------------------
Total items: 2
表7-2  display mac-address命令输出信息描述表

项目

描述

Backup

备份路径。

MAC Address

MAC地址信息。

VLAN/VSI/BD

  • VLAN:标识接口关联的VLAN。
  • VSI:标识接口关联的VSI(Virtual Switching Instance)。
  • BD:标识接口关联的VXLAN广播域桥域BD。
说明:

只有在支持VXLAN特性的设备上,回显信息才包含BD的内容。

Learned-From

学到该MAC地址的接口。

在TRILL业务下,MAC地址学习若是从TRILL网络侧学习,则显示为对端RB的nickname。

Type

标识MAC地址的类型:
  • static:静态MAC地址表项。由用户手工配置,表项不会被老化。
  • blackhole:标识黑洞MAC地址表项,由用户手工配置,表项不会被老化。
  • dynamic:标识动态MAC地址表项,由设备通过源MAC地址学习获得,表项有老化时间,可被老化。
  • security:标识安全动态MAC表项,由接口使能端口安全功能后学习到的MAC地址表项。
  • sticky:标识Sticky MAC表项,由接口使能Sticky MAC功能后学习到的MAC地址表项。
  • mux:标识MUX MAC表项,当接口使能MUX VLAN功能后,该接口学习到的MAC地址表项会记录到mux类型的MAC地址表项中。
  • snooping:根据DHCP Snooping绑定表生成的静态MAC表项类型。
  • evn:标识EVN或EVPN网络中存在的MAC地址表项。
  • authen:用户通过MAC认证或802.1x认证后形成的MAC地址表项。
  • tunnel:通过二层隧道学到的MAC地址。

Age

动态MAC地址学习时间,单位是秒。

display mac-address aging-time

命令功能

display mac-address aging-time命令用来查看MAC地址表中动态MAC地址表项的老化时间。

命令格式

display mac-address aging-time

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

使用本命令可以查看交换机当前的MAC地址表项的老化时间,从而判断配置的MAC地址表项的老化时间是否合理,是否符合现网实际情况和设备性能。

后续任务

如果MAC地址表项的老化时间配置不合理,可以使用mac-address aging-time命令重新配置。

注意事项

使用本命令查看动态MAC地址表项的老化时间为0秒时,说明学习到的动态MAC地址不会被老化,可能会使MAC地址表项爆炸式增长,降低系统性能。

使用实例

# 查看MAC地址表中动态表项的老化时间。

<HUAWEI> display mac-address aging-time
  Aging time: 300 second(s)
表7-3  display mac-address aging-time命令输出信息描述

项目

描述

Aging time

动态MAC地址表项的老化时间,单位是秒。相关命令请参见mac-address aging-time

display mac-address blackhole

命令功能

display mac-address blackhole命令用来查看黑洞MAC地址表项信息。

命令格式

display mac-address blackhole [ vlan vlan-id ]

参数说明

参数 参数说明 取值
vlan vlan-id 显示指定VLAN的黑洞MAC地址表项。 整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

设备的MAC地址表用于存放交换机所学习到的其它设备的MAC地址信息。在转发数据时,根据以太网帧中的目的MAC地址和VLAN编号查询MAC表,快速定位设备的出接口。

基本的MAC地址表项分为以下几种类型:
  • 黑洞MAC地址表项用于丢弃含有特定源MAC地址或目的MAC地址的报文,由用户手工配置,表项不会被老化。
  • 静态MAC地址表项由用户手工配置,表项不会被老化。
  • 动态MAC地址表项由设备通过源MAC地址学习获得,表项可通过老化时间进行老化。

用户可通过本命令查看设备中存在的黑洞MAC地址表项,以确定是否正确配置黑洞MAC地址,丢弃指定源MAC地址或目的MAC地址的报文,保证合法用户的通信。

后续任务

用户可以根据查看的结果来判断配置的黑洞MAC地址是否正确,若不正确可以使用undo mac-address命令删除或使用mac-address blackhole命令增加正确表项。

注意事项

如果只输入display mac-address blackhole,不指定任何参数,则显示所有的黑洞MAC地址表项。

如果MAC地址表中没有任何黑洞MAC表项,则本命令的显示结果为空。

使用实例

# 查看所有黑洞MAC地址表项信息。

<HUAWEI> display mac-address blackhole
Flags: * - Backup  
       # - forwarding logical interface, operations cannot be performed based 
           on the interface.
BD   : bridge-domain   Age : dynamic MAC learned time in seconds
-------------------------------------------------------------------------------                                                     
MAC Address    VLAN/VSI/BD   Learned-From        Type                Age                                                            
-------------------------------------------------------------------------------                                                     
0001-0001-0001 100/-/-       -                   blackhole           -                                          
0002-0002-0002 200/-/-       -                   blackhole           -                                          
-------------------------------------------------------------------------------                                                     
Total items: 2
表7-4  display mac-address blackhole命令输出信息描述表

项目

描述

Backup

备份路径。

MAC Address

MAC地址。

VLAN/VSI/BD

  • VLAN:标识接口关联的VLAN。
  • VSI:标识接口关联的VSI(Virtual Switching Instance)。
  • BD:标识接口关联的VXLAN广播域桥域BD。
说明:

只有在支持VXLAN特性的设备上,回显信息才包含BD的内容。

Learned-From

MAC地址类型是blackhole时,此处固定显示"-"。

Type

MAC表项类型。

Age

动态MAC地址学习时间,单位是秒。

display mac-address dynamic

命令功能

display mac-address dynamic命令用来查看动态MAC地址表项信息。

命令格式

display mac-address dynamic [ slot slot-id ] [ vlan vlan-id | interface interface-type interface-number ] *

参数说明

参数

参数说明

取值

slot slot-id

显示指定堆叠ID的设备的动态MAC地址表项。

非堆叠情况下默认为1;堆叠情况下,根据堆叠设备数量而定。

vlan vlan-id

查看VLAN编号是vlan-id的动态MAC地址表项信息。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

interface interface-type interface-number

查看出接口为指定接口的动态MAC地址表项,其中:
  • interface-type表示出接口类型。
  • interface-number表示出接口编号。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

为适应网络的变化,MAC地址表需要不断更新。为了及时了解设备学习到的MAC地址,可通过本命令查看动态MAC地址表项信息。

后续任务

用户通过本命令查看动态MAC地址表项后,若认为动态MAC地址表项已经无效,可通过undo mac-address命令删除系统当前存在的动态MAC地址表项。

注意事项

如果只输入display mac-address dynamic,不指定任何参数,则显示所有的动态MAC地址表项。

如果MAC地址表中没有任何动态MAC表项,则本命令的显示结果为空。

当设备上学习到了大量的动态MAC地址表项,使用本命令查看动态MAC地址表项时,推荐通过指定VLAN等参数对显示的信息进行过滤。否则可能因为显示信息内容过多而导致:
  • 终端屏幕不停地刷新而无法获取需要的信息。
  • 系统长时间的信息遍历和检索,造成系统无响应。

使用实例

# 查看系统所有动态MAC地址表项。

<HUAWEI> display mac-address dynamic
Flags: * - Backup  
       # - forwarding logical interface, operations cannot be performed based 
           on the interface.
BD   : bridge-domain   Age : dynamic MAC learned time in seconds
-------------------------------------------------------------------------------
MAC Address    VLAN/VSI/BD   Learned-From        Type                Age
-------------------------------------------------------------------------------                                                     
0022-0022-0033 100/-/-       10GE1/0/1           dynamic       4294367295   
0000-0000-0001 200/-/-       10GE1/0/2           dynamic         63843672       
-------------------------------------------------------------------------------                                                     
Total items: 2 
表7-5  display mac-address dynamic命令输出信息描述表

项目

描述

Backup

备份路径。

MAC Address

MAC地址。

VLAN/VSI/BD

  • VLAN:标识接口关联的VLAN。
  • VSI:标识接口关联的VSI(Virtual Switching Instance)。
  • BD:标识接口关联的VXLAN广播域桥域BD。
说明:

只有在支持VXLAN特性的设备上,回显信息才包含BD的内容。

Learned-From

学到该MAC地址的接口。

Type

MAC表项类型。

Age

动态MAC地址学习时间,单位是秒。

display mac-address flapping

命令功能

display mac-address flapping命令用来查看MAC地址漂移的历史记录。

命令格式

display mac-address flapping [ slot slot-id ] [ begin YYYY/MM/DD HH:MM:SS ]

参数说明

参数

参数说明

取值

slot slot-id

显示指定堆叠设备上的MAC地址漂移历史记录。

整数形式,根据设备当前的堆叠号来确定。如果没有配置堆叠,取值为1

begin YYYY/MM/DD HH:MM:SS

查看指定时间到现在为止的MAC地址漂移记录。

YYYY/MM/DD 表示“年/月/日 ”。

HH:MM:SS 表示“时:分:秒”。

整数形式。

  • YYYY/MM/DD 的取值范围为2000/01/01~2099/12/31。
  • HH:MM:SS 的取值范围为00:00:00~23:59:59。

视图

所有视图

缺省级别

1:监控级

使用指南

网络中MAC发生漂移时,维护人员可使用该命令的输出信息快速定位到发生MAC地址漂移的位置。

使用实例

# 查看设备上所有的MAC地址漂移的历史记录。

当设备上未发生过MAC地址漂移时,显示信息如下:

<HUAWEI> display mac-address flapping
MAC Address Flapping Configurations :
-------------------------------------------------------------------------------
  Flapping detection          : Enable
  Aging  time(s)              : 300
  Quit-VLAN Recover time(m)   : --
  Exclude VLAN-list           : --
  Security level              : Middle
  Exclude BD-list             : --
------------------------------------------------------------------------------

当设备上发生过MAC地址漂移时,显示信息如下:

<HUAWEI> display mac-address flapping
MAC Address Flapping Configurations :
-------------------------------------------------------------------------------
  Flapping detection          : Enable
  Aging  time(s)              : 300
  Quit-VLAN Recover time(m)   : --
  Exclude VLAN-list           : --
  Security level              : Middle
  Exclude BD-list             : --
-------------------------------------------------------------------------------
S  : start time    E  : end time    (D) : error down
-------------------------------------------------------------------------------
Time                  VLAN MAC Address    Original-Port  Move-Ports     MoveNum
                      /BD                                                      
-------------------------------------------------------------------------------
S:2011-12-11 11:00:08 3    0000-08cc-2206 10GE1/0/1      10GE1/0/2      120  
E:2011-12-11 11:33:13 /-


-------------------------------------------------------------------------------
Total items on slot 1: 1
表7-6  display mac-address flapping 命令输出信息描述表

项目

描述

MAC Address Flapping Configurations

MAC地址漂移配置。

Flapping detection

MAC地址漂移检测功能状态。

  • Enable:已经配置了MAC地址漂移检测功能。
  • Disable:没有配置MAC地址漂移检测功能。

Aging time(s)

MAC地址漂移表项的老化时间。

Quit-VLAN Recover time(m)

接口退VLAN的恢复时间。

“--”表示不支持接口退VLAN的功能。

Exclude VLAN-list

MAC地址漂移检测的VLAN白名单。

如果已经配置了VLAN白名单,显示的是具体的VLAN ID;如果没有配置VLAN白名单,显示为“--”。

Security level

MAC漂移功能的检测安全级别。

  • Low:低级别
  • Middle:中级别
  • High:高级别

Exclude BD-list

MAC地址漂移检测的VXLAN广播域桥域BD白名单。

如果已经配置了BD白名单,显示的是具体的BD ID;如果没有配置BD白名单,显示为“--”。

说明:

只有在支持VXLAN特性的设备上,回显信息才包含BD的内容。

S : start time

标识MAC地址漂移的起始时间。

E : end time

标识MAC地址漂移的结束时间。

(D) : error down

当漂移到达3次时,如果接口配置了Error-Down,该接口就会关闭。

Time

MAC地址漂移开始时间和结束时间。

VLAN/BD

发生MAC地址漂移的VLAN或VXLAN广播域桥域BD

说明:

只有在支持VXLAN特性的设备上,回显信息才包含BD的内容。

MAC Address

发生漂移的MAC地址。

Original-Port

MAC地址漂移的源端口。

Move-Ports

MAC地址漂移后的端口。可能出现多个漂移后端口。

MoveNum

MAC地址发生漂移的次数。

说明:

MAC地址发生漂移的次数最大为65535,即当漂移次数大于65535时,MoveNum仍为65535。

display mac-address forward-engine

命令功能

display mac-address forward-engine命令用来直接查看芯片中的MAC地址表项信息。

命令格式

display mac-address mac-address vlan vlan-id slot slot-id forward-engine
说明:

仅CE6870EI支持此命令。

参数说明

参数

参数说明

取值

mac-address

查看MAC地址是mac-address的MAC表项信息。

格式为H-H-H。其中H为4位的十六进制数,可以输入1~4位,如00e0、fc01。当输入不足4位时,表示前面的几位为0,如:输入e0,等同于00e0。MAC地址不可设置为FFFF-FFFF-FFFF、组播地址。

vlan vlan-id

查看VLAN编号是vlan-id的MAC表项信息。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外。

slot slot-id

显示指定槽位的MAC地址表项。

整数形式,根据系统提示的在位槽位号确定。

forward-engine

直接查看芯片的MAC地址表项。

-

视图

所有视图

缺省级别

3:管理级

使用指南

设备的MAC地址表用于存放交换机所学习到的其它设备的MAC地址信息。在转发数据时,根据以太网帧中的目的MAC地址和VLAN编号查询MAC表,快速定位设备的出接口。

若报文已经通过单播方式转发,但是通过display mac-addressdisplay mac-address dynamic等相关命令无法查询到对应的MAC地址表项,此时可以通过该命令直接查看芯片中是否存在对应的MAC地址表项。

如果指定槽位对应的单板是多芯片,则MAC地址表项按照芯片号分别显示。

使用实例

# 查看1号单板的芯片中是否存在MAC地址为749d-8f4c-dadc,VLAN为1的MAC地址表项。

<HUAWEI> display mac-address 749d-8f4c-dadc vlan 1 slot 1 forward-engine
---- Flags: * - Backup
-------------------------------------------------------------------------------
MAC Address    VLAN/VSI/BD   Learned-From        Type                Age
-------------------------------------------------------------------------------
749d-8f4c-dadc 1/-           10GE4/0/12          dynamic               -
-------------------------------------------------------------------------------
Total items on chip 0: 1
表7-7  display mac-address forward-engine命令输出信息描述表

项目

描述

Backup

备份路径。

MAC Address

MAC地址信息。

VLAN/VSI/BD

设备所属的VLAN\VSI(Virtual Switch Instance)或BD域名称。

Learned-From

学到该MAC地址的接口。在VPLS业务下,MAC地址学习若是从PW侧学习,则显示为PW的对端地址。

Type

标识MAC地址的类型:
  • static:静态MAC地址表项。由用户手工配置,表项不会被老化。
  • blackhole:标识黑洞MAC地址表项,由用户手工配置,表项不会被老化。
  • dynamic:标识动态MAC地址表项,由设备通过源MAC地址学习获得,表项有老化时间,可被老化。
  • security:标识安全动态MAC表项,由接口使能端口安全功能后学习到的MAC地址表项。
  • sticky:标识Sticky MAC表项,由接口使能Sticky MAC功能后学习到的MAC地址表项。
  • mux:标识MUX MAC表项,当接口使能MUX VLAN功能后,该接口学习到的MAC地址表项会记录到mux类型的MAC地址表项中。
  • snooping:根据DHCP Snooping绑定表生成的静态MAC表项类型。
  • evn:标识EVN或EVPN网络中存在的MAC地址表项。
  • authen:用户通过MAC认证或802.1x认证后形成的MAC地址表项。
  • tunnel:通过二层隧道学到的MAC地址。

Age

动态MAC地址学习时间,单位是秒。

display mac-address hash-conflict

命令功能

display mac-address hash-conflict命令用来查看由于哈希冲突而无法添加到芯片的MAC地址。

说明:

CE6870EI和CE6880EI不支持此命令。

命令格式

display mac-address hash-conflict [ mac-address { vlan vlan-id | bridge-domain bd-id } ] [ slot slot-id ]

参数说明

参数 参数说明 取值
mac-address

指定查询的MAC地址。

格式为H-H-H,其中H为1至4位的十六进制数。

vlan vlan-id

指定VLAN ID。

整数形式,取值范围是1~4094。

bridge-domain bd-id

指定桥域ID。

说明:
只有在支持VXLAN特性的设备上才支持此参数。

整数形式,取值范围是1~16777215。

slot slot-id

指定槽位号。

整数或字符串形式。可以在键入“?”后根据设备的提示信息选取。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

当某条MAC地址无法被芯片学习到,可通过执行此命令指定该MAC地址以及对应的VLAN ID,查询当前芯片中对应哈希桶中有哪些导致冲突的MAC地址。

注意事项

不指定MAC地址和VLAN ID时,该命令仅显示历史冲突的MAC地址。

指定MAC地址和VLAN ID时,该命令显示当前时刻和历史的有冲突的MAC地址。

如果设备是多芯片,仅首个检测到发生冲突的芯片会显示历史冲突记录,其他芯片仅显示当前时刻冲突记录。

使用实例

# 查看MAC地址0010-1100-3710的哈希冲突信息。
<HUAWEI> display mac-address hash-conflict 0010-1100-3710 vlan 1111
Flags: * - Current MAC address in the hash bucket of the chip
       _ - Internal bridge domain resource
BD   : bridge-domain
-------------------------------------------------------------------------------
Slot: 1         Chip: 0
-------------------------------------------------------------------------------
MAC Address     VLAN/BD        Conflicting MAC Address    Time
-------------------------------------------------------------------------------
0010-1100-3710  1111/-         0010-1100-7bd2*            -
                               0010-1100-6bd7*            -
                               0010-1100-08a7*            -
                               0010-1100-20c9*            -
                               0010-1100-7c0e*            -
                               0010-1100-6c0b*            -
                               0010-1100-0f7b*            -
                               0010-1100-4465*            -
                               0010-1100-1f7e*            -
                               0010-1100-30cc*            -
                               0010-1100-18a2*            -
                               0010-1100-53bc*            -
                               0010-1100-2715*            -
                               0010-1100-43b9*            -
                               0010-1100-7bd2             2017-02-01 14:32:23
                               0010-1100-6bd7             2017-02-01 14:32:23
                               0010-1100-08a7             2017-02-01 14:32:23
                               0010-1100-20c9             2017-02-01 14:32:23
                               0010-1100-7c0e             2017-02-01 14:32:23
                               0010-1100-6c0b             2017-02-01 14:32:23
                               0010-1100-0f7b             2017-02-01 14:32:23
                               0010-1100-4465             2017-02-01 14:32:23
                               0010-1100-1f7e             2017-02-01 14:32:23
                               0010-1100-30cc             2017-02-01 14:32:23
                               0010-1100-18a2             2017-02-01 14:32:23
                               0010-1100-53bc             2017-02-01 14:32:23
                               0010-1100-2715             2017-02-01 14:32:23
                               0010-1100-43b9             2017-02-01 14:32:23
-------------------------------------------------------------------------------
表7-8  display mac-address hash-conflict命令输出信息描述

项目

描述

Slot

槽位号。

Chip

芯片号。

MAC Address

MAC地址。

VLAN/BD

发生MAC地址冲突的VLAN或VXLAN广播域桥域BD。
说明:
只有在支持VXLAN特性的设备上,回显信息才包含BD的内容。

Conflicting MAC Address

检测到有冲突的MAC地址。

带“*”号表示当前时刻冲突的MAC地址,不带“*”号表示历史冲突的MAC地址。

Time

记录历史冲突的时间。

历史冲突的MAC地址显示具体时间信息,当前时刻冲突的MAC地址仅显示“-”。

display mac-address hash-mode

命令功能

display mac-address hash-mode命令用来查看设备当前运行的MAC Hash模式和当前配置的MAC Hash模式。

说明:
只有CE5810EI、CE5850HI、CE6800系列(CE6870EI和CE6880EI除外)、CE7800系列和CE8800系列支持此命令。

命令格式

display mac-address hash-mode

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

用户在设备上配置了MAC Hash模式后,可以使用本命令检查配置信息是否正确。

注意事项

更改MAC Hash模式后,必须重启设备使配置生效。

使用实例

# 查看设备当前运行的MAC Hash模式和当前配置的MAC Hash模式。

<HUAWEI> display mac-address hash-mode
 Mac-address hash mode status:                                                  
--------------------------------------------                                    
 Slot       CurMode         CfgMode                                             
--------------------------------------------                                    
 1         crc16-lower     crc32-lower                                         
--------------------------------------------      
表7-9  display mac-address hash-mode命令输出信息描述表

项目

描述

Slot

设备的堆叠号。

CurMode

设备上当前运行的MAC Hash模式。

CfgMode

设备上当前配置的MAC Hash模式。

display mac-address mux

命令功能

display mac-address mux命令用来查看系统当前存在的MUX MAC地址表项。

命令格式

display mac-address mux [ vlan vlan-id | interface interface-type interface-number ] *

参数说明

参数

参数说明

取值

vlan vlan-id

查看VLAN编号是vlan-id的MAC地址表项信息。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

interface interface-type interface-number

查看指定接口学习到的MAC地址表项,其中:
  • interface-type表示出接口类型。
  • interface-number表示出接口编号。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

MUX VLAN提供了一种在VLAN内的接口间进行二层流量隔离机制。当接口使能MUX VLAN功能后,该接口学习到的MAC地址表项会记录到MUX类型的MAC地址表项中。设备重启后,该类型的MAC地址表项会被自动删除。当用户需要查看当前系统是否存在MUX MAC地址表项时,可通过执行本命令查看。

用户可通过本命令查看系统中MUX MAC地址表项,可以根据查看的结果来判断学习到的MUX MAC地址是否正确。

后续任务

用户通过本命令查看MUX MAC地址表项后,若认为MUX MAC地址表项已经无效,可通过undo mac-address命令删除系统当前存在的MUX MAC地址表项。

注意事项

如果只输入display mac-address mux,不指定任何参数,则显示所有的MUX MAC地址表项。

如果MAC地址表中没有任何MUX类型的MAC表项,则执行本命令的显示结果为空。

当设备上存在大量MUX MAC地址表项,使用本命令查看MUX MAC地址表项时,推荐通过指定VLAN、接口对显示的信息进行过滤。否则可能因为显示信息内容过多而导致:
  • 终端屏幕不停地刷新而无法获取需要的信息。
  • 系统长时间的信息遍历和检索,造成系统无响应。

使用实例

# 查看MAC地址表中所有MUX MAC地址表项。

<HUAWEI> display mac-address mux
Flags: * - Backup  
       # - forwarding logical interface, operations cannot be performed based 
           on the interface.
BD   : bridge-domain   Age : dynamic MAC learned time in seconds
-------------------------------------------------------------------------------    
MAC Address    VLAN/VSI/BD   Learned-From        Type                Age       
-------------------------------------------------------------------------------
0022-0022-0033 100/-/-       10GE1/0/2           mux              325649
-------------------------------------------------------------------------------
Total items: 1 
表7-10  display mac-address mux命令输出信息描述表

项目

描述

Backup

备份路径。

MAC Address

MAC地址。

VLAN/VSI/BD

  • VLAN:标识接口关联的VLAN。
  • VSI:标识接口关联的VSI(Virtual Switching Instance)。
  • BD:标识接口关联的VXLAN广播域桥域BD。
说明:

只有在支持VXLAN特性的设备上,回显信息才包含BD的内容。

Learned-From

学到该MAC地址的接口。

Type

MAC表项类型。

Age

动态MAC地址学习时间,单位是秒。

display mac-address static

命令功能

display mac-address static命令用来查看静态MAC地址表项信息。

命令格式

display mac-address static [ vlan vlan-id | interface interface-type interface-number ] *

参数说明

参数

参数说明

取值

vlan vlan-id

查看VLAN编号是vlan-id的MAC地址表项信息。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

interface interface-type interface-number

查看指定接口的静态MAC地址表项。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

设备的MAC地址表用于存放交换机所学习到的其它设备的MAC地址信息。在转发数据时,根据以太网帧中的目的MAC地址和VLAN编号查询MAC表,快速定位设备的出接口。

MAC地址表项分为以下几种类型:
  • 静态MAC地址表项由用户手工配置,表项不会被老化。
  • 黑洞MAC地址表项用于丢弃含有特定源MAC地址或目的MAC地址的报文,由用户手工配置,表项不会被老化。
  • 动态MAC地址表项由设备通过源MAC地址学习,表项有老化时间,可被老化。

为提高网络运行的安全性,配置静态MAC地址,使携带特定目的MAC地址的报文由指定接口转发。保证与上行设备或服务器正常通信,不受伪造MAC地址攻击。用户可通过本命令查看系统中静态MAC地址表项信息,可以根据查看的结果来确定用户设备与接口绑定是否正确,保证合法用户的通信。

后续任务

用户通过本命令查看静态MAC地址表项后,若认为静态MAC地址表项已经无效,可通过undo mac-address命令删除系统当前存在的静态MAC地址表项。

注意事项

如果只输入display mac-address static,不指定任何参数,则显示设备上所有的静态MAC地址表项。

如果MAC地址表中没有任何静态MAC表项,则本命令的显示结果为空。

使用实例

# 查看MAC地址表中所有静态MAC地址表项。

<HUAWEI> display mac-address static
Flags: * - Backup  
       # - forwarding logical interface, operations cannot be performed based 
           on the interface.
BD   : bridge-domain   Age : dynamic MAC learned time in seconds
-------------------------------------------------------------------------------                                                     
MAC Address    VLAN/VSI/BD   Learned-From        Type                Age                                                            
-------------------------------------------------------------------------------                                                     
0001-0001-0001 100/-/-       10GE1/0/1           static              -                                          
-------------------------------------------------------------------------------                                                     
Total items: 1
表7-11  display mac-address static命令输出信息描述表

项目

描述

Backup

备份路径。

MAC Address

MAC地址。

VLAN/VSI/BD

  • VLAN:标识接口关联的VLAN。
  • VSI:标识接口关联的VSI(Virtual Switching Instance)。
  • BD:标识接口关联的VXLAN广播域桥域BD。
说明:

只有在支持VXLAN特性的设备上,回显信息才包含BD的内容。

Learned-From

学到该MAC地址的接口。

Type

MAC表项类型。

Age

动态MAC地址学习时间,单位是秒。

display mac-address summary

命令功能

display mac-address summary命令用来查看设备上所有MAC地址表项的汇总信息。

命令格式

display mac-address summary [ slot slot-id ]

参数说明

参数

参数说明

取值

slot slot-id

显示指定堆叠ID的设备上的MAC地址表项汇总信息。

非堆叠情况下默认为1;堆叠情况下,根据堆叠设备数量而定。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

设备的MAC地址表用于存放设备所学习到的其它设备的MAC地址信息。在转发数据时,根据以太网帧中的目的MAC地址和VLAN编号查询MAC表,快速定位设备的出接口。

当设备存在大量的不同类型的MAC地址时,可通过本命令查看当前系统中各种类型MAC地址表项的汇总信息。

注意事项

本命令按堆叠ID来显示MAC表项的汇总信息,如果只输入display mac-address summary,不指定Slot参数,则显示所有设备的MAC地址表项。

使用实例

# 查看设备上MAC地址表项的汇总信息。

<HUAWEI> display mac-address summary
Summary information of slot 1:
Capacity of this slot : 131072
-----------------------------------                                              
Static     :               0  
Blackhole  :               1  
Dyn-Local  :               0  
Dyn-Remote :               0  
Dyn-Trunk  :               0  
OAM        :               0  
Sticky     :               0  
Security   :               0  
Authen     :               0  
Guest      :               0  
Mux        :               0  
Tunnel     :               0
Snooping   :               0
Evn        :               0
In-used    :               1  
-----------------------------------
表7-12  display mac-address summary命令输出信息描述

项目

描述

Capacity of this slot

MAC地址表的规格。以设备具体显示为准。

Static

静态MAC地址表项的总数。

Blackhole

黑洞MAC地址表项的总数。

Dyn-Local

设备学习到的MAC表项总数。

Dyn-Remote

其他设备学习到的MAC表项同步到本设备的总数。

Dyn-Trunk

所有Eth-Trunk接口学到的动态MAC表项总数。

OAM

OAM MAC地址表项的总数。

设备不支持OAM MAC地址。

Sticky

Sticky MAC地址表项的总数。

Security

安全动态MAC地址表项的总数。

Authen

认证MAC地址表项的总数。

设备不支持认证MAC地址。

Guest

加入Guest VLAN的接口学习到的MAC地址表项的总数。

设备不支持Guest VLAN的接口学习到的MAC地址。

Mux

加入MUX VLAN的接口学习到的MAC地址表项的总数。

Tunnel

通过二层隧道学到的MAC地址表项的总数。

Snooping

Snooping类型MAC地址表项的总数。

Evn

Evn类型MAC地址表项的总数。

In-used

MAC表中已存在的表项总数。

display mac-address total-number

命令功能

display mac-address total-number命令用来查看指定类型的MAC地址表项的数目信息。

命令格式

display mac-address total-number [ slot slot-id ]

display mac-address total-number [ vlan vlan-id | interface interface-type interface-number ] *

display mac-address total-number { mux | security | sticky } [ vlan vlan-id | interface interface-type interface-number ] *

display mac-address total-number blackhole [ vlan vlan-id ]

display mac-address total-number dynamic [ vlan vlan-id | interface interface-type interface-number ] *

display mac-address total-number dynamic slot slot-id

display mac-address total-number static [ vlan vlan-id | interface interface-type interface-number ] *

display mac-address total-number snooping [ vlan vlan-id | interface interface-type interface-number ] *

参数说明

参数

参数说明

取值

slot slot-id

显示指定堆叠ID的设备的MAC地址表项统计的数量信息。

非堆叠情况下默认为1;堆叠情况下,根据堆叠设备数量而定。

mux

显示MUX类型MAC地址表项统计的数量信息。

-

dynamic

显示动态MAC地址表项统计的数量信息。

-

security

显示Security类型MAC地址表项统计的数量信息。

-

sticky

显示Sticky类型MAC地址表项统计的数量信息。

-

blackhole

显示黑洞MAC地址表项统计的数量信息。

-

static

显示静态MAC地址表项统计的数量信息。

-

snooping

显示Snooping类型MAC地址表项统计的数量信息。

-

vlan vlan-id

显示指定VLAN的MAC地址表项统计的数量信息。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

interface interface-type interface-number

显示指定接口的MAC地址表项统计的数量信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

设备的MAC地址表用于存放交换机所学习到的其它设备的MAC地址信息。在转发数据时,根据以太网帧中的目的MAC地址和VLAN编号查询MAC表,快速定位设备的出接口。

当设备存在大量的不同类型的MAC地址时,用户需要查看当前系统所有MAC地址表项的数目信息时,可通过本命令查看当前系统中MAC地址表项的数目统计信息。

注意事项

如果不指定任何可选参数,将显示系统中所有MAC地址表项的数目信息。

执行本命令不指定接口时,将显示全部接口的MAC地址表项数量。

执行本命令不指定VLAN时,将显示全部VLAN的MAC地址表项数量。

使用实例

# 查看设备所有动态MAC地址表项的数目。

<HUAWEI> display mac-address total-number dynamic
Total number of mac-address : 20
表7-13  display mac-address total-number命令输出信息描述

项目

描述

Total number of mac-address

当前系统中MAC地址表项的数目的统计信息。

display mac-address tunnel

命令功能

display mac-address tunnel命令用来查看通过二层隧道学习到的MAC地址表项信息。

命令格式

display mac-address tunnel

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

使用实例

# 查看通过二层隧道学习到的MAC地址表项信息。

<HUAWEI> display mac-address tunnel
Flags: * - Backup  
       # - forwarding logical interface, operations cannot be performed based 
           on the interface.
BD   : bridge-domain   Age : dynamic MAC learned time in seconds
-------------------------------------------------------------------------------
MAC Address    VLAN/VSI/BD   Learned-From        Type                Age
-------------------------------------------------------------------------------
0000-0000-0033 100/-/-       10GE1/0/1           tunnel       4294367295
0000-0000-0001 200/-/-       10GE1/0/2           tunnel                -
-------------------------------------------------------------------------------
Total items: 2 
表7-14  display mac-address tunnel命令输出信息描述表

项目

描述

MAC Address

MAC地址信息。

VLAN/VSI/BD

  • VLAN:标识接口关联的VLAN。
  • VSI:标识接口关联的VSI(Virtual Switching Instance)。
  • BD:标识接口关联的VXLAN广播域桥域BD。
说明:

只有在支持VXLAN特性的设备上,回显信息才包含BD的内容。

Learned-From

学到该MAC地址的接口。

Type

MAC表项类型:
  • tunnel:通过二层隧道学习到的MAC地址。

Age

动态MAC地址老化时间。

display mac-address limit

命令功能

display mac-address limit命令用来查看已经配置的MAC地址学习限制规则。

命令格式

display mac-address limit [ interface-type interface-number | vlan vlan-id ]

参数说明

参数

参数说明

取值

interface-type interface-number

查看指定接口的MAC地址学习限制规则,其中:
  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

vlan vlan-id

查看VLAN编号是vlan-id的MAC地址学习限制规则。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

使用本命令可以查看设备当前的MAC地址学习限制规则,可以根据查看的结果来判断配置的MAC地址学习限制规则是否正确,若不正确可以使用mac-address limit命令修改undo mac-address limit all命令删除

注意事项

执行本命令不指定任何参数时,将显示全部接口、VLAN的MAC地址学习限制规则。

使用实例

# 查看所有已经配置的MAC地址学习限制规则。

<HUAWEI> display mac-address limit
MAC Address Limit is enabled
Total MAC Address limit rule count : 1
                                                                
Port                 VLAN/VSI/SI/BD      Slot Maximum Action  Alarm
-------------------------------------------------------------------
10GE1/0/1            2                   --   100     forward enable
表7-15  display mac-limit命令的输出信息描述

项目

描述

MAC Address Limit is enabled

标识MAC地址学习限制规则处于使能状态。

Total MAC Address limit rule count

标识MAC地址学习限制的总数。

Port

接口名称。

VLAN/VSI/SI/BD

VLAN编号/VSI名称/SI名称/广播域桥域BD。
说明:
只有在支持VXLAN特性的设备上,回显信息才包含BD的内容。

Slot

被限制MAC地址学习的堆叠ID号

Maximum

最大MAC地址学习数目。相关命令请参考mac-address limit

Action

超过最大MAC地址学习限制时,对报文应采取的动作。

Alarm

超过最大MAC地址学习限制时,是否进行告警。
  • enable表示进行告警提示。
  • disable表示不进行告警提示。
相关命令请参考mac-address limit
相关主题

display snmp-agent trap feature-name fei_comm all

命令功能

display snmp-agent trap feature-name fei_comm all命令用来查看转发引擎实例公共模块的所有告警开关的信息。

命令格式

display snmp-agent trap feature-name fei_comm all

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

当用户需要查看转发引擎实例公共模块的所有告警开关的信息时,可以通过该命令实现。

使用实例

# 查看转发引擎实例公共模块的所有告警信息。

<HUAWEI> display snmp-agent trap feature-name fei_comm all
------------------------------------------------------------------------------  
Feature name: FEI_COMM                                                          
Trap number : 2                                                                 
------------------------------------------------------------------------------  
Trap name                      Default switch status   Current switch status    
hwPortSecRcvIllegalMacAlarm    on                      on                       
hwXQoSStormControlTrap         on                      on     
表7-16  display snmp-agent trap feature-name fei_comm all命令输出信息描述

项目

描述

Feature name

告警所属的模块名称。

Trap number

告警的数量。

Trap name

告警的名称,转发引擎实例公共模块的告警包括:

  • hwPortSecRcvIllegalMacAlarm:打开端口安全MAC地址数达到最大数后,收到非法MAC地址时上报告警的开关。
  • hwXQoSStormControlTrap:打开接口下广播、组播和未知单播报文速率超过阈值时的告警开关。

Default switch status

缺省告警开关状态:
  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

Current switch status

当前告警开关状态
  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

drop illegal-mac enable

命令功能

drop illegal-mac enable命令用来使能设备丢弃全0非法MAC地址报文的功能。

undo drop illegal-mac enable命令用来取消设备丢弃全0非法MAC地址报文的功能。

缺省情况下,没有使能丢弃全0非法MAC地址报文的功能。

说明:

CE6870EI和CE6880EI不支持此功能。

命令格式

drop illegal-mac enable

undo drop illegal-mac enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

网络中存在一些老的主机或设备,当这些设备网卡发生故障时可能会向网络中发送源MAC地址或目的MAC地址是全0非法MAC的报文。如果交换机收到这些报文时,可执行drop illegal-mac enable命令丢弃该非法报文。当交换机收到源MAC或目的MAC地址为全0非法MAC地址的报文时,会对该报文进行丢弃,并且会产生告警

配置该功能,可以减少设备中MAC表的错误表项。

注意事项

如果设备的告警功能已关闭,网管不能接收到相关告警信息。

使用实例

# 配置丢弃全0非法MAC地址报文的功能。

<HUAWEI> system-view
[~HUAWEI] drop illegal-mac enable

mac-address aging-time

命令功能

mac-address aging-time命令用来配置动态MAC地址表项的老化时间。

undo mac-address aging-time命令用来恢复动态MAC地址表项的老化时间为缺省值。

缺省情况下,动态MAC地址表项的老化时间为300秒。

命令格式

mac-address aging-time aging-time

undo mac-address aging-time

参数说明

参数

参数说明

取值

aging-time

配置动态MAC地址表项的老化时间。

整数形式,取值范围是0,60~1000000,单位是秒,缺省值是300秒。0表示动态MAC地址表项不老化。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

随着网络拓扑的不断变化,设备将会学习到越来越多的MAC地址。为了避免MAC地址表项爆炸式增长,需要使用mac-address aging-time命令为动态MAC表项设置合理的老化时间,及时删除MAC地址表中的废弃MAC地址表项。

系统为每个动态MAC地址表项启动一个老化定时器。如果MAC地址表项是动态学习得到的,而且在设定的两倍表项老化时间内没有被更新,则该表项将被删除。如果得到更新,则该表项的老化时间重新计算。老化时间越短,则设备对周边的网络变化越敏感;反之则越不敏感。

动态MAC地址表项的老化时间需要根据现网实际情况和设备性能来设置。

  • 相对稳定的网络可以设置较长的老化时间,变化频繁的网络应该设置较短的老化时间。
  • 高端设备和低端设备的MAC地址表项存储容量差别较大,可将低端设备的老化时间适当调小,以加速老化节省MAC地址表项。

注意事项

系统复位后,动态表项会丢失,而保存的静态表项和黑洞表项不会老化丢失。

当配置动态MAC地址表项的老化时间为0秒时,学习到的动态MAC地址则不会被老化,可能会使MAC地址表项爆炸式增长,影响设备性能。

全局下只有一个动态MAC地址表项的老化时间,多次执行mac-address aging-time命令后,以最后一次配置为准。

使用实例

# 配置动态MAC地址表项的老化时间为500秒。

<HUAWEI> system-view
[~HUAWEI] mac-address aging-time 500

mac-address blackhole

命令功能

mac-address blackhole命令用来配置黑洞MAC地址表项。

undo mac-address blackhole命令用来删除黑洞MAC地址表项。

缺省情况下,设备没有配置黑洞MAC地址表项。

命令格式

mac-address blackhole mac-address vlan vlan-id

undo mac-address blackhole [ mac-address ] [ vlan vlan-id ]

参数说明

参数

参数说明

取值

mac-address

指定黑洞MAC地址表项对应的MAC地址。

格式为H-H-H,其中H为1至4位的十六进制数。MAC地址不可设置为FFFF-FFFF-FFFF、组播地址。

vlan vlan-id

指定黑洞MAC地址表项对应的VLAN编号。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址,过滤掉非法MAC地址。当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,且报文携带的VLAN为黑洞MAC对应的VLAN时,直接丢弃。

前置条件

配置黑洞MAC表项前,接口必须先加入对应VLAN,否则无法成功配置。

注意事项

  • MAC地址表已满的情况下,继续配置黑洞MAC地址表项,则系统的处理方法如下:
    • 如果MAC地址表中存在和黑洞MAC地址相同的动态MAC表项,则添加的黑洞MAC表项自动覆盖动态MAC地址表项。“和黑洞MAC地址相同”指的是MAC地址和VLAN相同。
    • 如果MAC地址表中不存在和黑洞MAC地址相同的动态MAC表项,则该黑洞MAC表项将配置失败。
  • 系统可以配置多个黑洞MAC地址表项,多次执行mac-address blackhole命令后,配置结果是多次配置的累加。

使用实例

# 在MAC地址表中增加黑洞MAC地址表项:MAC地址为0004-0004-0004,用户VLAN属于VLAN 5。

<HUAWEI> system-view
[~HUAWEI] vlan 5
[*HUAWEI-vlan5] quit
[*HUAWEI] mac-address blackhole 0004-0004-0004 vlan 5

mac-address drop static-conflict enable

命令功能

mac-address drop static-conflict enable命令用来打开丢弃与静态MAC地址冲突的报文功能。

undo mac-address drop static-conflict enable命令用来关闭丢弃与静态MAC地址冲突的报文功能。

缺省情况下,设备已经打开丢弃与静态MAC地址冲突的报文功能。

说明:

只有CE6850HI、CE6850U-HI、CE6851HI、CE6855HI、CE6856HI、CE7850EI、CE7855EI、CE8850EI和CE8860EI支持该命令。

命令格式

mac-address drop static-conflict enable

undo mac-address drop static-conflict enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

默认情况下,设备会丢弃与静态MAC地址冲突的报文,这样不仅可以降低设备的负荷,同时安全也得到了保证。

使用实例

# 打开丢弃与静态MAC地址冲突的报文功能。

<HUAWEI> system-view
[~HUAWEI] mac-address drop static-conflict enable

mac-address flapping aging-time

命令功能

mac-address flapping aging-time命令用来配置MAC地址漂移表项的老化时间。

undo mac-address flapping aging-time命令用来恢复MAC地址漂移表项的老化时间为缺省值。

缺省情况下,MAC地址漂移表项的老化时间为300秒。

命令格式

mac-address flapping aging-time aging-time

undo mac-address flapping aging-time

参数说明

参数

参数说明

取值

aging-time

MAC地址漂移表项的老化时间。

整数形式,取值范围是60~900。单位为秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

如果用户修改MAC地址漂移表项的老化时间变长,会导致漂移再次发生,Error-Down的时间变长。为了能够正常检测到MAC地址漂移,可以使用该命令修改漂移表项的老化时间。

注意事项

多次执行mac-address flapping aging-time命令,结果按最后一次配置生效。

使用实例

# 配置MAC地址漂移表项的老化时间为500秒。

<HUAWEI> system-view
[~HUAWEI] mac-address flapping aging-time 500

mac-address flapping detection

命令功能

mac-address flapping detection命令用来配置MAC地址漂移检测功能。

undo mac-address flapping detection命令用来取消配置MAC地址漂移检测功能。

缺省情况下,已经配置了MAC地址漂移检测功能,检测安全级别为中级别。

命令格式

mac-address flapping detection [ security-level { low | middle | high } ]

undo mac-address flapping detection [ security-level { low | middle | high } ]

参数说明

参数 参数说明 取值
security-level 指定MAC漂移功能的检测安全级别。 -
low 指定MAC漂移功能的检测安全级别为低级别,即MAC地址发生50次迁移后,系统认为发生了MAC地址漂移。 -
middle 指定MAC漂移功能的检测安全级别为中级别,即MAC地址发生10次迁移后,系统认为发生了MAC地址漂移。 -
high 指定MAC漂移功能的检测安全级别为高级别,即MAC地址发生3次迁移后,系统认为发生了MAC地址漂移。 -

视图

系统视图

缺省级别

2:配置级

使用指南

MAC地址漂移即设备上一个接口学习到的MAC地址在同一VLAN中另一个接口上也被学习到,后学习到的MAC地址表项覆盖原来的表项。

MAC地址漂移可由以下原因引起:

  • 网络中交换机网线误接或配置错误形成了环网,导致MAC地址漂移。
  • 网络中某些非法用户进行MAC地址攻击。

配置MAC地址漂移检测功能可以检测到设备上所有的MAC地址是否发生了漂移。若发生漂移,设备会上报告警到网管系统,维护人员可根据告警信息定位故障,也可以使用display mac-address flapping命令查看MAC地址漂移的历史记录。

缺省情况下,MAC刷新ARP功能处于开启状态。如果MAC漂移超过10次时,设备会关闭MAC刷新ARP功能。待MAC漂移消除后,设备会自动重新开启MAC刷新ARP功能。

执行undo mac-address flapping detection命令,将不能检测MAC地址漂移,如果网络中存在环路将不能及时发现。

使用实例

# 配置交换机的MAC flapping检测功能。

<HUAWEI> system-view
[~HUAWEI] mac-address flapping detection

mac-address flapping detection exclude mac-address

命令功能

mac-address flapping detection exclude命令用来将指定MAC加入MAC漂移检测白名单,即不检测该MAC。

undo mac-address flapping detection exclude命令用来将指定MAC从MAC漂移检测白名单中删除。

缺省情况下,没有指定MAC加入MAC漂移检测白名单。

命令格式

mac-address flapping detection exclude mac-address mac-address-mask

undo mac-address flapping detection exclude mac-address mac-address-mask

参数说明

参数 参数说明 取值
mac-address

指定MAC地址。

格式为H-H-H。其中H为4位的十六进制数,可以输入1~4位,如00e0、fc01。当输入不足4位时,表示前面的几位为0,如:输入e0,等同于00e0。

mac-address-mask

指定MAC地址掩码。

整数形式,取值范围是24~48。

视图

系统视图

缺省级别

2:配置级

使用指南

缺省情况下,系统会对设备上的所有MAC进行MAC漂移检测。但是在某些特定场景下产生的漂移,如特定设备导致漂移或者设备运行过程中故障导致漂移,用户认为这些情况不是漂移,不需要检测。

此时,用户可以使用mac-address flapping detection exclude命令将指定MAC加入MAC漂移检测白名单,不对该MAC进行检测。配置成功后,该MAC发生的漂移不上报告警,也不显示在MAC漂移历史记录中。

使用实例

# 将指定MAC加入MAC漂移检测白名单。

<HUAWEI> system-view
[~HUAWEI] mac-address flapping detection exclude 1-1-1 48

mac-address flapping detection exclude vlan

命令功能

mac-address flapping detection exclude vlan命令用来配置MAC地址漂移检测的VLAN白名单,即不检测的VLAN。

undo mac-address flapping detection exclude vlan命令用来删除MAC地址漂移检测的VLAN白名单。

缺省情况下,没有配置MAC地址漂移检测的VLAN白名单。

命令格式

mac-address flapping detection exclude vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

undo mac-address flapping detection exclude vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all }

参数说明

参数

参数说明

取值

vlan-id1 [ to vlan-id2 ]

指定MAC flapping检测的VLAN白名单。

其中:
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。

vlan-id2的取值必须大于vlan-id1的取值。

一次配置中最多可以执行10次vlan-id1 [ to vlan-id2 ] 参数。

  • vlan-id1为整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外
  • vlan-id2为整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

all

清除MAC flapping检测的所有VLAN白名单。

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

缺省情况下,系统会对交换机上所有VLAN进行MAC地址漂移检测。数据中心虚拟化应用场景(主要是指对于虚拟终端的迁移)也会造成MAC地址的漂移现象,但此时的漂移是正常的,这种情况不需要做为MAC地址漂移被检测出来。

用户可以使用本命令将虚拟终端所在的VLAN加入MAC地址漂移检测白名单,不对该VLAN进行检测。配置成功后,该VLAN内发生的漂移不上报告警,也不显示在MAC地址漂移历史记录中。

注意事项

多次执行mac-address flapping detection exclude vlan命令,结果按多次配置的累加生效。

使用实例

# 配置系统不对VLAN 5进行MAC地址漂移检测。

<HUAWEI> system-view
[~HUAWEI] mac-address flapping detection exclude vlan 5

mac-address flapping periodical trap enable

命令功能

mac-address flapping periodical trap enable命令用来使能MAC漂移定时上报Trap功能。

undo mac-address flapping periodical trap enable命令用来去使能MAC漂移定时上报Trap功能。

缺省情况下,MAC漂移定时上报Trap功能处于去使能状态。

命令格式

mac-address flapping periodical trap enable

undo mac-address flapping periodical trap enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

配置全局MAC漂移检测功能可以检测到设备上所有的MAC地址是否发生了漂移。若发生漂移,设备会上报告警给用户。缺省情况下,告警每隔0.5小时才会上报一次,不方便用户及时查看MAC漂移的排除情况。因此可以执行mac-address flapping periodical trap enable命令使能MAC漂移功能定时上报Trap的功能。

后续任务

使能MAC漂移功能定时上报Trap的功能后,可以执行mac-address flapping periodical trap interval interval命令配置MAC漂移定时上报Trap的时间间隔。

使用实例

# 使能MAC漂移定时上报Trap功能。

<HUAWEI> system-view
[~HUAWEI] mac-address flapping periodical trap enable

mac-address flapping periodical trap interval

命令功能

mac-address flapping periodical trap interval命令用来配置MAC漂移定时上报Trap的时间间隔。

undo mac-address flapping periodical trap interval命令用来将配置的MAC漂移定时上报Trap的时间间隔恢复为缺省值。

缺省情况下,MAC漂移定时上报Trap的时间间隔是2分钟。

命令格式

mac-address flapping periodical trap interval interval

undo mac-address flapping periodical trap interval [ interval ]

参数说明

参数 参数说明 取值
interval 指定MAC漂移定时上报Trap的时间间隔。 整数形式,取值范围是2~30,单位是分钟。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

配置全局MAC漂移检测功能可以检测到设备上所有的MAC地址是否发生了漂移。若发生漂移,设备会上报告警给用户。缺省情况下,告警每隔半小时才会上报一次,不方便用户及时查看MAC漂移的排除情况。因此在使能MAC漂移定时上报Trap功能后,可以执行mac-address flapping periodical trap interval interval命令配置上报Trap的时间间隔。

前置条件

执行mac-address flapping periodical trap enable命令使能MAC漂移定时上报Trap功能。

使用实例

# 配置MAC漂移定时上报Trap功能的时间间隔是5分钟。
<HUAWEI> system-view
[~HUAWEI] mac-address flapping periodical trap interval 5

mac-address flapping trigger

命令功能

mac-address flapping trigger命令用来配置接口发生MAC地址漂移后将接口Error-Down。

undo mac-address flapping trigger命令用来取消配置接口发生MAC地址漂移后将接口Error-Down的处理动作。

缺省情况下,没有配置接口MAC地址漂移后将接口Error-Down的处理动作。

命令格式

mac-address flapping trigger error-down

undo mac-address flapping trigger error-down

参数说明

参数

参数说明

取值

error-down

指定接口发生MAC地址漂移后的处理动作为关闭漂移后的接口。

-

视图

GE接口视图、10GE接口视图、40GE接口视图、25GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

用户网络中由于环网造成了MAC地址漂移,且网络不支持破环协议,可以在相应接口上配置发生MAC地址漂移后的处理动作来实现破环。

接口配置了MAC地址漂移处理动作后,如果系统检测到是该接口学习的MAC发生漂移,会将该接口关闭。在一个MAC地址漂移表项老化周期内只能关闭一个接口。

说明:

所有接口下都可以配置该命令,仅对Move-Port接口生效。

注意事项

不建议在上行接口配置mac-address flapping trigger命令。

MAC地址漂移检测功能只能做单点环路检测,无法获取整个网络的拓扑信息。如果网络支持破环协议,建议使用破环协议来消除环路。

配置发生MAC地址漂移后触发接口Error-Down后,如果检测到发生MAC地址漂移,接口将会被Error-Down并上报告警。Error-Down是指设备检测到故障后将接口状态设置为ERROR DOWN状态,此时接口不能收发报文,接口指示灯为常灭。可以通过display error-down recovery命令可以查看设备上所有被Error-Down的接口信息。

接口被Error-Down时,建议先排除引起接口Error-Down的原因。有以下两种方式可以恢复接口状态:
  • 手动恢复(Error-Down发生后)

    当处于Error-Down状态的接口数量较少时,可在该接口视图下依次执行命令shutdownundo shutdown,或者执行命令restart,重启接口。

  • 自动恢复(Error-Down发生前)

    如果处于Error-Down状态的接口数量较多,逐一手动恢复接口状态将产生大量重复工作,且可能出现部分接口配置遗漏。为避免这一问题,用户可在系统视图下执行命令error-down auto-recovery cause mac-address-flapping interval interval-value使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间。可以通过display error-down recovery查看接口状态自动恢复信息。

    说明:

    此方式对已经处于Error-Down状态的接口不生效,只对配置该命令后进入Error-Down状态的接口生效。

当检测到发生MAC地址漂移导致接口被Error-Down时,如果在未排除故障原因的情况行下,通过在接口视图下依次执行命令shutdownundo shutdown,或者执行命令restart,重启接口。在动态MAC地址表项的老化时间内,如果发生MAC地址漂移,该接口也不会被Error-Down。

使用实例

# 配置交换设备检测到接口10GE1/0/1存在MAC地址漂移后关闭该接口。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] mac-address flapping trigger error-down

mac-address hash-mode

命令功能

mac-address hash-mode命令用来配置设备的MAC Hash模式。

undo mac-address hash-mode命令用来恢复设备的MAC Hash模式为缺省值。

缺省情况下,设备的Hash模式为crc32-lower

说明:
只有CE5810EI、CE5850HI、CE6800系列(CE6870EI和CE6880EI除外)、CE7800系列和CE8800系列支持此命令。

命令格式

mac-address hash-mode { crc16-lower | crc16-upper | crc32-lower | crc32-upper | lsb }

undo mac-address hash-mode { crc16-lower | crc16-upper | crc32-lower | crc32-upper | lsb }

参数说明

参数

参数说明

取值

crc16-lower

指定Hash算法为16位低比特循环冗余校验模式。

-

crc16-upper

指定Hash算法为16位高比特循环冗余校验模式。

-

crc32-lower

指定Hash算法为32位低比特循环冗余校验模式。

-

crc32-upper

指定Hash算法为32位高比特循环冗余校验模式。

-

lsb

指定Hash算法为Key值最低有效位校验模式。

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为了提升MAC转发性能,设备一般都会通过一定的Hash算法进行学习MAC地址。当出现多个MAC地址匹配到同一个Key值时,就可能出现MAC Hash冲突。

MAC Hash冲突一般表现为大量的MAC地址无法学习到,到该MAC的流量只能通过广播方式发送,导致设备上的广播流量很大。出现这种问题后,可以通过尝试配置更合适的MAC Hash算法来降低冲突。

注意事项

  • 由于MAC地址分布没有规律性,因此无法确定哪种Hash算法最优。在通常情况下,默认算法为最优算法,建议用户不要轻易变更。

  • 配置合适的MAC Hash模式只能缓解MAC地址学习的Hash冲突,不能彻底解决冲突问题。

  • 更改MAC Hash模式后,必须在保存配置后重启设备使配置生效。

  • 多次执行mac-address hash-mode命令,结果按最后一次配置生效。

使用实例

# 配置设备的MAC Hash模式为crc16-lower

<HUAWEI> system-view
[~HUAWEI] mac-address hash-mode crc16-lower

mac-address learning disable(接口视图)

命令功能

mac-address learning disable命令用来关闭MAC地址学习功能。

undo mac-address learning disable命令用来打开MAC地址学习功能。

缺省情况下,MAC地址学习功能处于打开状态。

命令格式

mac-address learning disable [ action { discard | forward } ]

undo mac-address learning disable

参数说明

参数

参数说明

取值

action

指定接口禁止MAC地址学习功能后,接口所采取的动作。

  • 该参数只在接口视图和端口组视图下生效,且所指定的接口必须是二层接口。

  • 该参数主要针对指定二层接口不需要学习MAC地址情况下,报文是否需要转发。

缺省情况下,指定禁止MAC地址学习功能后,接口所采取的动作是forward

-

discard

指定丢弃动作。

-

forward

指定转发动作。

-

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

网络管理人员为提高设备的安全性,可以指定某些接口只允许某些MAC地址的报文通过。如某接口固定与某台服务器相连,可以在该接口上配置该服务器的静态MAC地址,且关闭该接口的MAC地址学习功能,指定动作为丢弃。这样其他服务器或终端将无法通过该接口通信,增强了网络的稳定性和安全性。

当MAC地址学习功能处于打开状态时,收到来自周边设备的以太网帧,解析出源MAC地址,结合接收该以太网帧的接口,在MAC地址表项中添加新表项。以后,交换机接收到去往该目的MAC地址的以太网帧时,则直接查询MAC地址表项就可以得到正确的发送接口,避免了广播。

关闭MAC地址学习功能后,设备将不会再从该接口学习新的MAC地址。关闭MAC地址学习后可配置的动作有discardforward

  • 当动作配置为forward时,会对报文的源MAC地址进行匹配,当源MAC地址与MAC地址表项匹配时,则对该报文进行转发;当源MAC地址与MAC地址表项不匹配时,即广播报文。
  • 当动作配置为discard时,会对报文的源MAC地址进行匹配,当源MAC地址与MAC地址表项匹配时,则对该报文进行转发;当源MAC地址与MAC地址表项不匹配时,则丢弃该报文。

注意事项

配置关闭MAC地址学习功能后,设备将不会再从该接口学习新的MAC地址,但是无法做到阻止某些设备或终端访问网络。

使用实例

# 关闭接口10GE1/0/1的MAC地址学习功能。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] mac-address learning disable

mac-address learning disable(VLAN视图)

命令功能

mac-address learning disable命令用来关闭MAC地址学习功能。

undo mac-address learning disable命令用来打开MAC地址学习功能。

缺省情况下,MAC地址学习功能处于打开状态。

命令格式

mac-address learning disable

undo mac-address learning disable

参数说明

视图

VLAN视图、VLAN-Range视图

缺省级别

2:配置级

使用指南

应用场景

网络管理人员为提高设备的安全性,可以指定某些VLAN只允许某些MAC地址的报文通过。关闭MAC地址学习功能后,设备将不会再从该VLAN学习新的MAC地址,这样将无法通过该VLAN通信,增强了网络的稳定性和安全性。

当MAC地址学习功能处于打开状态时,收到来自周边设备的以太网帧,解析出源MAC地址,在MAC地址表项中添加新表项。以后,交换机接收到去往该目的MAC地址的以太网帧时,则直接查询MAC地址表项就可以得到正确的发送接口,避免了广播。

使用实例

# 关闭VLAN编号为2的MAC地址学习功能。

<HUAWEI> system-view
[~HUAWEI] vlan 2
[*HUAWEI-vlan2] mac-address learning disable

mac-address learning disable(流行为视图)

命令功能

mac-address learning disable命令用来在流行为中去使能MAC地址学习功能。

undo mac-address learning disable命令用来使能流行为中的MAC地址学习功能。

缺省情况下,流行为中的MAC地址学习功能处于使能状态。

命令格式

mac-address learning disable

undo mac-address learning disable

参数说明

视图

流行为视图

缺省级别

2:配置级

使用指南

应用场景

禁止MAC地址学习功能,主要应用在以下场景:

  • 在网络比较稳定、报文的MAC地址相对固定的情况下,设备没有必要继续学习其他所有报文的MAC地址。此时通过应用流策略,对策略下所有流分类禁止MAC地址学习功能,既可以节省MAC地址表项开支,也可以提高设备的运行效率。
  • 某些非法用户有时会采用频繁变换MAC地址的方式对网络进行攻击,此时通过应用流策略,对策略下所有流分类禁止MAC地址学习功能,可以避免此类攻击所造成的设备MAC地址表项溢出的问题,保护设备性能不受影响。

后续任务

执行traffic policy命令创建流策略,并在流策略视图下执行classifier behavior命令将相应的流分类跟配置了禁止MAC地址学习功能的流行为绑定。

注意事项

  • 包含禁止MAC地址学习的流策略只能应用在入方向上。

  • 在SVF场景下,不支持在流行为视图下配置禁止MAC地址学习。

  • mac-address learning disable(流行为视图)命令与mac-address learning disable(接口视图)mac-address learning disable(VLAN视图)命令在功能上基本相似,主要区别在于:mac-address learning disable(流行为视图)命令仅针对匹配用户自定义流分类的报文生效,并通过流策略在全局、接口或VLAN下应用来实现;而后者直接在物理接口、端口组或VLAN下配置即实现,对于相应视图下的所有报文均生效。

  • 如果需要设备在接口、端口组或VLAN范围内禁止学习MAC地址,应选择配置mac-address learning disable(接口视图)命令或者mac-address learning disable(VLAN视图);如果仅需要禁止学习特定流分类的MAC地址,应选择配置流行为视图下的mac-address learning disable命令。用户应根据实际需要灵活选择所需配置。

使用实例

# 在流行为test中配置关闭MAC地址学习功能。

<HUAWEI> system-view
[~HUAWEI] traffic behavior test
[*HUAWEI-behavior-test] mac-address learning disable

mac-address notification

命令功能

mac-address notification命令用来使能MAC地址学习或老化的告警功能。

undo mac-address notification命令用来去使能MAC地址学习和老化的告警功能。

缺省情况下,未使能MAC地址学习或老化的告警功能。

命令格式

mac-address notification { aging | learning | all }

undo mac-address notification { aging | learning | all }

参数说明

参数

参数说明

取值

aging

使能MAC地址老化的告警功能。

-

learning

使能MAC地址学习的告警功能。

-

all

使能MAC地址老化和学习的告警功能。

-

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

当用户需要及时了解MAC地址的变化情况时,可通过该命令来配置设备学习到MAC地址和MAC地址发生老化时发送告警的功能。

使用实例

# 配置设备在接口10GE1/0/1上学习到MAC地址时发送告警。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] mac-address notification learning

mac-address notification interval

命令功能

mac-address notification interval命令用来配置设备对MAC地址发生学习或老化的检查周期。

undo mac-address notification interval命令用来将设备对MAC地址发生学习或老化的检查周期恢复为缺省值。

缺省情况下,设备对MAC地址发生学习或老化的检查周期为10秒。

命令格式

mac-address notification interval interval-time

undo mac-address notification interval [ interval-time ]

参数说明

参数

参数说明

取值

interval-time

设备对MAC地址发生学习或老化的检查周期。

整数形式,取值范围是10~600,单位为秒。缺省值是10。

视图

系统视图

缺省级别

2:配置级

使用指南

用户通过命令mac-address notification配置了设备学习到MAC地址或MAC地址发生老化时发送告警的功能后,设备会周期性检查是否发生了MAC地址学习或MAC地址老化,该周期即可通过命令mac-address notification interval来配置。

使用实例

# 配置设备对MAC地址发生学习或老化的检查周期为20秒。

<HUAWEI> system-view
[~HUAWEI] mac-address notification interval 20

mac-address static vlan

命令功能

mac-address static vlan命令用来配置静态MAC地址表项。

undo mac-address static vlan命令用来删除静态MAC地址表项。

缺省情况下,设备没有配置静态MAC地址表项。

命令格式

mac-address static mac-address interface-type interface-number vlan vlan-id

undo mac-address static [ interface-type interface-number | vlan vlan-id ] *

undo mac-address static mac-address interface-type interface-number vlan vlan-id

参数说明

参数

参数说明

取值

mac-address

指定静态MAC表项对应的MAC地址。

格式为H-H-H,其中H为1至4位的十六进制数。MAC地址不可设置为FFFF-FFFF-FFFF、组播地址。

interface-type interface-number

指定出接口为指定接口的静态MAC地址表项。

-

vlan vlan-id

指定出接口所属的VLAN编号。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

手动配置静态MAC地址表项,一般应用在以下两种场景:
  • 用于提高安全性。对通过伪装成合法用户MAC地址进行攻击的非法用户报文,直接丢弃。
  • 有效指导报文进行单播转发,节省带宽。

注意事项

  • 静态MAC地址表项指定的VLAN必须已经创建,并且已经加入指定的出接口。
  • MAC地址表已满的情况下,继续配置静态MAC地址表项,则系统的处理方法如下:
    • 如果MAC地址表中存在和静态MAC地址相同的动态MAC表项,则添加的静态MAC表项自动覆盖动态MAC地址表项。“和静态MAC地址相同”指的是MAC地址和VLAN相同。
    • 如果MAC地址表中不存在和静态MAC地址相同的动态MAC表项,则该静态MAC表项将配置失败。
  • 系统可以配置多个静态MAC地址表项,多次执行mac-address static命令后,配置结果是多次配置的累加。
  • 如果设备上已经存在snooping(根据DHCP Snooping绑定表生成的静态MAC表项类型)类型的MAC表项,那么此MAC表项不能再配置成静态MAC。

使用实例

# 在MAC地址表中增加静态MAC地址表项:目的MAC地址为0003-0003-0003,VLAN为4,出接口为10ge1/0/2,即目的MAC地址为0003-0003-0003,VLAN为4的报文,从接口10ge1/0/2转发出去。

<HUAWEI> system-view
[~HUAWEI] vlan 4
[*HUAWEI-vlan4] quit
[*HUAWEI] interface 10ge 1/0/2
[*HUAWEI-10GE1/0/2] port link-type access
[*HUAWEI-10GE1/0/2] port default vlan 4
[*HUAWEI-10GE1/0/2] quit
[*HUAWEI] mac-address static 0003-0003-0003 10ge 1/0/2 vlan 4

mac-address update arp enable

命令功能

mac-address update arp enable命令用来使能MAC刷新ARP功能,即MAC地址的出接口变化时,通知更新ARP表项的出接口。

undo mac-address update arp enable命令用来关闭MAC刷新ARP功能。

缺省情况下,设备已经使能MAC刷新ARP功能。

命令格式

mac-address update arp enable

undo mac-address update arp enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在以太网中,MAC地址表项用于指导设备进行二层数据转发,ARP表项通过IP地址和MAC地址的映射指导设备进行不同网段间的通信。

MAC地址表项的出接口通过报文触发刷新的,ARP表项的出接口是在老化时间到后通过老化探测进行刷新的。这样就可能会出现MAC表项和ARP表项出接口不一致的情况,即MAC地址表项的出接口已刷新,而ARP表项的出接口没有及时刷新的情况。此时可以使能MAC刷新ARP的功能,在MAC地址表项出接口刷新时,直接刷新ARP表项的出接口。

在数据中心虚拟化场景中,当VM位置发生迁移时,如果VM不能及时发送免费ARP报文刷新网关设备上的ARP表项,可能会导致网络中用户流量的中断。这种情况下,只有等到网关设备上的ARP表项老化之后,通过ARP报文的交互,重新学习新的ARP表项。

配置MAC刷新ARP之后,VM位置发生迁移,当用户的二层流量刷新网关设备的MAC表项时,
  • ARP表项存在,MAC表项和ARP表项的出接口不一致,则通过MAC表项刷新ARP表项,更新出接口信息,加速三层流量的收敛。
  • ARP表项不存在,根据MAC查找广播抑制表,重新发起一次ARP探测,刷新ARP表项,更新出接口信息,加速三层流量的收敛。

注意事项

  • 该命令只对动态ARP表项生效,不会更新静态ARP表项。

  • 使用arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable命令配置ARP表项固化功能后,该命令不生效。

  • 使能了MAC刷新ARP功能后,只有MAC表项的出接口发生变化,才会更新对应的ARP表项。

  • 缺省情况下,MAC刷新ARP功能处于开启状态。如果MAC漂移超过10次时,设备会关闭MAC刷新ARP功能。待MAC漂移消除后,设备会自动重新开启MAC刷新ARP功能。

使用实例

# 使能设备的MAC刷新ARP功能。

<HUAWEI> system-view
[~HUAWEI] mac-address update arp enable
相关主题

mac-address learning priority

命令功能

mac-address learning priority命令用来配置接口学习MAC地址的优先级。

undo mac-address learning priority命令用来恢复接口学习MAC地址的优先级为缺省值。

缺省情况下,接口学习MAC地址的优先级为0。

说明:

CE6870EI和CE6880EI不支持此命令。

命令格式

mac-address learning priority priority-id

undo mac-address learning priority

参数说明

参数

参数说明

取值

priority priority-id

接口学习MAC地址的优先级。

整数形式,取值范围是0~3,数值越大优先级越高。

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

网络交换机的上行接口连接服务器,下行接口连接用户。为防止非法用户伪造服务器MAC地址入侵交换机,可以提高服务器侧接口的MAC地址学习优先级,接口配置不同优先级之后,如果不同接口学到相同的MAC地址表项,那么高优先级接口学到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项,反之则不能覆盖。以保证交换机不会从其他接口学习到伪造服务器的MAC地址。这样用户可以访问正确的服务器,正常使用网络资源。

如果接口优先级相同,可以通过undo mac-address learning priority allow-flapping命令配置不允许相同优先级的接口发生MAC地址表项覆盖。

mac-address learning priority命令和undo mac-address learning priority allow-flapping命令都可以提高网络的安全性,区别在于:

  • undo mac-address learning priority allow-flapping命令配置不允许相同优先级的接口发生MAC地址漂移时,如果网络设备下电,此时会学习到伪造网络设备的MAC地址,当网络设备再次上电时将无法学习到正确的MAC地址。
  • mac-address learning priority命令配置接口学习MAC地址优先级时,如果网络设备下电,此时会学习到伪造网络设备的MAC地址,当网络设备再次上电时还可以学习到正确的MAC地址。

注意事项

本命令为覆盖式命令,每个接口只允许配置一个MAC地址学习优先级,多次执行mac-address learning priority命令后,以最后一次配置为准。

使用实例

# 配置接口学习MAC地址的优先级为3。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/2
[~HUAWEI-10GE1/0/2] mac-address learning priority 3

mac-address learning priority allow-flapping

命令功能

mac-address learning priority allow-flapping命令用来配置允许相同优先级的接口发生MAC地址漂移。

undo mac-address learning priority allow-flapping命令用来配置不允许相同优先级的接口发生MAC地址漂移。

缺省情况下,允许相同优先级的接口发生MAC地址漂移。

说明:

CE6870EI和CE6880EI不支持此命令。

命令格式

mac-address learning priority priority-id allow-flapping

undo mac-address learning priority priority-id allow-flapping

参数说明

参数

参数说明

取值

priority priority-id

接口学习MAC地址的优先级。

整数形式,取值范围是0~3,数值越大优先级越高。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

网络中交换机的上行接口连接服务器,下行接口连接用户。为防止非法用户伪造服务器MAC地址入侵交换机,可以配置不允许相同优先级的接口发生MAC地址漂移。这样接口将不再学习相同的MAC地址,非法用户将无法使用网络设备MAC地址干扰交换机与网络设备正常通信。

mac-address learning priority命令和undo mac-address learning priority allow-flapping命令都可以防止MAC地址漂移,区别在于:

  • undo mac-address learning priority allow-flapping命令配置不允许相同优先级的接口发生MAC地址漂移时,如果网络设备下电,此时会学习到伪造网络设备的MAC地址,当网络设备再次上电时将无法学习到正确的MAC地址。
  • mac-address learning priority命令配置接口学习MAC地址优先级时,如果网络设备下电,此时会学习到伪造网络设备的MAC地址,当网络设备再次上电时还可以学习到正确的MAC地址。

使用实例

# 配置不允许优先级为1的接口发生MAC地址漂移。

<HUAWEI> system-view
[~HUAWEI] undo mac-address learning priority 1 allow-flapping

mac-address limit

命令功能

mac-address limit命令用来配置MAC地址学习限制规则。

undo mac-address limit命令用来取消配置MAC地址学习限制规则。

缺省情况下,没有配置MAC地址学习限制规则。

命令格式

mac-address limit { maximum max-num | action { discard | forward } | alarm { disable | enable } } *

undo mac-address limit

参数说明

参数

参数说明

取值

action { discard | forward }

MAC地址表项数目达到限制后,系统所采取的动作。
  • discard:MAC地址表项数目达到限制后,源MAC为新MAC地址的报文将被丢弃。
  • forward:MAC地址表项数目达到限制后,源MAC为新MAC地址的报文继续被转发,但是MAC地址表项不记录。

如果没有配置action参数,MAC地址表项数目达到限制后,接口视图下系统默认所采取的动作是discard,VLAN视图下默认采取的动作是forward

alarm { disable | enable }

MAC地址表项数目达到限制后,系统是否发送告警。
  • disable:MAC地址表项数目达到限制后,系统不发送告警。
  • enable:MAC地址表项数目达到限制后,系统发送告警。

如果没有配置alarm参数,MAC地址表项数目达到限制后,系统默认发送告警。

maximum max-num

最多可以学习的MAC数量。

十进制整数形式。取值范围是0~32767。0表示不设置MAC地址学习数量。

视图

VLAN视图、VLAN-Range视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

使用场景

为了控制接入用户数量或防止MAC地址表受攻击,可以限制交换机允许学习的MAC地址数量,从而控制接入用户数量,以提高网络安全性。

注意事项

MAC地址表项数目达到限制后,源MAC为新MAC地址的报文被广播出去,但是MAC地址表项不记录。

如果接口或者VLAN上已经学习了一些MAC地址,先使用reset mac-address命令清除接口或VLAN上已经学习的MAC地址,否则可能会使MAC地址学习限制功能的数量限制不准确。

端口安全功能与基于接口的MAC地址学习限制功能相冲突,不能在同一接口下配置mac-address limitport-security enable命令。

说明:
  • MAC地址学习限制规则对已经上线的用户不生效,对新上线的用户生效。

  • 报文走三层转发时,MAC地址学习限制规则不生效。

  • 配置基于接口限制MAC地址学习数功能后,除CE6870EI和CE6880EI外其他设备的接口上收到的VXLAN报文不会受到MAC地址学习数限制。

  • 在VLAN视图下配置最多可以学习的MAC地址数量后,如果MAC地址已达到上限数量,此时如果用户主机更换物理位置从其他端口接入时,设备将不会学习新的MAC地址,用户将无法上线。因此在部署时,可以选择如下方案:
    • 如果用户主机物理位置相对固定,不会经常变更,可以在VLAN视图下部署限制MAC地址学习数量功能。
    • 如果用户主机物理位置经常发生变换,则建议在VLAN视图下不要部署限制MAC地址学习数量功能。

使用实例

# 配置接口10GE1/0/2的MAC地址学习限制规则为:最多允许学习30个MAC地址,超过限制时,进行告警提示。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/2
[~HUAWEI-10GE1/0/2] mac-address limit alarm enable maximum 30

mac-address miss action discard

命令功能

mac-address miss action discard命令用来使能该VLAN下对匹配不到MAC地址表项的报文直接丢弃。

undo mac-address miss action discard命令用来恢复对匹配不到MAC地址表项的报文在VLAN内进行广播。

缺省情况下,对匹配不到MAC地址表项的报文在VLAN内进行广播。

命令格式

mac-address miss action discard

undo mac-address miss action discard

参数说明

视图

VLAN视图、VLAN-Range视图

缺省级别

2:配置级

使用指南

当DHCP用户下线后,用户的MAC地址表项会老化。如果有转发到此用户的流量,在设备上找不到目的MAC地址表项,会将报文广播到此VLAN下所有接口,其它的用户都能接收到该流量,对安全造成影响。使能本命令后,不仅可以降低设备的负荷,同时安全也得到了保证。

使用实例

# 使能VLAN100下对匹配不到MAC地址表项的报文直接丢弃。

<HUAWEI> system-view
[~HUAWEI] vlan 100
[*HUAWEI-vlan100] mac-address miss action discard

port bridge enable

命令功能

port bridge enable命令用来使能端口桥功能,即接口支持同源同宿报文的转发。

undo port bridge enable命令用来取消使能端口桥功能。

缺省情况下,没有使能端口桥功能。

说明:

CE6880EI不支持此命令。

命令格式

port bridge enable

undo port bridge enable

参数说明

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

同源同宿报文即源MAC地址和目的MAC地址均在设备的同一接口上学习到的报文。缺省情况下,设备不转发同源同宿报文,当接口收到这种报文时,设备判断为非法报文并直接丢弃该报文。

配置端口桥功能后,当接口收到同源同宿报文时,若设备上的MAC地址表中存在与该报文的目的MAC地址对应的表项,则将报文从本接口转发出去。

端口桥功能主要应用于以下场景:

在数据中心做接入设备且下挂服务器,一台服务器中启用多个虚拟机,并且虚拟机之间需要进行数据交换。若在服务器内部完成虚拟机之间的数据交换,会大大影响数据交换速度和服务器性能。为了提高数据交换速度和服务器性能,可以使能端口桥功能,由设备来进行数据交换。

使用实例

# 使能接口10GE1/0/1的端口桥功能。

<HUAWEI> system-view
[~HUAWEI] interface 10GE 1/0/1
[~HUAWEI-10GE1/0/1] port bridge enable
相关主题

reset mac-address

命令功能

reset mac-address命令用来删除设备学习到的动态MAC地址表项。

命令格式

reset mac-address mac-address [ vlan vlan-id ]

reset mac-address interface-type interface-number [ vlan vlan-id ]

reset mac-address vlan vlan-id [ interface-type interface-number ]

reset mac-address

参数说明

参数 参数说明 取值
mac-address 清除指定MAC地址的MAC表项信息。 格式为H-H-H。其中H为4位的十六进制数,可以输入1~4位,如00e0、fc01。当输入不足4位时,表示前面的几位为0,如:输入e0,等同于00e0。MAC地址不可设置为广播地址(FFFF-FFFF-FFFF)和组播地址(第8bit为1的地址)。
vlan vlan-id 清除指定VLAN的MAC表项信息。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

interface-type interface-number 清除指定接口的MAC表项信息。 -

视图

用户视图

缺省级别

2:配置级

使用指南

应用场景

当需要删除设备学习到的动态MAC地址时(如清除垃圾表项),可以使用reset mac-address命令。

前置条件

当需要清除指定VLAN的MAC表项信息时,执行reset mac-address vlan命令前,务必保证VLAN已经成功创建。

注意事项

执行reset mac-address命令后,设备之前学习到的动态MAC表项将被删除而不可恢复,请慎用。为了避免删除可用的MAC地址,建议指定VLAN ID或接口名称对将要删除的MAC地址进行过滤。

使用实例

# 基于MAC地址清除MAC地址表项。

<HUAWEI> reset mac-address 1-1-1

# 基于VLAN清除MAC地址表项。

<HUAWEI> reset mac-address vlan 10

# 基于接口清除MAC地址表项。

<HUAWEI> reset mac-address 10ge 1/0/1

# 基于接口所属的VLAN清除MAC地址表项。

<HUAWEI> reset mac-address 10ge 1/0/1 vlan 10

reset mac-address flapping record

命令功能

reset mac-address flapping record命令用来清除MAC地址漂移历史记录。

命令格式

reset mac-address flapping record [ all ]

参数说明

参数 参数说明 取值
all 指定清除所有的MAC漂移记录,包括历史表项和活跃表项。 -

视图

用户视图

缺省级别

2:配置级

使用指南

应用场景

用户在处理MAC地址漂移故障时,当需要重新统计MAC地址漂移信息时可使用本命令。

注意事项

  • reset mac-address flapping record命令只能清除MAC漂移表项中当前不再跳变的记录。当需要清除所有的MAC漂移表项时,可以选择all参数。

  • 清除MAC地址漂移历史记录时,可使用display mac-address flapping命令查看当前记录。

  • MAC地址漂移历史记录清除后将无法恢复,请于清除之前仔细确认。

  • 当VLAN或者BD域内发生MAC地址漂移,并且环路未解除时,如果端口加入Eth-Trunk接口或者退出Eth-Trunk接口,MAC地址漂移记录中Original-Port和Move-Ports信息不变。请在环路解除后再清除MAC漂移表项进行重新检测,从而避免重新检测的源端口和漂移端口不准确,误导环路的定位,并且导致惩罚动作(接口Error-Down、接口风暴抑制等)下发到不准确的漂移端口上。

使用实例

# 清除设备上的MAC地址漂移历史记录。

<HUAWEI> reset mac-address flapping record

snmp-agent trap enable feature-name fei_comm trap-name hwportsecrcvillegalmacalarm

命令功能

snmp-agent trap enable feature-name fei_comm trap-name hwportsecrcvillegalmacalarm命令用来打开端口安全MAC地址数达到最大数后,收到非法MAC地址时上报告警的开关。

undo snmp-agent trap enable feature-name fei_comm trap-name hwportsecrcvillegalmacalarm命令用来关闭打开端口安全MAC地址数达到最大数后,收到非法MAC地址时上报告警的开关。

缺省情况下,端口安全MAC地址数达到最大数后,收到非法MAC地址时上报告警的开关处于打开状态。

命令格式

snmp-agent trap enable feature-name fei_comm [ trap-name hwportsecrcvillegalmacalarm ]

undo snmp-agent trap enable feature-name fei_comm [ trap-name hwportsecrcvillegalmacalarm ]

参数说明

参数 参数说明 取值
trap-name

指定告警名称。

-
hwportsecrcvillegalmacalarm

打开端口安全MAC地址数达到最大数后,收到非法MAC地址时上报告警的开关。

-

视图

系统视图

缺省级别

3:管理级

使用指南

在用户需要查看端口安全MAC地址数达到最大数后,收到非法MAC地址时上报告警的时候,可以打开此开关。

使用实例

# 打开端口安全MAC地址数达到最大数后,收到非法MAC地址时上报告警的开关。

<HUAWEI> system-view
[~HUAWEI] snmp-agent trap enable feature-name fei_comm hwportsecrcvillegalmacalarm

undo mac-address

命令功能

undo mac-address命令用来删除MAC地址表项。

命令格式

undo mac-address { interface-type interface-number | vlan vlan-id } *

undo mac-address mac-address [ vlan vlan-id ]

undo mac-address [ mac-address ] vlan vlan-id

undo mac-address all

说明:

此命令无法删除动态学习到的MAC表项,如果需要删除设备学习到的动态MAC表项,请参见reset mac-address

参数说明

参数

参数说明

取值

mac-address

删除指定mac-address的MAC地址表项。

格式为H-H-H,其中H为1至4位的十六进制数。MAC地址不可设置为FFFF-FFFF-FFFF、组播地址。

interface-type interface-number

删除指定接口的MAC地址表项。

-

vlan vlan-id

删除指定VLAN ID的MAC地址表项。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

all

删除所有静态、黑洞、security和sticky类型的MAC地址表项。

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备的MAC地址表空间是有限的。在MAC地址表满之后,老化时间到之前,就不能再学习到新的MAC地址表项,从而导致新的用户只能通过广播方式转发报文,浪费资源。此时可以通过该命令手动删除不再需要的MAC地址表项。

删除MAC地址表项时,可以根据需要,只删除部分MAC地址表项。例如:
  • 不指定接口时,将删除全部接口下的该类型MAC地址。
  • 不指定VLAN时,将删除全部VLAN下的该类型MAC地址。

使用实例

# 删除所有MAC地址表项。

<HUAWEI> system-view
[~HUAWEI] undo mac-address all

# 删除接口为10ge1/0/1的所有MAC地址表项。

<HUAWEI> system-view
[~HUAWEI] undo mac-address 10ge 1/0/1

# 删除VLAN ID为5的所有MAC地址表项。

<HUAWEI> system-view
[~HUAWEI] undo mac-address vlan 5

# 删除MAC地址为0004-0004-0004的所有MAC地址表项。

<HUAWEI> system-view
[~HUAWEI] undo mac-address 0004-0004-0004

undo mac-address limit all

命令功能

undo mac-address limit all命令用来删除所有配置的MAC地址学习限制规则。

命令格式

undo mac-address limit all

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当需要删除所有配置的MAC地址学习限制规则时,可在系统视图下使用本命令。

注意事项

请在执行本命令前使用display mac-address limit命令查看已配置的MAC地址学习限制规则,确认是否要全部删除。

使用实例

# 删除所有配置的MAC地址学习限制规则。

<HUAWEI> system-view
[~HUAWEI] undo mac-address limit all
相关主题
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:17472

下载量:414

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页