所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
MAC配置命令

MAC配置命令

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

display bridge mac-address

命令功能

display bridge mac-address命令用来查看设备的桥MAC地址。

命令格式

display bridge mac-address

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

当用户需要查看设备的桥MAC地址时,可通过本命令查看。

使用实例

# 查看设备的桥MAC地址。

<HUAWEI> display bridge mac-address
System bridge MAC address: 00e0-f74b-6d00
表5-1  display bridge mac-address命令输出信息描述

项目

描述

System bridge MAC address

标识设备的桥MAC地址。

display mac-address

命令功能

display mac-address命令用来查看所有类型的MAC地址表项信息。显示的内容包括目的MAC地址、设备所属的VLAN/VSI/BD、出接口、MAC表项类型等。

命令格式

display mac-address [ mac-address ] [ vlan vlan-id | vsi vsi-name ] [ verbose ]

display mac-address [ vlan vlan-id | interface-type interface-number ] * [ verbose ]

参数说明

参数

参数说明

取值

mac-address

查看MAC地址是mac-address的地址表项信息。

格式为H-H-H。其中H为4位的十六进制数,可以输入1~4位,如00e0、fc01。当输入不足4位时,表示前面的几位为0,如:输入e0,等同于00e0。MAC地址不可设置为FFFF-FFFF-FFFF、组播地址和全零MAC地址

vlan vlan-id

查看VLAN编号是vlan-id的MAC地址表项信息。

整数形式,取值范围是1~4094

vsi vsi-name

查看VSI名称是vsi-name的MAC地址表项。

字符串形式,不支持空格,区分大小写,取值范围是1~31。当输入的字符串两端使用双引号时,可在字符串中输入空格。

interface-type interface-number

查看出接口为指定接口的MAC地址表项,其中:
  • interface-type表示出接口类型。
  • interface-number表示出接口编号。
说明:
不支持管理网口。

-

verbose

显示MAC地址表项的详细信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

设备的MAC地址表用于存放交换机所学习到的其它设备的MAC地址信息。在转发数据时,根据以太网帧中的目的MAC地址和VLAN编号查询MAC表,快速定位设备的出接口。

本命令可以查看动态表项、静态表项、黑洞表项以及其它业务MAC表项,显示的内容包括目的MAC地址、设备所属的VLAN/VSI/BD、出接口、MAC表项类型。

后续任务

用户可通过本命令查看系统中所有MAC地址表项。可以根据查看的结果来判断配置的MAC地址和学习到的MAC地址是否正确,若不正确可以使用undo mac-address命令删除或使用mac-address static命令增加正确表项。

注意事项

如果只输入display mac-address,不指定任何参数,则显示所有的MAC地址表项。

当设备上配置和学习了大量的MAC地址表项,使用本命令查看MAC地址表项时,推荐通过指定VLAN、VSI等参数对显示的信息进行过滤。否则可能因为显示信息内容过多而导致:
  • 终端屏幕不停地刷新而无法获取需要的信息。
  • 系统长时间的信息遍历和检索,造成系统无响应。

使用实例

# 查看MAC地址表中所有的MAC地址表项。

<HUAWEI> display mac-address
------------------------------------------------------------------------------- 
MAC Address          VLAN/VSI/BD                 Learned-From        Type       
-------------------------------------------------------------------------------
0022-0022-0033       100/-/-                     GE1/0/1             dynamic 
0000-0000-0001       -/HUAWEI/-                  GE1/0/2             static 
-------------------------------------------------------------------------------
Total items displayed = 2 

# 查看VLAN10中所有MAC地址表项的详细信息。

<HUAWEI> display mac-address vlan 10 verbose
------------------------------------------------------------------------------- 
MAC Address : 0000-0000-0001            VLAN : 10                            
Learned-From: GE1/0/2                 Type : dynamic                       
                                                                                
------------------------------------------------------------------------------- 
Total items displayed = 1
表5-2  display mac-address命令输出信息描述表

项目

描述

MAC Address

MAC地址信息。

VLAN/VSI/BD

MAC地址所在的VLAN编号或VSI(Virtual Switch Instance)名称或BD域ID

Learned-From

学到该MAC地址的接口。

Type

MAC表项类型。

标识MAC地址的类型:
  • static:静态MAC地址表项。由用户手工配置,表项不会被老化。可以通过命令mac-address static vlanmac-address static vlanifmac-address static vsimac-address static bridge-domainmac-address static bridge-domain vni配置。
  • blackhole:标识黑洞MAC地址表项,由用户手工配置,表项不会被老化。可以通过命令mac-address blackhole配置。
  • dynamic:标识动态MAC地址表项,由设备通过源MAC地址学习获得,表项有老化时间,可被老化。
  • OAM-PU:标识OAM MAC表项,由命令mac-purge配置的MAC地址表项。
  • OAM-PO:标识OAM MAC表项,由命令mac-populate配置的MAC地址表项。
  • security:标识安全动态MAC表项,由接口使能端口安全功能后学习到的MAC地址表项。
  • sec-config:标识安全静态MAC表项,由命令port-security mac-address配置的MAC地址表项。
  • sticky:标识Sticky MAC表项,由接口使能Sticky MAC功能后学习到的MAC地址表项。
  • mux:标识MUX MAC表项,当接口使能MUX VLAN功能后,该接口学习到的MAC地址表项会记录到mux类型的MAC地址表项中。
  • snooping:根据DHCP Snooping绑定表生成的静态MAC表项类型。
  • authen:已获取到IP地址的NAC认证用户(无法生成MAC地址的三层Portal认证用户和直接转发模式下的无线用户除外)对应的MAC地址表项。
  • pre-authen:用户使能NAC认证功能后,处于预连接状态且未获取到IP地址的NAC认证用户对应的MAC地址表项。
  • evpn:标识EVPN网络中存在的MAC地址表项。
说明:

设备上已存在的MAC地址表项中,仅MAC地址类型为dynamic的MAC地址可以被覆盖配置为其他类型的MAC地址。

仅V200R013C00SPC500版本支持显示evpn类型的MAC地址表项。

display mac-address aging-time

命令功能

display mac-address aging-time命令用来查看MAC地址表中动态MAC地址表项的老化时间。

命令格式

display mac-address aging-time

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

使用本命令可以查看交换机当前的MAC地址表项的老化时间,从而判断配置的MAC地址表项的老化时间是否合理,是否符合现网实际情况和设备性能。

后续任务

如果MAC地址表项的老化时间配置不合理,可以使用mac-address aging-time命令重新配置。

注意事项

使用本命令查看动态MAC地址表项的老化时间为0秒时,说明学习到的动态MAC地址不会被老化,可能会使MAC地址表项爆炸式增长,降低系统性能。

使用实例

# 查看MAC地址表中动态表项的老化时间。

<HUAWEI> display mac-address aging-time
  Aging time: 300 second(s)
表5-3  display mac-address aging-time命令输出信息描述

项目

描述

Aging time

动态MAC地址表项的老化时间,单位是秒。相关命令请参见mac-address aging-time

display mac-address blackhole

命令功能

display mac-address blackhole命令用来查看黑洞MAC地址表项信息。

命令格式

display mac-address blackhole [ vlan vlan-id | vsi vsi-name ] [ verbose ]

参数说明

参数 参数说明 取值
vlan vlan-id 显示指定VLAN的黑洞MAC地址表项。 整数形式,取值范围是1~4094
vsi vsi-name 显示指定VSI的黑洞MAC地址表项。 字符串形式,不支持空格,区分大小写,取值范围是1~31。当输入的字符串两端使用双引号时,可在字符串中输入空格。
verbose 显示指定黑洞MAC地址表项的详细信息。 -

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

设备的MAC地址表用于存放交换机所学习到的其它设备的MAC地址信息。在转发数据时,根据以太网帧中的目的MAC地址和VLAN编号查询MAC表,快速定位设备的出接口。

基本的MAC地址表项分为以下几种类型:
  • 黑洞MAC地址表项用于丢弃含有特定源MAC地址或目的MAC地址的报文,由用户手工配置,表项不会被老化。
  • 静态MAC地址表项由用户手工配置,表项不会被老化。
  • 动态MAC地址表项由设备通过源MAC地址学习获得,表项可通过老化时间进行老化。

用户可通过本命令查看设备中存在的黑洞MAC地址表项,以确定是否正确配置黑洞MAC地址,丢弃指定源MAC地址或目的MAC地址的报文,保证合法用户的通信。

后续任务

用户可以根据查看的结果来判断配置的黑洞MAC地址是否正确,若不正确可以使用undo mac-address命令删除或使用mac-address blackhole命令增加正确表项。

注意事项

如果只输入display mac-address blackhole,不指定任何参数,则显示所有的黑洞MAC地址表项。

如果MAC地址表中没有任何黑洞MAC表项,则本命令的显示结果为空。

使用实例

# 查看所有黑洞MAC地址表项信息。

<HUAWEI> display mac-address blackhole
------------------------------------------------------------------------------- 
MAC Address          VLAN/VSI/BD                 Learned-From        Type       
-------------------------------------------------------------------------------
0022-0022-0033       100/-/-                      -                  blackhole 
0000-0000-0001       -/HUAWEI/-                   -                  blackhole 


-------------------------------------------------------------------------------
Total items displayed = 2

# 查看VLAN100的黑洞MAC地址表项信息。

<HUAWEI> display mac-address blackhole vlan 100
------------------------------------------------------------------------------- 
MAC Address          VLAN/VSI/BD                 Learned-From        Type       
-------------------------------------------------------------------------------
0022-0022-0033       100/-/-                      -                  blackhole 
0000-0000-0001       100/-/-                      -                  blackhole 

-------------------------------------------------------------------------------
Total items displayed = 2  
表5-4  display mac-address blackhole命令输出信息描述表

项目

描述

MAC Address

MAC地址。

VLAN/VSI/BD

设备所属的VLAN编号或VSI(Virtual Switch Instance)名称或BD域ID

Learned-From

MAC地址类型是blackhole时,此处固定显示"-"。

Type

MAC表项类型。

blackhole:标识黑洞MAC地址表项,由用户手工配置,表项不会被老化。可以通过命令mac-address blackhole配置。

display mac-address dynamic

命令功能

display mac-address dynamic命令用来查看动态MAC地址表项信息。

命令格式

display mac-address dynamic [ [ slot ] slot-id ] [ vlan vlan-id | interface-type interface-number ] * [ verbose ]

display mac-address dynamic [ [ slot ] slot-id ] [ vsi vsi-name [ peer ip-address ] ] [ verbose ]

参数说明

参数

参数说明

取值

slot slot-id

显示指定槽位的动态MAC地址表项。

整数形式,根据系统提示的在位槽位号确定。

vlan vlan-id

查看VLAN编号是vlan-id的动态MAC地址表项信息。

整数形式,取值范围是1~ 4094

vsi vsi-name

查看VSI名称是vsi-name的动态MAC地址表项。vsi-name表示VSI名称。

字符串形式,不支持空格,区分大小写,取值范围是1~31。当输入的字符串两端使用双引号时,可在字符串中输入空格。

peer ip-address

对端交换机的IPV4地址。

-

interface-type interface-number

查看出接口为指定接口的动态MAC地址表项,其中:
  • interface-type表示出接口类型。
  • interface-number表示出接口编号。

-

verbose

显示动态MAC地址表项的详细信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

为适应网络的变化,MAC地址表需要不断更新。为了及时了解设备学习到的MAC地址,可通过本命令查看动态MAC地址表项信息。

后续任务

用户通过本命令查看动态MAC地址表项后,若认为动态MAC地址表项已经无效,可通过undo mac-address命令删除系统当前存在的动态MAC地址表项。

注意事项

如果只输入display mac-address dynamic,不指定任何参数,则显示所有的动态MAC地址表项。

如果MAC地址表中没有任何动态MAC表项,则本命令的显示结果为空。

当设备上学习到了大量的动态MAC地址表项,使用本命令查看动态MAC地址表项时,推荐通过指定VLAN等参数对显示的信息进行过滤。否则可能因为显示信息内容过多而导致:
  • 终端屏幕不停地刷新而无法获取需要的信息。
  • 系统长时间的信息遍历和检索,造成系统无响应。

使用实例

# 查看系统所有动态MAC地址表项。

<HUAWEI> display mac-address dynamic
------------------------------------------------------------------------------- 
MAC Address          VLAN/VSI/BD                  Learned-From        Type       
-------------------------------------------------------------------------------
0022-0022-0033       100/-/-                     GE1/0/1             dynamic 
0000-0000-0001       -/HUAWEI/-                  GE1/0/2             dynamic 

-------------------------------------------------------------------------------
Total items displayed = 2 

# 查看1号槽位上VLAN 9中所有动态MAC地址表项。

<HUAWEI> display mac-address dynamic slot 1 vlan 9
------------------------------------------------------------------------------- 
MAC Address     VLAN/VSI/BD                       Learned-From        Type       
-------------------------------------------------------------------------------
0000-0007-0122  9/-/-                             GE1/0/1             dynamic    
0000-0007-0106  9/-/-                             GE1/0/1             dynamic    
0000-0007-0114  9/-/-                             GE1/0/1             dynamic    
                                                                                
------------------------------------------------------------------------------- 
Total items on slot 1 displayed = 3

# 查看1号槽位上VLAN 9中所有动态MAC地址表项的详细信息。

<HUAWEI> display mac-address dynamic slot 1 vlan 9 verbose
------------------------------------------------------------------------------- 
MAC Address : 0000-0007-0117             VLAN: 9                                
Learned-From: GE1/0/1                    Type: dynamic                          
                                                                                
MAC Address : 0000-0007-0133             VLAN: 9                                
Learned-From: GE1/0/2                    Type: dynamic                          
                                                                                
MAC Address : 0000-0007-0121             VLAN: 9                                
Learned-From: GE1/0/3                    Type: dynamic                          
                                                                                
------------------------------------------------------------------------------- 
Total items on slot 1 displayed = 3                                          

# 查看VSI为10、对端IP地址为10.1.1.2的动态MAC地址表项的详细信息。

<HUAWEI> display mac-address dynamic vsi 10 peer 10.1.1.2 verbose
------------------------------------------------------------------------------- 
MAC Address : 0000-0007-0117             VSI  : 10                             
Learned-From: GE1/0/1                    Type: dynamic                          
Peer-Ip     : 10.1.1.2                   Pw-Id: 1                           
Total items  displayed = 1                                          
表5-5  display mac-address dynamic命令输出信息描述表

项目

描述

MAC Address

MAC地址。

VLAN/VSI/BD

设备所属的VLAN编号或VSI(Virtual Switch Instance)名称或BD域ID

Learned-From

学到该MAC地址的接口。

Type

MAC表项类型。

dynamic:标识动态MAC地址表项,由设备通过源MAC地址学习获得,表项有老化时间,可被老化。

Peer-Ip

对端交换机的IPV4地址。

Pw-Id

PW名称。

display mac-address flapping

命令功能

display mac-address flapping命令用来查看MAC地址漂移检测功能的配置信息。

命令格式

display mac-address flapping

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

用户配置好MAC地址漂移检测功能后,可以使用本命令检查配置信息是否正确。

可查看到的信息如下:

  • 是否已经配置了MAC地址漂移检测功能。
  • MAC地址漂移表项的老化时间。
  • 接口退VLAN的恢复时间。
  • MAC地址漂移检测的VLAN白名单。
  • MAC地址漂移检测三个安全级别的VLAN名单。

使用实例

# 查看MAC地址漂移检测功能的配置信息。

<HUAWEI> display mac-address flapping
MAC address Flapping Configurations :                                                                                               
----------------------------------------------------------------------------                                                        
  Flapping detection          : Enable                                                                                              
  Aging time(sec)             : 300                                                                                                 
  Quit VLAN Recover time(min) : 10                                                                                                  
  Exclude VLAN list           : -                                                                                                   
  Low level VLAN list         : -                                                                                                   
  Middle level VLAN list      : 1 to 4094                                                                                           
  High level VLAN list        : -                                                                                                  
----------------------------------------------------------------------------
表5-6  display mac-address flapping输出信息描述表

项目

描述

Flapping detection

MAC地址漂移检测功能状态。

  • Enable:已经配置了MAC地址漂移检测功能。
  • Disable:没有配置MAC地址漂移检测功能。

该参数可以通过命令mac-address flapping detection配置。

Aging time(sec)

MAC地址漂移表项的老化时间。

该参数可以通过命令mac-address flapping aging-time配置。

Quit VLAN Recover time(min)

接口退VLAN的恢复时间,可以通过命令mac-address flapping quit-vlan recover-time配置。

缺省值为10,如果值为0表示不恢复。

Exclude VLAN list

MAC地址漂移检测的VLAN白名单。可以通过命令mac-address flapping detection exclude vlan配置。

如果已经配置了VLAN白名单,显示的是具体的VLAN ID;如果没有配置VLAN白名单,显示为“ - ”。

Low level VLAN list

MAC地址漂移检测安全级别为低的VLAN名单。可以通过命令mac-address flapping detection vlan security-level配置。

Middle level VLAN list

MAC地址漂移检测安全级别为中的VLAN名单。可以通过命令mac-address flapping detection vlan security-level配置。

High level VLAN list

MAC地址漂移检测安全级别为高的VLAN名单。可以通过命令mac-address flapping detection vlan security-level配置。

display mac-address flapping record

命令功能

display mac-address flapping record命令用来查看MAC地址漂移的历史记录。

命令格式

display mac-address flapping record [ slot slot-id ] [ begin YYYY/MM/DD HH:MM:SS ]

参数说明

参数

参数说明

取值

slot slot-id

指定槽位号。

根据设备实际配置选取。

begin YYYY/MM/DD HH:MM:SS

查看指定时间到现在为止的MAC地址漂移记录。

YYYY/MM/DD表示“年/月/日 ”。

HH:MM:SS表示“时:分:秒”。

整数形式。

  • YYYY/MM/DD的取值范围为2000/01/01~2099/12/31。
  • HH:MM:SS的取值范围为00:00:00~23:59:59。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

网络中MAC发生漂移时,维护人员可使用该命令的输出信息快速定位到发生MAC地址漂移的位置。

注意事项

只有设备上发生过MAC地址漂移,执行该命令才有显示信息。

使用实例

# 查看设备上所有的MAC地址漂移的历史记录。

<HUAWEI> display mac-address flapping record
 S  : start time                                                                
 E  : end time                                                                  
(Q) : quit VLAN 
(D) : error down 
------------------------------------------------------------------------------
Move-Time             VLAN  MAC-Address   Original-Port Move-Ports   MoveNum
-------------------------------------------------------------------------------
S:2011-08-31 17:22:36 300  0000-0000-0007 Eth-Trunk1   Eth-Trunk2   81
E:2011-08-31 17:22:44

-------------------------------------------------------------------------------
Total items on slot 2: 1
	

# 查看设备上从2012/06/04 09:00:00到现在发生的MAC地址漂移历史记录。

<HUAWEI> display mac-address flapping record begin 2012/06/04 09:00:00
 S  : start time                                                                
 E  : end time                                                                  
(Q) : quit VLAN                                                                 
(D) : error down   
-------------------------------------------------------------------------------
Move-Time                 VLAN MAC-Address   Original-Port Move-Ports   MoveNum
-------------------------------------------------------------------------------
S:2012-06-04 17:22:38 300  0000-0000-0007 Eth-Trunk2   Eth-Trunk1   5
E:2012-06-04 17:22:42

-------------------------------------------------------------------------------
Total items on slot 2: 1
表5-7  display mac-address flapping record命令输出信息描述表

项目

描述

Move-Time

MAC地址漂移开始时间和结束时间。如果设备上配置了夏令时,显示漂移开始时间和结束时间时会增加DST标记。形如:S:2015-07-09 11:32:53 DST。

VLAN

发生MAC地址漂移的VLAN。

MAC-Address

发生漂移的MAC地址。

说明:

同一槽位的同一VLAN下,仅显示一个发生漂移的MAC地址。

Original-Port

MAC地址漂移的源端口。

Move-Ports

MAC地址漂移后的端口。可能出现多个漂移后端口。

MoveNum

MAC地址发生漂移的次数。

说明:

MAC地址发生漂移的次数最大为65535,即当漂移次数大于65535时,MoveNum仍为65535。

display mac-address hash-mode

命令功能

display mac-address hash-mode命令用来查看设备当前运行的MAC Hash模式和当前配置的MAC Hash模式。

说明:

X系列单板不支持该命令。

命令格式

display mac-address hash-mode

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

用户在设备上配置了MAC Hash模式后,可以使用本命令检查配置信息是否正确。

注意事项

更改MAC Hash模式后,必须重启单板使配置生效。

使用实例

# 查看设备当前运行的MAC Hash模式和当前配置的MAC Hash模式。

<HUAWEI> display mac-address hash-mode
  MAC address hash mode status:                                                 
--------------------------------------------                                    
 Slot       CurMode         CfgMode                                             
--------------------------------------------                                    
 1         crc16-lower     crc32-lower                                         
--------------------------------------------      
表5-8  display mac-address hash-mode命令输出信息描述表

项目

描述

Slot

槽位号。

CurMode

指定槽位上当前运行的MAC Hash模式。

更改MAC Hash模式后,必须在保存配置后重启设备使配置生效。

CfgMode

指定槽位上当前配置的MAC Hash模式。

该参数可以通过命令mac-address hash-mode配置。

display mac-address mux

命令功能

display mac-address mux命令用来查看系统当前存在的MUX MAC地址表项。

命令格式

display mac-address mux [ vlan vlan-id | interface-type interface-number ] * [ verbose ]

参数说明

参数

参数说明

取值

vlan vlan-id

查看VLAN编号是vlan-id的MAC地址表项信息。

整数形式,取值范围是1~4094

interface-type interface-number

查看指定接口学习到的MAC地址表项,其中:
  • interface-type表示出接口类型。
  • interface-number表示出接口编号。

-

verbose

显示MAC地址表项的详细信息。如果不指定verbose,显示的为MAC地址表项简要信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

MUX VLAN提供了一种在VLAN内的接口间进行二层流量隔离机制。当接口使能MUX VLAN功能后,该接口学习到的MAC地址表项会记录到MUX类型的MAC地址表项中。设备重启后,该类型的MAC地址表项会被自动删除。当用户需要查看当前系统是否存在MUX MAC地址表项时,可通过执行本命令查看。

用户可通过本命令查看系统中MUX MAC地址表项,可以根据查看的结果来判断学习到的MUX MAC地址是否正确。

后续任务

用户通过本命令查看MUX MAC地址表项后,若认为MUX MAC地址表项已经无效,可通过undo mac-address命令删除系统当前存在的MUX MAC地址表项。

注意事项

如果只输入display mac-address mux,不指定任何参数,则显示所有的MUX MAC地址表项。

如果MAC地址表中没有任何MUX类型的MAC表项,则执行本命令的显示结果为空。

当设备上存在大量MUX MAC地址表项,使用本命令查看MUX MAC地址表项时,推荐通过指定VLAN、接口对显示的信息进行过滤。否则可能因为显示信息内容过多而导致:
  • 终端屏幕不停地刷新而无法获取需要的信息。
  • 系统长时间的信息遍历和检索,造成系统无响应。

使用实例

# 查看MAC地址表中所有MUX MAC地址表项。

<HUAWEI> display mac-address mux
------------------------------------------------------------------------------- 
MAC Address          VLAN/VSI/BD                 Learned-From        Type       
-------------------------------------------------------------------------------
0022-0022-0033       100/-/-                     GE1/0/2           mux       

-------------------------------------------------------------------------------
Total items displayed = 1 

# 查看VLAN 10中所有MUX MAC地址表项的详细信息。

<HUAWEI> display mac-address mux vlan 10 verbose
------------------------------------------------------------------------------- 
MAC Address : 0000-0000-0001            VLAN : 10                            
Learned-From: GE1/0/2                 Type : mux                        
                                                                                
------------------------------------------------------------------------------- 
Total items displayed = 1
表5-9  display mac-address mux命令输出信息描述表

项目

描述

MAC Address

MAC地址。

VLAN/VSI/BD

设备所属的VLAN编号或VSI(Virtual Switch Instance)名称或BD域ID

Learned-From

学到该MAC地址的接口。

Type

MAC表项类型。

mux:标志MUX MAC表项,当接口使能MUX VLAN功能后,该接口学习到的MAC地址表项会记录到mux类型的MAC地址表项中。

display mac-address oam

命令功能

display mac-address oam命令用来查看OAM类型的MAC地址表项信息。

命令格式

display mac-address oam

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

VPLS数据转发表项依赖于MAC地址学习,所以数据包的MAC地址是否正确被PE设备学习,决定了VPLS域内数据转发的正确性。

VPLS MAC诊断工具可以用于检查VPLS域内设备学习MAC地址的功能是否正常。VPLS MAC诊断工具包括MAC Populate和MAC Purge。
  • MAC Populate通过在VPLS域中注入OAM MAC,实现检测相关业务节点上的VSI学习MAC的情况。

    如果VPLS域内指定VSI的设备(包括本端设备和对端设备)已经成功学习到注入的MAC,通过本命令可以看到注入MAC的详细信息。

  • MAC Purge则可以清除注入的OAM MAC地址。

    如果设备已经被成功清除学习到的OAM MAC地址,通过本命令可以看到学习到的OAM MAC已经被清除。

前置条件

  • 查看注入MAC的详细信息之前,必须已经完成OAM MAC学习能力诊断的所有配置。
  • 查看OAM MAC已经被清除,必须已经完成清除VPLS网络设备学习到的OAM MAC的所有操作。

使用实例

# 查看MAC表中的OAM表项信息。

<HUAWEI> display mac-address oam
------------------------------------------------------------------------------------------
MAC Address     VLAN/VSI/BD             Learned-From          Type       
------------------------------------------------------------------------------------------
0000-0000-0010  -/vsi1/-                GigabitEthernet1/0/1  OAM-PU     
0000-0000-0020  -/vsi1/-                GigabitEthernet1/0/1  OAM-PO     

------------------------------------------------------------------------------------------
Total items displayed = 2   
表5-10  display mac-address oam命令输出信息描述

项目

描述

MAC Address

标识OAM类型的MAC地址。

VLAN/VSI/BD

  • VLAN:该字段固定显示“-”。
  • VSI:标识OAM类型MAC地址所在的VSI。
  • BD:该字段固定显示“-”。

Learned-From

标识在此接口上配置的OAM类型MAC地址。

Type

标识OAM类型MAC地址的类型:
  • OAM-PU:OAM类型的MAC地址,用于丢弃含有特定目的MAC地址的数据帧。由命令mac-purge配置的MAC地址表项。

  • OAM-PO:OAM类型的MAC地址,用于测试接口板学习动态MAC能力是否正常,在接口板显示为动态MAC,可以和普通的动态MAC一样支持VPLS转发。由命令mac-populate配置的MAC地址表项。

display mac-address static

命令功能

display mac-address static命令用来查看静态MAC地址表项信息。

命令格式

display mac-address static [ vsi vsi-name ] [ verbose ]

display mac-address static [ vlan vlan-id | interface-type interface-number ] * [ verbose ]

参数说明

参数

参数说明

取值

vlan vlan-id

查看VLAN编号是vlan-id的MAC地址表项信息。

整数形式,取值范围是1~4094

vsi vsi-name

查看VSI名称是vsi-name的MAC地址表项。vsi-name表示VSI名称。

字符串形式,不支持空格,区分大小写,取值范围是1~31。当输入的字符串两端使用双引号时,可在字符串中输入空格。

interface-type interface-number

查看指定接口的静态MAC地址表项。

-

verbose

显示MAC地址表项的详细信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

设备的MAC地址表用于存放交换机所学习到的其它设备的MAC地址信息。在转发数据时,根据以太网帧中的目的MAC地址和VLAN编号查询MAC表,快速定位设备的出接口。

MAC地址表项分为以下几种类型:
  • 静态MAC地址表项由用户手工配置,表项不会被老化。
  • 黑洞MAC地址表项用于丢弃含有特定源MAC地址或目的MAC地址的报文,由用户手工配置,表项不会被老化。
  • 动态MAC地址表项由设备通过源MAC地址学习,表项有老化时间,可被老化。

为提高网络运行的安全性,配置静态MAC地址,使携带特定目的MAC地址的报文由指定接口转发。保证与上行设备或服务器正常通信,不受伪造MAC地址攻击。用户可通过本命令查看系统中静态MAC地址表项信息,可以根据查看的结果来确定用户设备与接口绑定是否正确,保证合法用户的通信。

后续任务

用户通过本命令查看静态MAC地址表项后,若认为静态MAC地址表项已经无效,可通过undo mac-address命令删除系统当前存在的静态MAC地址表项。

注意事项

如果只输入display mac-address static,不指定任何参数,则显示设备上所有的静态MAC地址表项。

如果MAC地址表中没有任何静态MAC表项,则本命令的显示结果为空。

使用实例

# 查看MAC地址表中所有静态MAC地址表项。

<HUAWEI> display mac-address static
------------------------------------------------------------------------------- 
MAC Address          VLAN/VSI/BD                 Learned-From        Type       
-------------------------------------------------------------------------------
0022-0022-0033       100/-/-                     GE1/0/1             static 
0000-0000-0001       -/HUAWEI/-                  GE1/0/2             static 

-------------------------------------------------------------------------------
Total items displayed = 2 

# 查看VLAN 10中所有静态MAC地址表项的详细信息。

<HUAWEI> display mac-address static vlan 10 verbose
------------------------------------------------------------------------------- 
MAC Address : 0000-0000-0001            VLAN : 10                            
Learned-From: GE1/0/2                   Type : static                       
                                                                                
------------------------------------------------------------------------------- 
Total items displayed = 1
表5-11  display mac-address static命令输出信息描述表

项目

描述

MAC Address

MAC地址。

VLAN/VSI/BD

设备所属的VLAN编号或VSI(Virtual Switch Instance)名称或BD域ID

Learned-From

学到该MAC地址的接口。

Type

MAC表项类型。

static:静态MAC地址表项。由用户手工配置,表项不会被老化。可以通过命令mac-address static vlanmac-address static vlanifmac-address static vsimac-address static bridge-domainmac-address static bridge-domain vni配置。

display mac-address summary

命令功能

display mac-address summary命令用来查看设备上所有MAC地址表项的汇总信息。

命令格式

display mac-address summary [ slot slot-id ]

参数说明

参数

参数说明

取值

slot slot-id

显示指定槽位的MAC地址表项汇总信息。

整数形式,根据系统提示的在位槽位号确定。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

设备的MAC地址表用于存放设备所学习到的其它设备的MAC地址信息。在转发数据时,根据以太网帧中的目的MAC地址和VLAN编号查询MAC表,快速定位设备的出接口。

当设备存在大量的不同类型的MAC地址时,可通过本命令查看当前系统中各种类型MAC地址表项的汇总信息,还可以根据Local和Remote来区分是本槽位学习到的MAC地址还是其他槽位同步过来的MAC地址

注意事项

  • 本命令按槽位来显示MAC表项的汇总信息,如果只输入display mac-address summary,不指定Slot参数,则显示所有槽位的MAC地址表项。

  • 如果设备没有配置静态MAC地址表项、黑洞MAC地址表项,则这两种类型的MAC地址表项统计计数是0。
  • 如果设备已经禁止MAC地址学习功能,在动态类型的MAC地址表项统计计数是0。

    在以太网接口视图下执行命令undo mac-address learning disable可恢复MAC地址学习功能。

使用实例

# 查看设备上MAC地址表项的汇总信息。

<HUAWEI> display mac-address summary
Summary information of slot 1:
-----------------------------------                                             
Static     :               1 
Blackhole  :               1 
Dyn-Local  :               3 
Dyn-Remote :               5 
Dyn-Trunk  :               0 
OAM        :               0 
Sticky     :               0 
Security   :               0 
Sec-config :               0 
Authen     :               0 
Guest      :               0 
Mux        :               0 
Snooping   :               0 
Pre-Mac    :               0 
Evpn       :               0 
In-used    :               10 
Capacity   :               524288                                                
-----------------------------------                                             
表5-12  display mac-address summary命令输出信息描述

项目

描述

Static

静态MAC地址表项的总数。

Blackhole

黑洞MAC地址表项的总数。

Dyn-Local

本槽位学习到的MAC表项总数。

Dyn-Remote

其他槽位学习到的MAC表项同步到本槽位的总数。

Dyn-Trunk

所有Trunk接口学到的动态MAC表项总数。

说明:

对于Eth-Trunk接口学习到的MAC,向其它单板同步时(Eth-Trunk成员口所在单板之外的单板),如果其它单板有接口加入了对应的VLAN(Eth-Trunk学习到的MAC地址对应的VLAN),则向对应的单板同步该MAC表项,否则不同步。

OAM

OAM MAC地址表项的总数。

Sticky

Sticky MAC地址表项的总数。

Security

安全动态MAC地址表项的总数。

Sec-config

安全静态MAC地址表项的总数。

Authen

认证MAC地址表项的总数。

Guest

加入Guest VLAN的接口学习到的MAC地址表项的总数。

Mux

加入MUX VLAN的接口学习到的MAC地址表项的总数。

Evpn

EVPN类型的MAC地址表项的总数。

说明:

仅V200R013C00SPC500版本支持显示此字段。

Snooping

Snooping MAC地址表项的总数。

Pre-Mac

Pre-authen类型MAC地址表项的总数。

In-used

MAC表中已存在的表项总数。

Capacity

MAC地址表的规格。以设备具体显示为准。

display mac-address total-number

命令功能

display mac-address total-number命令用来查看指定类型的MAC地址表项的数目信息。

命令格式

display mac-address total-number [ slot slot-id ]

display mac-address total-number [ vsi vsi-name ]

display mac-address total-number [ vlan vlan-id | interface-type interface-number ] *

display mac-address total-number vlan all

display mac-address total-number { mux | security | sticky | sec-config | snooping | pre-authen | authen } [ vlan vlan-id | interface-type interface-number ] *

display mac-address total-number blackhole [ vlan vlan-id | vsi vsi-name ]

display mac-address total-number dynamic [ slot slot-id ] [ vlan vlan-id | interface-type interface-number ] *

display mac-address total-number dynamic [ slot slot-id ] [ vsi vsi-name ]

display mac-address total-number static [ vlan vlan-id | interface-type interface-number ] *

display mac-address total-number static vsi vsi-name

参数说明

参数

参数说明

取值

slot slot-id

显示指定槽位的MAC地址表项统计的数量信息。

整数形式,根据系统提示的在位槽位号确定。

mux

显示MUX类型MAC地址表项统计的数量信息。

-

dynamic

显示动态MAC地址表项统计的数量信息。

-

security

显示Security类型MAC地址表项统计的数量信息。

-

sec-config

显示安全静态MAC地址表项统计的数量信息。

-

snooping

显示根据DHCP Snooping绑定表生成的静态MAC表项的数量信息。

-

pre-authen

显示用户使能NAC认证功能后,处于预连接状态的用户对应的MAC地址表项的数量信息。

-

authen

显示用户通过NAC认证后形成的MAC地址表项的数量信息。

-

sticky

显示Sticky类型MAC地址表项统计的数量信息。

-

blackhole

显示黑洞MAC地址表项统计的数量信息。

-

static

显示静态MAC地址表项统计的数量信息。

-

vlan vlan-id

显示指定VLAN的MAC地址表项统计的数量信息。

整数形式,取值范围是1~4094

vlan all

显示所有VLAN的MAC地址表项统计的数量信息。

-

interface-type interface-number

显示指定接口的MAC地址表项统计的数量信息。

-

vsi vsi-name

显示指定VSI的MAC地址表项统计的数量信息。

字符串形式,不支持空格,区分大小写,取值范围是1~31。当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

设备的MAC地址表用于存放交换机所学习到的其它设备的MAC地址信息。在转发数据时,根据以太网帧中的目的MAC地址和VLAN编号查询MAC表,快速定位设备的出接口。

当设备存在大量的不同类型的MAC地址时,用户需要查看当前系统所有MAC地址表项的数目信息时,可通过本命令查看当前系统中MAC地址表项的数目统计信息。

注意事项

如果不指定任何可选参数,将显示系统中所有MAC地址表项的数目信息。

执行本命令不指定接口时,将显示全部接口的MAC地址表项数量。

执行本命令不指定VLAN时,将显示全部VLAN的MAC地址表项数量。

使用实例

# 查看设备所有动态MAC地址表项的数目。

<HUAWEI> display mac-address total-number dynamic
Total number of MAC address : 20
表5-13  display mac-address total-number命令输出信息描述

项目

描述

Total number of MAC address

当前系统中MAC地址表项的数目的统计信息。

display mac-limit

命令功能

display mac-limit命令用来查看已经配置的MAC地址学习限制规则。

命令格式

display mac-limit [ interface-type interface-number | vlan vlan-id | vsi vsi-name | slot slot-id ]

参数说明

参数

参数说明

取值

interface-type interface-number

查看指定接口的MAC地址学习限制规则,其中:
  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

vlan vlan-id

查看VLAN编号是vlan-id的MAC地址学习限制规则。

整数形式,取值范围是1~4094

vsi vsi-name

查看VSI名称是vsi-name的MAC地址学习限制规则。vsi-name表示VSI名称。

字符串形式,不支持空格,区分大小写,取值范围是1~31。当输入的字符串两端使用双引号时,可在字符串中输入空格。

slot slot-id

显示基于Slot的MAC地址学习限制规则。

槽位号的取值由设备硬件决定。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

使用本命令可以查看设备当前的MAC地址学习限制规则,可以根据查看的结果来判断配置的MAC地址学习限制规则是否正确,若不正确可以使用mac-limit命令修改undo mac-limit all命令删除

注意事项

执行本命令不指定任何参数时,将显示全部接口、VLAN和VSI的MAC地址学习限制规则。

使用实例

# 查看接口GigabitEthernet1/0/1的MAC地址学习限制规则。

<HUAWEI> display mac-limit GigabitEthernet 1/0/1
GigabitEthernet1/0/1 MAC limit:
  Maximum MAC count 1000, used count 0 
  Action: forward, Alarm: enable 

# 查看所有已经配置的MAC地址学习限制规则。

<HUAWEI> display mac-limit
MAC Limit is enabled
Total MAC Limit rule count : 4

PORT                 VLAN/VSI/SI     SLOT Maximum Rate(ms) Action  Alarm
----------------------------------------------------------------------------
GE1/0/1             -                -    3000    -        forward enable
-                    3                -    100     -        discard enable
-                    5                -    5000    -        discard enable
-                    huawei           -    8000    -        discard enable
 
表5-14  display mac-limit命令的输出信息描述

项目

描述

GigabitEthernet 1/0/1 MAC limit:

接口的MAC地址学习限制规则。

通过命令mac-limit配置。

Maximum MAC count

最大MAC地址学习数目。

used count

已经学习到的动态MAC地址数目。

Total MAC Limit rule count

MAC地址学习限制的条数。

PORT

接口名称。

VLAN/VSI/SI

VLAN编号/VSI/SI名称

SLOT

被限制MAC地址学习的槽位号。

Maximum

最大MAC地址学习数目。相关命令请参考mac-limit

Rate(ms)

标识MAC地址学习的时间间隔。

Action

超过最大MAC地址学习限制时,对报文应采取的动作。
  • discard表示直接丢弃匹配不到MAC地址表项的报文。
  • forward表示转发匹配不到MAC地址表项的报文。

Alarm

超过最大MAC地址学习限制时,是否进行告警。
  • enable表示进行告警提示。
  • disable表示不进行告警提示。
相关主题

display snmp-agent trap feature-name l2if all

命令功能

display snmp-agent trap feature-name l2if all命令用来查看L2IF模块的所有告警开关的信息。

命令格式

display snmp-agent trap feature-name l2if all

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

在打开了指定特性告警的功能后,执行命令display snmp-agent trap feature-name l2if all可以查看L2IF特性所有告警的开关状态信息。用户可使用snmp-agent trap enable feature-name l2if命令打开L2IF特性告警开关。

前置条件

已经使能网元的SNMP功能,使能命令可以参考snmp-agent

使用实例

# 查看L2IF模块的所有告警开关的信息。

<HUAWEI> display snmp-agent trap feature-name l2if all
------------------------------------------------------------------------------
Feature name: L2IF
Trap number : 2
------------------------------------------------------------------------------
Trap name                           Default switch status   Current switch status
hwSlotMacLimitNumRaisingThreshold                                                                                                   
                                off                     off                                                                         
hwSlotMacLimitNumFallingThreshold                                                                                                   
                                off                     off                                                                         
表5-15  display snmp-agent trap feature-name l2if all命令输出信息描述

项目

描述

Feature name

告警所属的模块名称。

Trap number

告警的数量。

Trap name

告警的名称,L2IF模块的告警包括:

  • hwSlotMacLimitNumRaisingThreshold:当该设备某个槽位的MAC地址学习限制数目达到限制数的告警阈值时发送华为私有Trap消息。
  • hwSlotMacLimitNumFallingThreshold:当该设备某个槽位的MAC地址学习数目低于限制数的告警阈值时发送华为私有Trap消息。

Default switch status

缺省告警开关的状态:

  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

Current switch status

当前告警开关的状态:

  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

该参数可以通过命令snmp-agent trap enable feature-name l2if配置。

display snmp-agent trap feature-name l2ifppi all

命令功能

display snmp-agent trap feature-name l2ifppi all命令用来查看二层适配模块的所有告警开关的信息。

命令格式

display snmp-agent trap feature-name l2ifppi all

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

在打开了指定特性告警的功能后,执行命令display snmp-agent trap feature-name l2ifppi all可以查看二层适配模块所有告警的开关状态信息。用户可使用snmp-agent trap enable feature-name l2ifppi命令打开二层适配模块告警开关。

前置条件

已经使能网元的SNMP功能,使能命令可以参考snmp-agent

使用实例

# 查看二层适配模块的所有告警信息。

<HUAWEI>display snmp-agent trap feature-name l2ifppi all
------------------------------------------------------------------------------                                                      
Feature name: L2IFPPI                                                                                                               
Trap number : 14                                                                                                                    
------------------------------------------------------------------------------                                                      
Trap name                       Default switch status   Current switch status                                                       
hwPortSecRcvInsecurePktAlarm    on                      on                                                                          
hwMflpVlanAlarm                 on                      on                                                                          
hwMflpVsiAlarm                  on                      on                                                                          
hwMflpBdAlarm                   on                      on                                                                          
hwMacLimitOverThresholdAlarm    on                      on                                                                          
hwMacLimitOverThresholdAlarmResume                                                                                                  
                                on                      on                                                                          
hwRecIllegalMacPktAlarm         on                      on                                                                          
hwMflpQuitVlanAlarm             on                      on                                                                          
hwMflpQuitVlanResume            on                      on                                                                          
hwPortVlanSecureMacAlarm        on                      on                                                                          
hwMacTrapAlarm                  on                      on                                                                          
hwSlotMacUsageRaisingThreshold  on                      on                                                                          
hwSlotMacUsageFallingThreshold  on                      on                                                                          
hwBoardPowerOff                 on                      on                                                                          
hwMacTrapHashConflictAlarm      on                      on                  
表5-16  display snmp-agent trap feature-name l2ifppi all命令输出信息描述

项目

描述

Feature name

告警所属的模块名称。

Trap number

告警的数量。

Trap name

告警的名称,二层适配模块的告警包括:

  • hwPortSecRcvInsecurePktAlarm:当该设备安全MAC达到限制数后又收到非法报文时发送华为私有Trap消息。

  • hwMflpVlanAlarm:当该设备某个VLAN内MAC地址漂移时发送华为私有Trap消息。

  • hwMflpVsiAlarm:当该设备某个VSI内的MAC地址漂移时发送华为私有Trap消息。

  • hwMflpBdAlarm:当该设备某个BD内的MAC地址漂移时发送华为私有Trap消息。

  • hwMacLimitOverThresholdAlarm:当该设备MAC地址数达到限制数指定阈值时发送华为私有Trap消息。

  • hwMacLimitOverThresholdAlarmResume:当该设备MAC地址数低于限制数指定阈值时发送华为私有Trap消息。

  • hwRecIllegalMacPktAlarm:当该设备收到全0MAC地址报文时发送华为私有Trap消息。

  • hwMflpQuitVlanAlarm:当该设备由于MAC地址发生漂移导致接口从某个VLAN退出时发送华为私有Trap消息。

  • hwMflpQuitVlanResume:当该设备由于MAC地址发生漂移导致接口从某个VLAN退出后,恢复时间到接口重新加入该VLAN时发送华为私有Trap消息。

  • hwPortVlanSecureMacAlarm:当该设备安全MAC达到限制数后又收到非法报文时发送华为私有Trap消息。

  • hwMacTrapAlarm:当该设备MAC地址新增和删除时发送华为私有Trap消息。

  • hwSlotMacUsageRaisingThreshold:该设备指定槽位MAC地址表使用率达到指定阈值时发送华为私有Trap消息。

  • hwSlotMacUsageFallingThreshold:当该设备指定槽位MAC地址表使用率恢复到指定阈值发送华为私有Trap消息。

  • hwBoardPowerOff:当该设备由于Eth-trunk规格变更,而某个单板不支持该规格强制该单板下电时发送华为私有Trap消息。

  • hwMacTrapHashConflictAlarm:当该设备MAC地址存在Hash冲突时发送华为私有Trap消息。

Default switch status

告警开关缺省状态:
  • on:表示缺省情况下告警处于开启状态。

  • off:表示缺省情况下告警处于关闭状态。

Current switch status

告警的状态:

  • on:表示告警处于开启状态。

  • off:表示告警处于关闭状态。

该参数可以通过命令snmp-agent trap enable feature-name l2ifppi配置。

drop illegal-mac alarm

命令功能

drop illegal-mac alarm命令用来配置设备对全0非法MAC地址报文的告警功能。

undo drop illegal-mac alarm命令用来取消设备对全0非法MAC地址报文的告警功能。

缺省情况下,没有配置对全0非法MAC地址报文的告警功能。

命令格式

drop illegal-mac alarm

undo drop illegal-mac alarm

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

网络中存在一些老的主机或设备,当这些设备网卡发生故障时可能会向网络中发送源MAC地址或目的MAC地址是全0非法MAC的报文。可执行drop illegal-mac alarm命令配置当交换机收到这些报文时上报一条告警,可根据告警信息定位故障网卡的位置。

注意事项

如果交换机告警功能已关闭,网管不能接收到相关告警信息。

执行drop illegal-mac alarm后,收到全0报文时只告警一次,需要继续告警,需要重新执行该命令。

使用实例

# 配置设备对全0非法MAC地址报文的告警功能。

<HUAWEI> system-view
[HUAWEI] drop illegal-mac alarm

drop illegal-mac enable

命令功能

drop illegal-mac enable命令用来使能设备丢弃全0非法MAC地址报文的功能。

undo drop illegal-mac enable命令用来取消设备丢弃全0非法MAC地址报文的功能。

缺省情况下,没有使能丢弃全0非法MAC地址报文的功能。

命令格式

drop illegal-mac enable

undo drop illegal-mac enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

网络中存在一些老的主机或设备,当这些设备网卡发生故障时可能会向网络中发送源MAC地址或目的MAC地址是全0非法MAC的报文。如果交换机收到这些报文时,可执行drop illegal-mac enable命令丢弃该非法报文。当交换机收到源MAC或目的MAC地址为全0非法MAC地址的报文时,会对该报文进行丢弃。

配置该功能,可以减少设备中MAC表的错误表项。

注意事项

如果设备的告警功能已关闭,网管不能接收到相关告警信息。

使用实例

# 配置丢弃全0非法MAC地址报文的功能。

<HUAWEI> system-view
[HUAWEI] drop illegal-mac enable

global-mac-learning enable

命令功能

global-mac-learning enable命令用来打开单板的全局MAC学习功能。

undo global-mac-learning enable命令用来关闭单板的全局MAC学习功能。

缺省情况下,单板全局MAC学习功能关闭。

说明:
  • 仅SA、EA和X系列单板支持该命令。
  • 通过命令assign resource-mode配置资源分配模式为enhanced-mac后,该命令不可配置。

命令格式

global-mac-learning enable slot slot-id

undo global-mac-learning enable slot slot-id

参数说明

参数

参数说明

取值

slot slot-id

接口板的槽位号。

整数形式,槽位号的取值由硬件设备决定。

视图

系统视图

缺省级别

2:配置级

使用指南

缺省情况下,单板的MAC同步机制是关闭的,即该单板只保存本板学习到的MAC表项。当单板在单向流或者其它未知情况下出现故障后,需要打开全局MAC学习功能。开启单板全局MAC学习功能后,该单板会在MAC表中保存从其它单板学习到的MAC表项。这样能有效处理由于故障所导致的MAC表项丢失问题。

使用实例

#开启3号单板的全局MAC学习功能。

<HUAWEI> system-view
[HUAWEI] global-mac-learning enable slot 3 

mac-address aging-time

命令功能

mac-address aging-time命令用来配置动态MAC地址表项的老化时间。

undo mac-address aging-time命令用来恢复动态MAC地址表项的老化时间为缺省值。

缺省情况下,动态MAC地址表项的老化时间为300秒。

命令格式

mac-address aging-time aging-time

undo mac-address aging-time

参数说明

参数

参数说明

取值

aging-time

配置动态MAC地址表项的老化时间。

整数形式,取值范围是0,60~1000000,单位是秒,缺省值是300秒。0表示动态MAC地址表项不老化。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

随着网络拓扑的不断变化,设备将会学习到越来越多的MAC地址。为了避免MAC地址表项爆炸式增长,需要使用mac-address aging-time命令为动态MAC表项设置合理的老化时间,及时删除MAC地址表中的废弃MAC地址表项。

系统为每个动态MAC地址表项启动一个老化定时器。如果MAC地址表项是动态学习得到的,而且在设定的两倍表项老化时间内没有被更新,则该表项将被删除。如果得到更新,则该表项的老化时间重新计算。老化时间越短,则设备对周边的网络变化越敏感;反之则越不敏感。

动态MAC地址表项的老化时间需要根据现网实际情况和设备性能来设置。

  • 相对稳定的网络可以设置较长的老化时间,变化频繁的网络应该设置较短的老化时间。
  • 高端设备和低端设备的MAC地址表项存储容量差别较大,可将低端设备的老化时间适当调小,以加速老化节省MAC地址表项。

注意事项

系统复位、接口板热插拔或接口板复位后,动态表项会丢失,而保存的静态表项和黑洞表项不会老化丢失。

当配置动态MAC地址表项的老化时间为0秒时,学习到的动态MAC地址则不会被老化,可能会使MAC地址表项爆炸式增长,影响设备性能。

全局下只有一个动态MAC地址表项的老化时间,多次执行mac-address aging-time命令后,以最后一次配置为准。

使用实例

# 配置动态MAC地址表项的老化时间为500秒。

<HUAWEI> system-view
[HUAWEI] mac-address aging-time 500

mac-address blackhole

命令功能

mac-address blackhole命令用来配置黑洞MAC地址表项。

undo mac-address blackhole命令用来删除黑洞MAC地址表项。

缺省情况下,设备没有配置黑洞MAC地址表项。

命令格式

mac-address blackhole mac-address [ vlan vlan-id | vsi vsi-name ]

undo mac-address blackhole [ mac-address ] [ vlan vlan-id | vsi vsi-name ]

参数说明

参数

参数说明

取值

mac-address

指定黑洞MAC地址表项对应的MAC地址。

格式为H-H-H,其中H为1至4位的十六进制数。MAC地址不可设置为FFFF-FFFF-FFFF、组播地址和全零MAC地址

vlan vlan-id

指定黑洞MAC地址表项对应的VLAN编号。

整数形式,取值范围是1~4094

vsi vsi-name

指定黑洞MAC地址表项对应的VSI实例的名称。该VSI实例对应的名称,必须是设备上已经创建的VSI实例名称。

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址。当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃。

前置条件

执行本命令前,网络管理员需要熟悉网络中每台设备的MAC地址。如果将合法用户的MAC地址配置为黑洞表项,那么将会造成合法用户通信中断。

配置影响

当报文的目的MAC地址或源MAC地址与黑洞MAC地址表匹配后该报文将被丢弃。配置并保存后,系统复位或接口板热插拔MAC地址表项不丢失。

注意事项

  • 黑洞MAC地址表项没有老化时间,可以添加、删除。

  • 与静态MAC地址表项配置不同,配置黑洞MAC表项时,不需要指定出接口。
  • 若指定的VLAN已经是RRPP(Rapid Ring Protection Protocol)的控制VLAN,则配置错误。

  • 黑洞MAC地址表项分为:全局黑洞MAC地址表项和基于VLAN或VSI的黑洞MAC地址表项。全局黑洞MAC地址表项即执行mac-address blackhole命令时,只指定MAC地址,不指定VLAN。另外全局黑洞MAC地址表项不占用MAC地址表的空间。
  • MAC地址表已满的情况下,继续配置基于VLAN或VSI黑洞MAC地址表项,则系统的处理方法如下:
    • 如果MAC地址表中存在和黑洞MAC地址相同的动态MAC表项,则添加的黑洞MAC表项自动覆盖动态MAC地址表项。“和黑洞MAC地址相同”指的是MAC地址和VLAN或VSI名相同。
    • 如果MAC地址表中不存在和黑洞MAC地址相同的动态MAC表项,则该黑洞MAC表项将配置失败。
  • 系统可以配置多个黑洞MAC地址表项,多次执行mac-address blackhole命令后,配置结果是多次配置的累加。

使用实例

# 在MAC地址表中增加黑洞MAC地址表项:MAC地址为0004-0004-0004,用户VLAN属于VLAN 5。

<HUAWEI> system-view
[HUAWEI] vlan 5
[HUAWEI-vlan5] quit
[HUAWEI] mac-address blackhole 0004-0004-0004 vlan 5

# 配置MAC为0005-0005-0005的全局黑洞MAC地址表项。

<HUAWEI> system-view
[HUAWEI] mac-address blackhole 0005-0005-0005

# 在VSI a2上添加一个MAC地址为0011-2233-4455的黑洞表项。当收到目的或源MAC为0011-2233-4455且属于VSI a2的帧时,直接丢弃。

<HUAWEI> system-view
[HUAWEI] mac-address blackhole 0011-2233-4455 vsi a2

mac-address destination hit aging enable

命令功能

mac-address destination hit aging enable命令用来使能系统MAC地址表项即使有报文目的MAC匹配,仍然按照老化时间正常老化。

undo mac-address destination hit aging enable命令用来恢复该配置的缺省情况。

缺省情况下,系统MAC地址表项有报文目的MAC匹配则重新计算老化时间来进行老化。

命令格式

mac-address destination hit aging enable

undo mac-address destination hit aging enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当用户终端使用点播等单向业务时,服务器会一直向用户终端发送单向报文。在用户终端关闭时,该单向报文仍然存在,由于该报文的目的MAC会匹配MAC地址表项,所以该MAC地址会一直不被老化。

为防止关闭的用户终端占用MAC地址表项,可以执行mac-address destination hit aging enable命令使能系统MAC地址表项即使有报文目的MAC匹配,仍然按照老化时间正常老化。

注意事项

本命令只能解决占用MAC地址表项问题,网络中的流量查找不到对应的MAC地址表项时会进行广播。

使用实例

# 使能系统MAC地址表项即使有报文目的MAC匹配,仍然按照老化时间正常老化。

<HUAWEI> system-view
[HUAWEI] mac-address destination hit aging enable

mac-address flapping action

命令功能

mac-address flapping action命令用来配置接口发生MAC地址漂移后的处理动作。

undo mac-address flapping action命令用来取消配置接口发生MAC地址漂移后的处理动作。

缺省情况下,没有配置接口MAC地址漂移后的处理动作。

命令格式

mac-address flapping action { error-down | quit-vlan }

undo mac-address flapping action { error-down | quit-vlan }

参数说明

参数

参数说明

取值

error-down

指定接口发生MAC地址漂移后的处理动作为将该接口Shutdown。

-

quit-vlan

指定接口发生MAC地址漂移后的处理动作为将该接口从VLAN中退出。

-

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

用户网络中由于环网造成了MAC地址漂移,且网络不支持破环协议,可以在相应接口上配置发生MAC地址漂移后的处理动作来实现破环。

接口配置了MAC地址漂移处理动作后,如果系统检测到是该接口学习的MAC发生漂移,会将该接口关闭或者退出VLAN。在一个MAC地址漂移表项老化周期内只能关闭一个接口。

后续任务

  • MAC地址漂移检测后的处理动作为error-down时,默认情况下,接口关闭后不会自动恢复,只能由网络管理人员先执行shutdown命令再执行undo shutdown命令手动恢复,也可以在接口视图下执行restart命令重启接口。

    如果用户希望被关闭的接口可以自动恢复,则必须在接口error-down前通过在系统视图下执行error-down auto-recovery cause mac-address-flapping命令使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间,才可使被关闭的接口经过延时时间后能够自动恢复。

  • MAC地址漂移检测后的处理动作为quit-vlan时,默认情况下,接口退出VLAN可以自动恢复,恢复时间为10分钟。同时自动恢复时间可以为配置值,在系统视图下执行mac-address flapping quit-vlan recover-time time-value进行配置。

注意事项

不建议在上行接口配置mac-address flapping action命令。

MAC地址漂移检测功能只能做单点环路检测,无法获取整个网络的拓扑信息。如果网络支持破环协议,建议使用破环协议来消除环路。

多次执行mac-address flapping action命令,结果按最后一次配置生效。

使用实例

# 配置交换机检测到GE1/0/1接口存在MAC地址漂移后关闭该接口。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] mac-address flapping action error-down
Info: This command may shut down the interface after MAC address flapping is detected. 

# 配置交换机检测到GE1/0/1接口存在MAC地址漂移后该接口退出VLAN。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] mac-address flapping action quit-vlan 

mac-address flapping action priority

命令功能

mac-address flapping action priority命令用来配置发生MAC地址漂移时接口动作的优先级。

undo mac-address flapping action priority命令用来将接口动作的优先级还原为默认值。

缺省情况下,接口动作的优先级为127。

命令格式

mac-address flapping action priority priority

undo mac-address flapping action priority

参数说明

参数

参数说明

取值

priority

发生MAC地址漂移时接口动作的优先级。

整数形式,取值范围是0~255,数值越大优先级越高,默认值为127。

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

用户网络中由于环网造成了MAC地址漂移,且网络不支持破环协议,可以在相应接口上配置发生MAC地址漂移后的处理动作来实现破环。通过mac-address flapping action priority可以指定接口动作的优先级。

接口配置了mac-address flapping action priority后,检测到在两个或多个接口间发生MAC地址漂移,并且有配置处理动作时,就把优先级低的接口关闭或者退出VLAN。在多个接口动作优先级相同的情况下,漂移后的接口先做动作。如果漂移后接口没有配置处理动作,则对漂移前接口做动作。

说明:

接口动作的优先级只在相同的动作间生效。如果一个接口配置了error-down,另外一个接口配置quit-vlan,即使优先级相同,也会出现两个接口都做动作的情况。

注意事项

多次执行mac-address flapping action priority命令,结果按最后一次配置生效。

使用实例

# 配置接口GE1/0/1发生MAC地址漂移时接口动作的优先级为3。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] mac-address flapping action priority 3

mac-address flapping aging-time

命令功能

mac-address flapping aging-time命令用来配置MAC地址漂移表项的老化时间。

undo mac-address flapping aging-time命令用来恢复MAC地址漂移表项的老化时间为缺省值。

缺省情况下,MAC地址漂移表项的老化时间为300秒。

命令格式

mac-address flapping aging-time aging-time

undo mac-address flapping aging-time

参数说明

参数

参数说明

取值

aging-time

MAC地址漂移表项的老化时间。

整数形式,取值范围是60~900。单位为秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

如果用户修改动态MAC的老化时间变长,会导致漂移再次发生,Error-down的时间变长。为了能够正常检测到MAC地址漂移,可以使用该命令修改漂移表项的老化时间。

注意事项

多次执行mac-address flapping aging-time命令,结果按最后一次配置生效。

使用实例

# 配置MAC地址漂移表项的老化时间为500秒。

<HUAWEI> system-view
[HUAWEI] mac-address flapping aging-time 500

mac-address flapping detection

命令功能

mac-address flapping detection命令用来配置全局MAC地址漂移检测功能。

undo mac-address flapping detection命令用来取消配置全局MAC地址漂移检测功能。

缺省情况下,已经配置了全局MAC地址漂移检测功能。

命令格式

mac-address flapping detection

undo mac-address flapping detection

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

MAC地址漂移即设备上一个接口学习到的MAC地址在同一VLAN/VSI中另一个接口上也被学习到,后学习到的MAC地址表项覆盖原来的表项。

MAC地址漂移可由以下原因引起:

  • 网络中交换机网线误接或配置错误形成了环网,导致MAC地址漂移。
  • 网络中某些非法用户进行MAC地址攻击。

配置全局MAC地址漂移检测功能可以检测到设备上所有的MAC地址是否发生了漂移。若发生漂移,设备会上报告警到网管系统,维护人员可根据告警信息定位故障,也可以使用display mac-address flapping record命令查看MAC地址漂移的历史记录。

使用实例

# 配置交换机的MAC flapping检测功能。

<HUAWEI> system-view
[HUAWEI] mac-address flapping detection

mac-address flapping detection exclude vlan

命令功能

mac-address flapping detection exclude vlan命令用来配置MAC地址漂移检测的VLAN白名单,即不检测的VLAN。

undo mac-address flapping detection exclude vlan命令用来删除MAC地址漂移检测的VLAN白名单。

缺省情况下,没有配置MAC地址漂移检测的VLAN白名单。

命令格式

mac-address flapping detection exclude vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>

undo mac-address flapping detection exclude vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all }

参数说明

参数

参数说明

取值

vlan-id1 [ to vlan-id2 ]

指定MAC flapping检测的VLAN白名单。

其中:
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。

vlan-id2的取值必须大于vlan-id1的取值。

一次配置中最多可以执行10次vlan-id1 [ to vlan-id2 ] 参数。

  • vlan-id1为整数形式,取值范围是1~4094
  • vlan-id2为整数形式,取值范围是1~4094

all

清除MAC flapping检测的所有VLAN白名单。

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

缺省情况下,系统会对交换机上所有VLAN进行MAC地址漂移检测。但是在某些特定场景下,如交换机连接双网卡的负载分担服务器时,可能会出现服务器的MAC地址在两个接口上学习到,而这种情况不需要作为MAC地址漂移被检测出来。

用户可以使用本命令将服务器所在的VLAN加入MAC地址漂移检测白名单,不对该VLAN进行检测。配置成功后,该VLAN内发生的漂移不上报告警,也不显示在MAC地址漂移历史记录中。

注意事项

多次执行mac-address flapping detection exclude vlan命令,结果按多次配置的累加生效。

使用实例

# 配置系统不对VLAN 5进行MAC地址漂移检测。

<HUAWEI> system-view
[HUAWEI] mac-address flapping detection exclude vlan 5

mac-address flapping detection vlan security-level

命令功能

mac-address flapping detection vlan security-level命令用来配置指定VLAN中MAC地址漂移检测的安全级别。

undo mac-address flapping detection vlan security-level命令用来恢复该安全级别为缺省值。

缺省情况下,MAC地址漂移检测的安全级别为middle,即MAC地址发生10次迁移后,系统认为发生了MAC地址漂移。

命令格式

mac-address flapping detection vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all } security-level { high | middle | low }

undo mac-address flapping detection vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all } security-level [ high | middle | low ]

参数说明

参数

参数说明

取值

vlan-id1 [ to vlan-id2 ]

指定配置MAC flapping检测安全级别的VLAN。

其中:
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。

vlan-id2的取值必须大于vlan-id1的取值。

一次配置中最多可以执行10次vlan-id1 [ to vlan-id2 ] 参数。

  • vlan-id1为整数形式,取值范围是1~4094
  • vlan-id2为整数形式,取值范围是1~4094

all

指定对所有VLAN配置MAC漂移检测安全级别。

-

high

配置对指定VLAN的MAC漂移检测安全级别为高,即MAC地址发生3次迁移后,系统认为发生了MAC地址漂移。

-

middle

配置对指定VLAN的MAC漂移检测安全级别为中,即MAC地址发生10次迁移后,系统认为发生了MAC地址漂移。

-

low

配置对指定VLAN的MAC漂移检测安全级别为高,即MAC地址发生50次迁移后,系统认为发生了MAC地址漂移。

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备默认MAC地址发生迁移次数达到10次时,即认为发生漂移。在某些不稳定的网络中,存在动荡,MAC地址发生迁移次数为10时,不一定是漂移。用户可以根据网络状态,配置安全级别,MAC迁移发生指定的次数才认为发生了漂移。

使用实例

# 配置对VLAN5进行MAC地址漂移检测的安全级别为high。

<HUAWEI> system-view
[HUAWEI] mac-address flapping detection vlan 5 security-level high

mac-address flapping mac-syn-suppress disable

命令功能

mac-address flapping mac-syn-suppress disable命令用来关闭MAC地址漂移触发MAC地址实时同步抑制的功能。

undo mac-address flapping mac-syn-suppress disable命令用来打开MAC地址漂移触发MAC地址实时同步抑制的功能。

缺省情况下,MAC地址漂移触发MAC地址实时同步抑制功能处于打开状态。

命令格式

mac-address flapping mac-syn-suppress disable

undo mac-address flapping mac-syn-suppress disable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

缺省情况下,设备上的MAC地址实时同步抑制功能处于打开状态。如果MAC地址漂移持续存在,导致MAC地址实时同步报文过多,MAC地址实时同步功能就会被抑制。在终端漫游等场景下,这样会造成终端获取DHCP地址慢等问题,此时可以通过mac-address flapping mac-syn-suppress disable命令来关闭MAC地址漂移触发MAC地址实时同步抑制的功能。

使用实例

# 关闭MAC地址漂移触发MAC地址实时同步抑制的功能。

<HUAWEI> system-view
[HUAWEI] mac-address flapping mac-syn-suppress disable

mac-address flapping quit-vlan recover-time

命令功能

mac-address flapping quit-vlan recover-time用来配置接口发生MAC地址漂移后接口退vlan的自动恢复时间。

undo mac-address flapping quit-vlan recover-time用来将接口退vlan的自动恢复时间还原为默认值。

缺省情况下,自动恢复时间为10分钟。

命令格式

mac-address flapping quit-vlan recover-time time-value

undo mac-address flapping quit-vlan recover-time

参数说明

参数

参数说明

取值

time-value

配置的自动恢复时间。

整数形式,取值范围是0~1440,单位是分钟。0表示不恢复,缺省值为10。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

MAC地址漂移触发接口退出VLAN后,在自动恢复时间过后接口能自动加入之前退出的VLAN。

注意事项

自动恢复时间基于接口生效,如果一个接口从多个VLAN中退出,自动恢复时间以接口退出最后一个VLAN的时间点为基准点计时。

使用实例

#配置接口退vlan恢复时间为15分钟。

<HUAWEI> system-view
[HUAWEI] mac-address flapping quit-vlan recover-time 15

#将接口退vlan恢复时间还原为默认值。

<HUAWEI> system-view
[HUAWEI] undo mac-address flapping quit-vlan recover-time

mac-address hash-mode

命令功能

mac-address hash-mode命令用来配置设备指定槽位号上单板的MAC Hash模式。

undo mac-address hash-mode命令用来恢复设备指定槽位号上单板的MAC Hash模式为缺省值。

缺省情况下,设备的Hash模式为crc32-lower

说明:

X系列单板不支持该命令。

命令格式

mac-address hash-mode { crc16-lower | crc16-upper | crc32-lower | crc32-upper | lsb | enhanced } slot slot-id

undo mac-address hash-mode [ crc16-lower | crc16-upper | crc32-lower | crc32-upper | lsb | enhanced ] slot slot-id

参数说明

参数

参数说明

取值

crc16-lower

指定Hash算法为16位低比特循环冗余校验模式。

-

crc16-upper

指定Hash算法为16位高比特循环冗余校验模式。

-

crc32-lower

指定Hash算法为32位低比特循环冗余校验模式。

-

crc32-upper

指定Hash算法为32位高比特循环冗余校验模式。

-

lsb

指定Hash算法为Key值最低有效位校验模式。

-

enhanced

指定Hash算法为增强模式。

-

slot slot-id

指定槽位号。

根据设备实际配置选取。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为了提升MAC转发性能,设备一般都会通过一定的Hash算法进行MAC地址学习。当出现多个MAC地址匹配到同一个Key值时,就可能出现MAC Hash冲突。

MAC Hash冲突一般表现为大量的MAC地址无法学习到,到该MAC的流量只能通过广播方式发送,导致设备上的广播流量很大。出现这种问题后,可以通过尝试配置更合适的MAC Hash算法来降低冲突。

注意事项

  • 由于MAC地址分布没有规律性,因此无法确定哪种Hash算法最优。在通常情况下,默认算法为最优算法,建议用户不要轻易变更。

  • 配置合适的MAC Hash模式只能缓解MAC地址学习的Hash冲突,不能彻底解决冲突问题。

  • 更改MAC Hash模式后,必须在保存配置后重启单板使配置生效。

  • 多次执行mac-address hash-mode命令,结果按最后一次配置生效。

使用实例

# 配置2号槽位单板的MAC Hash模式为crc16-lower

<HUAWEI> system-view
[HUAWEI] mac-address hash-mode crc16-lower slot 2

mac-address learning disable(接口视图和VLAN视图)

命令功能

mac-address learning disable命令用来关闭MAC地址学习功能。

undo mac-address learning disable命令用来打开MAC地址学习功能。

缺省情况下,MAC地址学习功能处于打开状态。

命令格式

mac-address learning disable [ action { discard | forward } ] (接口视图)

mac-address learning disable (VLAN视图)

undo mac-address learning disable

参数说明

参数

参数说明

取值

action

指定接口禁止MAC地址学习功能后,接口所采取的动作。

  • 该参数只在接口视图和端口组视图下生效,且所指定的接口必须是二层接口。

  • 该参数主要针对指定二层接口不需要学习MAC地址情况下,报文是否需要转发。

缺省情况下,指定禁止MAC地址学习功能后,接口所采取的动作是forward

-

discard

指定丢弃动作。

-

forward

指定转发动作。

-

视图

VLAN视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

网络管理人员为提高设备的安全性,可以指定某些接口只允许某些MAC地址的报文通过。如某接口固定与某台服务器相连,可以在该接口上配置该服务器的静态MAC地址,且关闭该接口的MAC地址学习功能,指定动作为丢弃。这样其他服务器或终端将无法通过该接口通信,增强了网络的稳定性和安全性。

当MAC地址学习功能处于打开状态时,收到来自周边设备的以太网帧,解析出源MAC地址,结合接收该以太网帧的接口,在MAC地址表项中添加新表项。以后,交换机接收到去往该目的MAC地址的以太网帧时,则直接查询MAC地址表项就可以得到正确的发送接口,避免了广播。

关闭MAC地址学习功能后,设备将不会再从该接口学习新的MAC地址。关闭MAC地址学习后可配置的动作有discardforward

关闭MAC地址学习功能的缺省动作为forward,即对报文进行转发。当配置动作为discard时,会对报文的源MAC地址进行匹配,当报文的源MAC地址与MAC地址表项匹配时,则对该报文进行转发。当报文的源MAC地址与MAC地址表项不匹配时,则丢弃该报文。

注意事项

  • 若在Eth-Trunk接口下执行命令mac-address learning disable,必须保证Eth-Trunk接口处于二层模式,否则将导致执行本命令失败。如果Eth-Trunk接口处于三层模式,请在Eth-Trunk接口视图下执行命令portswitch,将三层Eth-Trunk接口切换为二层Eth-Trunk接口。

  • VLAN视图下不支持丢弃或转发动作的配置。

  • 配置关闭MAC地址学习功能后,设备将不会再从该接口学习新的MAC地址,但是无法做到阻止某些设备或终端访问网络。

使用实例

# 关闭VLAN编号为2的MAC地址学习功能。

<HUAWEI> system-view
[HUAWEI] vlan 2
[HUAWEI-vlan2] mac-address learning disable

mac-address learning disable(流行为视图)

命令功能

mac-address learning disable命令用来在流行为中去使能MAC地址学习功能。

undo mac-address learning disable命令用来使能流行为中的MAC地址学习功能。

缺省情况下,流行为中的MAC地址学习功能处于使能状态。

命令格式

mac-address learning disable

undo mac-address learning disable

参数说明

视图

流行为视图

缺省级别

2:配置级

使用指南

应用场景

禁止MAC地址学习功能,主要应用在以下场景:

  • 在网络比较稳定、报文的MAC地址相对固定的情况下,设备没有必要继续学习其他所有报文的MAC地址。此时通过应用流策略,对策略下所有流分类禁止MAC地址学习功能,既可以节省MAC地址表项开支,也可以提高设备的运行效率。
  • 某些非法用户有时会采用频繁变换MAC地址的方式对网络进行攻击,此时通过应用流策略,对策略下所有流分类禁止MAC地址学习功能,可以避免此类攻击所造成的设备MAC地址表项溢出的问题,保护设备性能不受影响。

后续任务

执行traffic policy命令创建流策略,并在流策略视图下执行classifier behavior命令将相应的流分类跟配置了禁止MAC地址学习功能的流行为绑定。

注意事项

将配置了该命令的流行为与指定的流分类绑定后,该流分类所匹配的报文的MAC地址将不再被学习,而没有绑定该流行为的流分类所匹配的报文的MAC地址仍然默认被学习。

说明:
S系列中的SA单板不支持流行为视图下去使能MAC地址学习功能。

mac-address learning disable命令与用于接口视图和VLAN视图下的mac-address learning disable命令在功能上基本相似,主要区别在于:mac-address learning disable命令仅针对匹配用户自定义流分类的报文生效,并通过流策略在全局、单板、接口或VLAN下应用来实现;而后者直接在物理接口、端口组或VLAN下配置即实现,对于相应视图下的所有报文均生效。

如果需要设备在接口、端口组或VLAN范围内禁止学习MAC地址,应选择配置接口视图、端口组视图和VLAN视图下的mac-address learning disable命令;如果仅需要禁止学习特定流分类的MAC地址,应选择配置流行为视图下的mac-address learning disable命令。用户应根据实际需要灵活选择所需配置。

使用实例

# 在流行为test中配置关闭MAC地址学习功能。

<HUAWEI> system-view
[HUAWEI] traffic behavior test
[HUAWEI-behavior-test] mac-address learning disable

mac-address static vlan

命令功能

mac-address static vlan命令用来配置静态MAC地址表项。

undo mac-address static vlan命令用来删除静态MAC地址表项。

缺省情况下,设备没有配置静态MAC地址表项。

命令格式

mac-address static mac-address interface-type interface-number vlan vlan-id

undo mac-address static [ interface-type interface-number | vlan vlan-id ] *

undo mac-address static mac-address interface-type interface-number vlan vlan-id

说明:

基于VSI配置静态MAC地址,请参见mac-address static vlanifmac-address static vsi

参数说明

参数

参数说明

取值

mac-address

指定静态MAC表项对应的MAC地址。

格式为H-H-H,其中H为1至4位的十六进制数。MAC地址不可设置为FFFF-FFFF-FFFF、组播地址和全零MAC地址

interface-type interface-number

指定出接口为指定接口的静态MAC地址表项。

-

vlan vlan-id

指定出接口所属的VLAN编号。

整数形式,取值范围是1~4094

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

手动配置静态MAC地址表项,一般应用在以下两种场景:
  • 用于提高安全性。对通过伪装成合法用户MAC地址进行攻击的非法用户报文,直接丢弃。
  • 有效指导报文进行单播转发,节省带宽。

注意事项

  • 静态MAC地址表项指定的VLAN必须已经创建,并且已经加入指定的出接口。
  • MAC地址表已满的情况下,继续配置静态MAC地址表项,则系统的处理方法如下:
    • 如果MAC地址表中存在和静态MAC地址相同的动态MAC表项,则添加的静态MAC表项自动覆盖动态MAC地址表项。“和静态MAC地址相同”指的是MAC地址和VLAN相同。
    • 如果MAC地址表中不存在和静态MAC地址相同的动态MAC表项,则该静态MAC表项将配置失败。
  • 系统可以配置多个静态MAC地址表项,多次执行mac-address static命令后,配置结果是多次配置的累加。

使用实例

# 在MAC地址表中增加静态MAC地址表项:目的MAC地址为0003-0003-0003,VLAN为4,出接口为gigabitethernet1/0/2,即目的MAC地址为0003-0003-0003,VLAN为4的报文,从接口gigabitethernet1/0/2转发出去。

<HUAWEI> system-view
[HUAWEI] vlan 4
[HUAWEI-vlan4] quit
[HUAWEI] interface gigabitethernet 1/0/2
[HUAWEI-GigabitEthernet1/0/2] port link-type access
[HUAWEI-GigabitEthernet1/0/2] port default vlan 4
[HUAWEI-GigabitEthernet1/0/2] quit
[HUAWEI] mac-address static 0003-0003-0003 gigabitethernet 1/0/2 vlan 4

mac-address threshold-alarm

命令功能

mac-address threshold-alarm命令用来配置MAC表资源使用的告警阈值。

undo mac-address threshold-alarm命令用来将MAC表资源使用的告警阈值恢复为缺省值。

缺省情况下,MAC表资源使用的告警上下限阈值分别为80%和70%,即当MAC表资源使用率高于80%或低于70%时会发送告警。

命令格式

mac-address threshold-alarm upper-limit upper-limit-value lower-limit lower-limit-value

undo mac-address threshold-alarm

参数说明

参数

参数说明

取值

upper-limit upper-limit-value

配置MAC表资源使用的告警上限阈值。upper-limit-value为MAC表资源使用触发告警的上限百分比。

upper-limit-value取值为整数形式,取值范围为1~100,缺省值为80。

lower-limit lower-limit-value

配置MAC表资源使用的告警下限阈值。lower-limit-value为MAC表资源使用触发告警的下限百分比。

lower-limit-value取值为整数形式,取值范围为1~100,缺省值为70。且lower-limit-value的取值必须小于upper-limit-value

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

MAC表资源属于设备的关键资源,设备支持的MAC表空间大小是有限的,其使用率会影响设备的运行情况。用户可通过该命令来配置MAC表资源的使用率高于上限阈值或低于下限阈值时发送告警给网管人员,从而能及时了解设备上MAC表空间的使用率。

注意事项

该命令为覆盖式命令,多次执行该命令,结果按最后一次配置生效。

使用实例

# 配置设备的MAC表资源使用率高于90%或低于20%时发送告警。

<HUAWEI> system-view
[HUAWEI] mac-address threshold-alarm upper-limit 90 lower-limit 20

mac-address trap hash-conflict enable

命令功能

mac-address trap hash-conflict enable命令用来使能MAC地址Hash冲突上报告警的功能。

undo mac-address trap hash-conflict enable命令用来去使能MAC地址Hash冲突上报告警的功能。

缺省情况下,设备使能MAC地址Hash冲突上报告警的功能。

命令格式

mac-address trap hash-conflict enable

undo mac-address trap hash-conflict enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为了提升MAC转发性能,设备内的MAC地址表是使用Hash链保存的。当多个MAC地址根据Hash算法获取到同一个Key值时,就可能会出现有些MAC地址无法学习的现象,这种现象就是MAC地址Hash冲突。

MAC地址Hash冲突一般表现为设备MAC地址表空间未满,而该MAC地址表项又不能学习到。MAC地址Hash冲突会导致目的MAC是该MAC的流量只能通过广播方式发送,占用设备的带宽和资源。此时用户可以通过更换设备或终端的网卡解决。

配置MAC地址Hash冲突上报告警的功能,可以使管理员及时发现MAC地址Hash冲突现象。

注意事项

该命令在S系列中的SA单板上不生效。

使用实例

# 使能设备MAC地址Hash冲突上报告警的功能。

<HUAWEI> system-view
[HUAWEI] mac-address trap hash-conflict enable

mac-address trap hash-conflict history

命令功能

mac-address trap hash-conflict history命令用来配置MAC地址Hash冲突每个周期上报的告警条数。

undo mac-address trap hash-conflict history命令用来将MAC地址Hash冲突每个周期上报的告警条数恢复为缺省值。

缺省情况下,MAC地址Hash冲突每个周期上报的告警条数为10条。

命令格式

mac-address trap hash-conflict history history-number

undo mac-address trap hash-conflict history

参数说明

参数

参数说明

取值

history-number

MAC地址Hash冲突每个周期上报的告警条数。

整数形式,取值范围为10~20,缺省值为10。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

使能MAC地址Hash冲突上报告警功能后,设备默认每60秒最多上报10条告警,每条告警包括一个产生Hash冲突的MAC地址。

如果一个周期内多于10个MAC地址发生Hash冲突,则10个MAC地址之后的Hash冲突告警将无法上报,此时用户可以配置该命令行调整每个周期上报的告警条数。

注意事项

该命令为覆盖式命令,多次执行该命令,结果按最后一次配置生效。

该命令在S系列中的SA单板上不生效。

使用实例

# 配置设备MAC地址Hash冲突每个周期上报的告警条数为12条。

<HUAWEI> system-view
[HUAWEI] mac-address trap hash-conflict history 12

mac-address trap hash-conflict interval

命令功能

mac-address trap hash-conflict interval命令用来配置MAC地址Hash冲突上报告警的周期间隔。

undo mac-address trap hash-conflict interval命令用来将MAC地址Hash冲突上报告警的周期间隔恢复为缺省值。

缺省情况下,MAC地址Hash冲突上报告警的周期间隔为60秒。

命令格式

mac-address trap hash-conflict interval interval-time

undo mac-address trap hash-conflict interval

参数说明

参数

参数说明

取值

interval-time

MAC地址Hash冲突上报告警的周期间隔。

整数形式,取值范围为60~3600,单位为秒。缺省值为60。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

使能MAC地址Hash冲突告警功能后,设备默认每60秒最多上报10条告警,每条告警包括一个产生Hash冲突的MAC地址。

告警上报的周期间隔设置的越短,MAC地址Hash冲突的信息上报的越实时,当MAC地址Hash冲突较多时,上报的告警信息也会较多。

告警上报的周期间隔设置的越长,当MAC地址Hash冲突较多时,上报的告警信息会被抑制。用户可以根据需要,通过配置该命令行调整告警上报的周期间隔。

注意事项

该命令为覆盖式命令,多次执行该命令,结果按最后一次配置生效。

该命令在S系列中的SA单板上不生效。

使用实例

# 配置设备MAC地址Hash冲突上报告警的周期间隔为90秒。

<HUAWEI> system-view
[HUAWEI] mac-address trap hash-conflict interval 90

mac-address trap notification

命令功能

mac-address trap notification命令用来使能MAC地址学习或老化的告警功能。

undo mac-address trap notification命令用来去使能MAC地址学习和老化的告警功能。

缺省情况下,未使能MAC地址学习或老化的告警功能。

命令格式

mac-address trap notification { aging | learn | all }

undo mac-address trap notification

参数说明

参数

参数说明

取值

aging

使能MAC地址老化的告警功能。

-

learn

使能MAC地址学习的告警功能。

-

all

使能MAC地址老化和学习的告警功能。

-

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

当用户需要及时了解MAC地址的变化情况时,可通过该命令来配置设备学习到MAC地址和MAC地址发生老化时发送告警的功能。

注意事项

该命令为覆盖式命令,同一接口视图下多次执行该命令,结果按最后一次配置生效。

VSI内的MAC地址表项学习或老化不支持发送告警。

使用实例

# 配置设备在接口GE1/0/1上学习到MAC地址时发送告警。

<HUAWEI> system-view
[HUAWEI] interface GigabitEthernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] mac-address trap notification learn

mac-address trap notification interval

命令功能

mac-address trap notification interval命令用来配置设备对MAC地址发生学习或老化的检查周期。

undo mac-address trap notification interval命令用来将设备对MAC地址发生学习或老化的检查周期恢复为缺省值。

缺省情况下,设备对MAC地址发生学习或老化的检查周期为10秒。

命令格式

mac-address trap notification interval interval-time

undo mac-address trap notification interval

参数说明

参数

参数说明

取值

interval-time

设备对MAC地址发生学习或老化的检查周期。

整数形式,取值范围是10~600,单位为秒。缺省值是10。

视图

系统视图

缺省级别

2:配置级

使用指南

用户通过命令mac-address trap notification配置了设备学习到MAC地址或MAC地址发生老化时发送告警的功能后,设备会周期性检查是否发生了MAC地址学习或MAC地址老化,该周期即可通过命令mac-address trap notification interval来配置。

使用实例

# 配置设备对MAC地址发生学习或老化的检查周期为20秒。

<HUAWEI> system-view
[HUAWEI] mac-address trap notification interval 20

mac-address update arp

命令功能

mac-address update arp命令用来使能MAC刷新ARP功能,即MAC地址的出接口变化时,通知更新ARP表项的出接口。

undo mac-address update arp命令用来关闭MAC刷新ARP功能。

缺省情况下,没有使能MAC刷新ARP功能。

命令格式

mac-address update arp

undo mac-address update arp

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在以太网中,MAC地址表项用于指导设备进行二层数据转发,ARP表项通过IP地址和MAC地址的映射指导设备进行不同网段间的通信。

MAC地址表项的出接口通过报文触发刷新的,ARP表项的出接口是在老化时间到后通过老化探测进行刷新的。这样就可能会出现MAC表项和ARP表项出接口不一致的情况,即MAC地址表项的出接口已刷新,而ARP表项的出接口没有及时刷新的情况。此时可以使能MAC刷新ARP的功能,在MAC地址表项出接口刷新时,直接刷新ARP表项的出接口。

注意事项

该命令只对动态ARP表项生效,不会更新静态ARP表项。

使用arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable命令配置ARP表项固化功能后,该命令不生效。

使能了MAC刷新ARP功能后,只有MAC表项的出接口发生变化,才会更新对应的ARP表项。

配置MAC刷新ARP功能,会导致丢弃免费ARP报文功能失效。

使用实例

# 使能设备的MAC刷新ARP功能。

<HUAWEI> system-view
[HUAWEI] mac-address update arp
相关主题

mac-learning priority

命令功能

mac-learning priority命令用来配置接口学习MAC地址的优先级。

undo mac-learning priority命令用来恢复接口学习MAC地址的优先级为缺省值。

缺省情况下,接口学习MAC地址的优先级为0。

命令格式

mac-learning priority priority-id

undo mac-learning priority

参数说明

参数

参数说明

取值

priority priority-id

接口学习MAC地址的优先级。

整数形式,取值范围是0~3,数值越大优先级越高。

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

网络交换机的上行接口连接服务器,下行接口连接用户。为防止非法用户伪造服务器MAC地址入侵交换机,可以提高服务器侧接口的MAC地址学习优先级,接口配置不同优先级之后,如果不同接口学到相同的MAC地址表项,那么高优先级接口学到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项,反之则不能覆盖。以保证交换机不会从其他接口学习到伪造服务器的MAC地址。这样用户可以访问正确的服务器,正常使用网络资源。

如果接口优先级相同,可以通过undo mac-learning priority allow-flapping命令配置不允许相同优先级的接口发生MAC地址表项覆盖。

mac-learning priority命令和undo mac-learning priority allow-flapping命令都可以提高网络的安全性,区别在于:

  • undo mac-learning priority allow-flapping命令配置不允许相同优先级的接口发生MAC地址漂移时,如果网络设备下电,此时会学习到伪造网络设备的MAC地址,当网络设备再次上电时将无法学习到正确的MAC地址。
  • mac-learning priority命令配置接口学习MAC地址优先级时,如果网络设备下电,此时会学习到伪造网络设备的MAC地址,当网络设备再次上电时还可以学习到正确的MAC地址。

注意事项

本命令为覆盖式命令,每个接口只允许配置一个MAC地址学习优先级,多次执行mac-learning priority命令后,以最后一次配置为准。

VSI内的MAC地址表项不支持该功能。

使用实例

# 配置接口学习MAC地址的优先级为3。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/2
[HUAWEI-GigabitEthernet1/0/2] mac-learning priority 3

mac-learning priority allow-flapping

命令功能

mac-learning priority allow-flapping命令用来配置允许相同优先级的接口发生MAC地址漂移。

undo mac-learning priority allow-flapping命令用来配置不允许相同优先级的接口发生MAC地址漂移。

缺省情况下,允许相同优先级的接口发生MAC地址漂移。

命令格式

mac-learning priority priority-id allow-flapping

undo mac-learning priority priority-id allow-flapping

参数说明

参数

参数说明

取值

priority priority-id

接口学习MAC地址的优先级。

整数形式,取值范围是0~3,数值越大优先级越高。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

网络中交换机的上行接口连接服务器,下行接口连接用户。为防止非法用户伪造服务器MAC地址入侵交换机,可以配置不允许相同优先级的接口发生MAC地址漂移。这样接口将不再学习相同的MAC地址,非法用户将无法使用网络设备MAC地址干扰交换机与网络设备正常通信。

mac-learning priority命令和undo mac-learning priority allow-flapping命令都可以防止MAC地址漂移,区别在于:

  • undo mac-learning priority allow-flapping命令配置不允许相同优先级的接口发生MAC地址漂移时,如果网络设备下电,此时会学习到伪造网络设备的MAC地址,当网络设备再次上电时将无法学习到正确的MAC地址。
  • mac-learning priority命令配置接口学习MAC地址优先级时,如果网络设备下电,此时会学习到伪造网络设备的MAC地址,当网络设备再次上电时还可以学习到正确的MAC地址。

注意事项

VSI内的MAC地址表项不支持该功能。

使用实例

# 配置不允许优先级为1的接口发生MAC地址漂移。

<HUAWEI> system-view
[HUAWEI] undo mac-learning priority 1 allow-flapping

mac-learning priority flapping-defend action

命令功能

mac-learning priority flapping-defend action命令用来配置禁止MAC地址漂移时报文的处理动作。

undo mac-learning priority flapping-defend action命令用来恢复禁止MAC地址漂移时报文的处理动作。

缺省情况下,禁止MAC地址漂移时报文的处理动作是转发。

命令格式

mac-learning priority flapping-defend action { forward | discard }

undo mac-learning priority flapping-defend action

参数说明

参数

参数说明

取值

forward

禁止MAC地址漂移时报文的处理动作是转发。

-

discard

禁止MAC地址漂移时报文的处理动作是丢弃。

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

网络中交换机的上行接口连接服务器,下行接口连接用户。为防止非法用户伪造服务器MAC地址入侵交换机,可以通过在接口上配置mac-learning priority或在系统视图下配置undo mac-learning priority allow-flapping来禁止MAC地址漂移。这样接口将不再学习相同的MAC地址,非法用户将无法使用网络设备MAC地址干扰交换机与网络设备正常通信。但是非法用户的报文将会继续转发,此时可以通过该命令的discard动作,在禁止MAC地址漂移时,丢弃非法用户的报文。

注意事项

使用实例

# 配置禁止MAC地址漂移时报文的处理动作为丢弃。

<HUAWEI> system-view
[HUAWEI] mac-learning priority flapping-defend action discard

mac-limit

命令功能

mac-limit命令用来配置MAC地址学习限制规则。

undo mac-limit命令用来取消配置MAC地址学习限制规则。

缺省情况下,没有配置MAC地址学习限制规则。

命令格式

mac-limit { maximum max-num | action { discard | forward } | alarm { disable | enable } } *

undo mac-limit

参数说明

参数

参数说明

取值

action { discard | forward }

MAC地址表项数目达到限制后,系统所采取的动作。
  • discard:MAC地址表项数目达到限制后,源MAC为新MAC地址的报文将被丢弃。
  • forward:MAC地址表项数目达到限制后,源MAC为新MAC地址的报文继续被转发,但是MAC地址表项不记录。

如果没有配置action参数,MAC地址表项数目达到限制后,系统默认所采取的动作是discard

alarm { disable | enable }

MAC地址表项数目达到限制后,系统是否发送告警。
  • disable:MAC地址表项数目达到限制后,系统不发送告警。
  • enable:MAC地址表项数目达到限制后,系统发送告警。

如果没有配置alarm参数,MAC地址表项数目达到限制后,系统默认发送告警。

maximum max-num

最多可以学习的MAC数量。

说明:
若某视图当前未配置maximum,则使用mac-limit命令时必须选择maximum参数。如果已经使用了mac-limit命令配置了最大MAC地址学习数量,再次使用该命令修改限制规则,可以不选择maximum参数。

十进制整数形式。取值范围是0~32767。0表示不限制MAC地址学习数量。

视图

VLAN视图、GE接口视图、XGE接口视图、40GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

使用场景

为了控制接入用户数量或防止MAC地址表受攻击,可以限制交换机允许学习的MAC地址数量,从而控制接入用户数量,还可以选择配置丢弃动作和发送告警,以提高网络安全性。

注意事项

  • MAC地址学习限制规则只限制动态学习的MAC地址。如果设备上已经学习了一些MAC地址,请使用undo mac-address dynamic命令清除已经学习到的MAC地址,否则会使MAC地址学习限制功能的数量限制不准确。

  • S系列中的SA单板在VLAN视图下执行命令mac-limit时,不支持丢弃动作的配置。

  • S系列中的SA单板在VLAN视图下mac-limit达到学习上限时,加入该VLAN的接口配置mac-address learning disable命令将不生效。

  • 接口上配置port-security enable后,mac-limit将无法生效,建议不要同时配置端口安全和MAC地址学习限制功能。

  • MAC地址学习限制功能与NAC功能相冲突,不能在同一接口下配置mac-limitmac-authendot1x enableweb-auth-serverauthentication-profile命令。

  • 假设在VLAN视图下配置允许学习的MAC地址数量为N,如果加入VLAN的接口在不同的单板上,那么每个单板上允许学习的MAC地址数量为N。

使用实例

# 配置接口GigabitEthernet1/0/2的MAC地址学习限制规则为:最多允许学习30个MAC地址,超过限制时,进行告警提示。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/2
[HUAWEI-GigabitEthernet1/0/2] mac-limit maximum 30 alarm enable 

mac-limit slot

命令功能

mac-limit slot命令用来配置基于槽位的MAC地址学习限制规则。

undo mac-limit slot命令用来删除基于槽位的MAC地址学习限制规则。

缺省情况下,没有配置基于槽位的MAC地址学习限制规则,即不对MAC地址学习进行限制。

命令格式

mac-limit slot slot-id { maximum max-num | action { discard | forward } | alarm { disable | enable } }*

undo mac-limit slot slot-id

参数说明

参数 参数说明 取值
slot slot-id 指定槽位号。 整数形式,槽位号的取值由硬件设备决定。
action { discard | forward } 指定槽位中MAC地址表项数目达到限制后,系统所采取的动作。
  • discard:指定槽位中MAC地址表项数目达到限制后,目的MAC为新MAC地址的报文将被丢弃。
  • forward:指定槽位中MAC地址表项数目达到限制后,目的MAC为新MAC地址的报文继续被转发,但是MAC地址表项不记录。
缺省情况下,指定槽位中MAC地址表项数目达到限制后,系统所采取的动作是discard
alarm { disable | enable } 指定槽位中MAC地址表项数目达到限制后,系统是否发送告警。
  • disable:指定槽位中MAC地址表项数目达到限制后,系统不发送告警。
  • enable:指定槽位中MAC地址表项数目达到限制后,系统发送告警。
缺省情况下,指定槽位中MAC地址表项数目达到限制后,系统发送告警。
maximum max-num 指定槽位最多可以学习的MAC地址数量。
说明:
如果已经使用了mac-limit slot命令配置了最大MAC地址学习数量,再次使用该命令修改限制规则,可以不选择maximum参数。
整数形式,取值范围是0~32767。当配置值为0时,表示指定槽位不对MAC地址学习数量进行限制。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为了控制接入用户数量或防止MAC地址表受攻击,可以基于槽位限制MAC地址学习数量。可以配置当MAC地址学习数量达到限制数量时丢弃动作和发送告警,以提高网络安全性。

前置条件

如果设备上已经有学习的MAC地址,需要使用命令undo mac-address清除已经学习的MAC地址,否则会使MAC地址学习限制功能的数量限制不准确。

注意事项

如果配置MAC地址学习数量达到限制数量时处理动作forward,则非法报文仍在网络中被转发,不能保证网络安全性。

如果用户同时配置基于接口的MAC地址学习限制规则和基于槽位的MAC地址学习限制规则:
  • 基于接口配置的MAC地址限制数量大于基于槽位配置的MAC地址限制数量时,基于接口的MAC地址限制规则不起作用。

  • 基于接口配置的MAC地址限制数量小于基于槽位配置的MAC地址限制数量时,基于槽位限制MAC地址学习数量等于该槽位中所有接口的MAC地址学习数量总和。

该命令为覆盖式命令,多次执行mac-limit slot命令,结果按最后一次配置生效。

使用实例

# 配置slot-id为2的槽位MAC地址学习限制规则:最多允许学习100个MAC地址。当学习的MAC地址超过限制时,对报文采取丢弃动作,并向网管发送告警信息。

<HUAWEI> system-view
[HUAWEI] mac-limit slot 2 maximum 100 action discard alarm enable

mac-miss action discard

命令功能

mac-miss action discard命令用来使能该VLAN下对匹配不到MAC地址表项的报文直接丢弃。

undo mac-miss action discard命令用来恢复对匹配不到MAC地址表项的报文在VLAN内进行广播。

缺省情况下,对匹配不到MAC地址表项的报文在VLAN内进行广播。

S系列中的SA单板不支持该配置。

命令格式

mac-miss action discard

undo mac-miss action discard

参数说明

视图

VLAN视图

缺省级别

2:配置级

使用指南

当DHCP用户下线后,用户的MAC地址表项会老化。如果有转发到此用户的流量,在设备上找不到目的MAC地址表项,会将报文广播到此VLAN下所有接口,其它的用户都能接收到该流量,对安全造成影响。使能本命令后,不仅可以降低设备的负荷,同时安全也得到了保证。

使用实例

# 使能VLAN100下对匹配不到MAC地址表项的报文直接丢弃。

<HUAWEI> system-view
[HUAWEI] vlan 100
[HUAWEI-vlan100] mac-miss action discard

port bridge enable

命令功能

port bridge enable命令用来使能端口桥功能,即接口支持同源同宿报文的转发。

undo port bridge enable命令用来取消使能端口桥功能。

缺省情况下,没有使能端口桥功能。

命令格式

port bridge enable

undo port bridge enable

参数说明

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

同源同宿报文即源MAC地址和目的MAC地址均在设备的同一接口上学习到的报文。缺省情况下,设备不转发同源同宿报文,当接口收到这种报文时,设备判断为非法报文并直接丢弃该报文。

配置端口桥功能后,当接口收到同源同宿报文时,若设备上的MAC地址表中存在与该报文的目的MAC地址对应的表项,则将报文从本接口转发出去。

端口桥功能主要应用于以下场景:

  • 设备下挂有不具备二层转发能力的设备,当这些无二层转发能力的设备连接的用户有互通需求时,会直接将报文上送到设备,由设备完成转发功能。由于这些报文的源MAC地址和目的MAC地址都是设备的同一接口学习到,此时需要使能端口桥功能,使接口转发同源同宿报文。
  • 在数据中心做接入设备且下挂服务器,一台服务器中启用多个虚拟机,并且虚拟机之间需要进行数据交换。若在服务器内部完成虚拟机之间的数据交换,会大大影响数据交换速度和服务器性能。为了提高数据交换速度和服务器性能,可以使能端口桥功能,由设备来进行数据交换。

使用实例

# 使能接口GigabitEthernet1/0/1的端口桥功能。

<HUAWEI> system-view
[HUAWEI] interface GigabitEthernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port bridge enable
相关主题

remark destination-mac

命令功能

remark destination-mac命令用来在流行为中创建重标记报文目的MAC地址的动作。

undo remark destination-mac命令用来在流行为中删除重标记报文目的MAC地址的动作。

缺省情况下,流行为中没有重标记报文目的MAC地址的动作。

命令格式

remark destination-mac mac-address

undo remark destination-mac

说明:

X系列单板不支持此命令。

参数说明

参数

参数说明

取值

mac-address

指定目的MAC地址。

H-H-H形式,每个H代表1到4位16进制数字。仅支持单播MAC地址。

视图

流行为视图

缺省级别

2:配置级

使用指南

应用场景

通过配置remark destination-mac命令,将指定流分类的报文重标记报文目的MAC地址,方便下游设备对报文进行识别,提供相应的QoS服务。

后续任务

执行traffic policy命令创建流策略,并在流策略视图下执行classifier behavior命令将相应的流分类跟配置了重标记目的MAC地址的流行为绑定。

注意事项

  • 在同一流行为中,remark destination-mac命令不能和redirect ip-nexthopredirect ip-multihop命令同时配置。
  • 包含remark destination-mac动作的流策略不能应用在出方向。
  • remark destination-mac命令为覆盖式命令,即在同一流行为视图下多次配置重标记报文的目的MAC地址,按最后一次配置生效。

使用实例

# 配置将报文中的目的MAC地址重标记为0050-b007-bed3。

<HUAWEI> system-view
[HUAWEI] traffic behavior b1
[HUAWEI-behavior-b1] remark destination-mac 0050-b007-bed3

reset mac-address flapping record

命令功能

reset mac-address flapping record命令用来清除MAC地址漂移历史记录。

命令格式

reset mac-address flapping record

参数说明

视图

所有视图

缺省级别

2:配置级

使用指南

应用场景

用户在处理MAC地址漂移故障时,当需要重新统计MAC地址漂移信息时可使用本命令。

注意事项

该命令只能清除MAC地址漂移表项中当前不再跳变的记录。

清除MAC地址漂移历史记录时,可使用display mac-address flapping record命令查看当前记录。

MAC地址漂移历史记录清除后将无法恢复,请于清除之前仔细确认。

使用实例

# 清除设备上的MAC地址漂移历史记录。

<HUAWEI> reset mac-address flapping record

snmp-agent trap enable feature-name l2if

命令功能

snmp-agent trap enable feature-name l2if命令用来打开L2IF模块的告警开关。

undo snmp-agent trap enable feature-name l2if命令用来关闭L2IF模块的告警开关。

缺省情况下,L2IF模块的告警开关处于关闭状态。

命令格式

snmp-agent trap enable feature-name l2if [ trap-name { hwslotmaclimitnumfallingthreshold | hwslotmaclimitnumraisingthreshold } ]

undo snmp-agent trap enable feature-name l2if [ trap-name { hwslotmaclimitnumfallingthreshold | hwslotmaclimitnumraisingthreshold } ]

参数说明

参数

参数说明

取值

trap-name

L2IF模块的指定类型事件的告警开关。

-

hwslotmaclimitnumfallingthreshold

使能当该设备某个槽位的MAC地址学习数目低于限制数的告警阈值时发送华为私有Trap消息。

-

hwslotmaclimitnumraisingthreshold

使能当该设备某个槽位的MAC地址学习限制数目达到限制数的告警阈值时发送华为私有Trap消息。

-

视图

系统视图

缺省级别

2:配置级

使用指南

打开告警开关之后,设备在运行过程中方可产生告警,并通过SNMP将生成的告警上送给网管;否则设备不会产生告警,SNMP模块也不会将告警上送给网管。

可以根据需要选择trap-name,只打开某个或几个事件的告警开关。

使用实例

# 打开单板上的MAC地址表表项数目低于告警阈值以内的告警开关。

<HUAWEI> system-view
[HUAWEI] snmp-agent trap enable feature-name l2if trap-name hwslotmaclimitnumfallingthreshold

snmp-agent trap enable feature-name l2ifppi

命令功能

snmp-agent trap enable feature-name l2ifppi命令用来打开二层适配模块的告警开关。

undo snmp-agent trap enable feature-name l2ifppi命令用来关闭二层适配模块的告警开关。

缺省情况下,二层适配模块的告警开关处于开启状态。

命令格式

snmp-agent trap enable feature-name l2ifppi [ trap-name { hwportsecrcvinsecurepktalarm | hwmflpvlanalarm | hwmflpvsialarm | hwmaclimitoverthresholdalarm | hwmaclimitoverthresholdalarmresume | hwrecillegalmacpktalarm | hwmflpquitvlanalarm | hwmflpquitvlanresume | hwportvlansecuremacalarm | hwmactrapalarm | hwslotmacusageraisingthreshold | hwslotmacusagefallingthreshold | hwboardpoweroff | hwmactraphashconflictalarm | hwmflpbdalarm } ]

undo snmp-agent trap enable feature-name l2ifppi [ trap-name { hwportsecrcvinsecurepktalarm | hwmflpvlanalarm | hwmflpvsialarm | hwmaclimitoverthresholdalarm | hwmaclimitoverthresholdalarmresume | hwrecillegalmacpktalarm | hwmflpquitvlanalarm | hwmflpquitvlanresume | hwportvlansecuremacalarm | hwmactrapalarm | hwslotmacusageraisingthreshold | hwslotmacusagefallingthreshold | hwboardpoweroff | hwmactraphashconflictalarm | hwmflpbdalarm } ]

参数说明

参数

参数说明

取值

trap-name

二层适配模块的指定类型事件的告警开关。

-

hwportsecrcvinsecurepktalarm

使能当该设备安全MAC达到限制数后又收到非法报文时发送华为私有Trap消息。

-

hwmflpvlanalarm

使能当该设备某个VLAN内MAC地址漂移时发送华为私有Trap消息。

-

hwmflpvsialarm

使能当该设备某个VSI内的MAC地址漂移时发送华为私有Trap消息。

-

hwmaclimitoverthresholdalarm

使能当该设备MAC地址数达到限制数指定阈值时发送华为私有Trap消息。

-

hwmaclimitoverthresholdalarmresume

使能当该设备MAC地址数低于限制数指定阈值时发送华为私有Trap消息。

-

hwrecillegalmacpktalarm

使能当该设备收到全0MAC地址报文时发送华为私有Trap消息。

-

hwmflpquitvlanalarm

使能当该设备由于MAC地址发生漂移导致接口从某个VLAN退出时发送华为私有Trap消息。

-

hwmflpquitvlanresume

使能当该设备由于MAC地址发生漂移导致接口从某个VLAN退出后,恢复时间到接口重新加入该VLAN时发送华为私有Trap消息。

-

hwportvlansecuremacalarm

使能当该设备安全MAC达到限制数后又收到非法报文时发送华为私有Trap消息。

-

hwmactrapalarm

使能当该设备MAC地址新增和删除时发送华为私有Trap消息。

-

hwslotmacusageraisingthreshold

使能当该设备指定槽位MAC地址表使用率达到指定阈值时发送华为私有Trap消息。

-

hwslotmacusagefallingthreshold

使能当该设备指定槽位MAC地址表使用率恢复到指定阈值发送华为私有Trap消息。

-

hwboardpoweroff

使能当该设备由于Eth-trunk规格变更,而某个单板不支持该规格强制该单板下电时发送华为私有Trap消息。

-

hwmactraphashconflictalarm

使能当该设备MAC地址存在Hash冲突时发送华为私有Trap消息。

-

hwmflpbdalarm

使能当该设备某个BD内MAC地址漂移时发送华为私有Trap消息。

-

视图

系统视图

缺省级别

2:配置级

使用指南

打开告警开关之后,设备在运行过程中方可产生告警,并通过SNMP将生成的告警上送给网管;否则设备不会产生告警,SNMP模块也不会将告警上送给网管。

可以根据需要选择trap-name,只打开某个或几个事件的告警开关。

使用实例

# 打开MAC地址表项变化的告警。

<HUAWEI> system-view
[HUAWEI] snmp-agent trap enable feature-name l2ifppi trap-name hwmactrapalarm

undo mac-address

命令功能

undo mac-address命令用来删除MAC地址表项。

命令格式

undo mac-address [ all | dynamic ] [ interface-type interface-number | vlan vlan-id ] *

undo mac-address { all | dynamic } [ vsi vsi-name ]

undo mac-address mac-address [ vlan vlan-id | vsi vsi-name ]

参数说明

参数

参数说明

取值

mac-address

删除指定mac-address的MAC地址表项。

格式为H-H-H,其中H为1至4位的十六进制数。MAC地址不可设置为FFFF-FFFF-FFFF、组播地址和全零MAC地址

interface-type interface-number

删除指定接口的MAC地址表项。

-

vlan vlan-id

删除指定VLAN ID的MAC地址表项。

整数形式,取值范围是1~4094

all

删除除DHCP sticky MAC和NAC MAC外的所有MAC地址表项。

-

vsi vsi-name

指定的VSI实例的名称。该VSI实例对应的名称,必须是设备上已经创建的VSI实例名称。

-

dynamic

删除动态MAC地址表项,即删除接口自己通过源MAC地址学习获得的MAC地址表项。

-

视图

系统视图

缺省级别

2:配置级

使用指南

设备的MAC地址表空间是有限的。在MAC地址表满之后,老化时间到之前,就不能再学习到新的MAC地址表项,从而导致新的用户只能通过广播方式转发报文,浪费资源。此时可以通过该命令手动删除不再需要的MAC地址表项。

删除MAC地址表项时,可以根据需要,只删除部分MAC地址表项。例如:
  • 不指定接口时,将删除全部接口下的该类型MAC地址。
  • 不指定VLAN时,将删除全部VLAN下的该类型MAC地址。

使用实例

# 删除所有MAC地址表项。

<HUAWEI> system-view
[HUAWEI] undo mac-address all

# 删除所有动态MAC地址表项。

<HUAWEI> system-view
[HUAWEI] undo mac-address dynamic

# 删除接口为gigabitethernet1/0/1的所有MAC地址表项。

<HUAWEI> system-view
[HUAWEI] undo mac-address gigabitethernet 1/0/1

# 删除VLAN ID为5的所有MAC地址表项。

<HUAWEI> system-view
[HUAWEI] undo mac-address vlan 5

# 删除VSI实例名称为a2的所有动态MAC地址表项。

<HUAWEI> system-view
[HUAWEI] undo mac-address dynamic vsi a2

# 删除MAC地址为0004-0004-0004的所有MAC地址表项。

<HUAWEI> system-view
[HUAWEI] undo mac-address 0004-0004-0004

undo mac-address temporary

命令功能

undo mac-address temporary命令用来删除系统中所有的临时MAC表项。

命令格式

undo mac-address temporary

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

单板被拔出后,配置在接口上的静态MAC表项作为临时MAC表项保留。当单板再次插入时,静态MAC表项可以恢复。

但是,当单板后续不再考虑插入时,保存的临时MAC表项将成为垃圾表项,占用系统的MAC表项资源。这种情况下,可使用命令undo mac-address temporary删除系统中所有的临时MAC表项。

使用实例

# 删除系统中所有的临时MAC表项。

<HUAWEI> system-view
[HUAWEI] undo mac-address temporary

undo mac-limit all

命令功能

undo mac-limit all命令用来删除所有配置的MAC地址学习限制规则。

命令格式

undo mac-limit all

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当需要删除所有配置的MAC地址学习限制规则时,可在系统视图下使用本命令。

注意事项

请在执行本命令前使用display mac-limit命令查看已配置的MAC地址学习限制规则,确认是否要全部删除。

使用实例

# 删除所有配置的MAC地址学习限制规则。

<HUAWEI> system-view
[HUAWEI] undo mac-limit all
相关主题
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:11599

下载量:202

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页