交换机MAC地址表管理.pptVIP

交换机MAC地址表管理  【引入案例】 某学校网络最近经常掉线，网管人员通过网络监控发现网内有台计算机，不停地向网络中发送广播包，怀疑感染了病毒。经查证，此台计算机不是学校的计算机，属于非法接入。网管人员必须马上采取措施，阻止病毒进一步感染网络中的其它计算机，也防止此计算机再次通过相同端口偷偷接入单位网络。学校网络中还有一台网关服务器和一台网管服务器，数据量交换较大。网管人员希望能找到一个简单可行的办法，优化网络交换性能，增加网络管理的安全性。  【案例分析】 想要对某台计算机在网络中进行永久隔离，可以禁用其IP地址，但倘若该计算机换了个IP地址，仍然能接入网络。因此，对计算机进行MAC地址过滤，是一个相对彻底的隔离方法。 基于服务器在网络中相对固定的特性，可以在其相连的交换机上手工添加网关服务器的静态MAC地址表项，使交换机通过相应的端口将数据报文单播发送到网关服务器，这样就能很大程度减少网络中目的地址为服务器地址的广播包，以节约带宽资源，保证网络畅通；对于网管服务器，可以将静态MAC地址和端口禁止学习MAC地址结合起来，保证与网管服务器相连的交换机以太网端口只能允许网管服务器接入，增加网络管理的安全性。  【基本原理】 一、MAC地址和MAC地址表 MAC（介质访问控制）地址是在网络通信用来识别主机的标识。交换机和集线器相比，最大的优势就在于交换机能根据MAC地址来判断，决定帧该往何处转发。交换机的缓存中有一个MAC地址表，需要转发数据时，交换机会在地址表查询是否有与目的MAC地址对应的表项，如果有，交换机立即将数据报文往该表项中的转发端口发送；如果没有，交换机则会将数据报文以广播的形式发送到除了接收端口外的所有端口，尽最大能力保证目的主机接收到数据报文。因此，交换机地址表的构建和维护决定了数据转发的方向和效率。 构建和维护MAC地址表项可以通过以下两种方式来进行： 1、手工配置：这种方式构建的MAC地址表项属于静态MAC地址表项，完全由用户手工添加和删除，没有老化时间。这种方式适用于网络中比较固定的网络设备，可以减少网络中的广播包。用户还可以通过手工添加黑洞MAC地址表项，当交换机接收到源MAC地址或者目的MAC地址与黑洞MAC地址的表项相符的数据报文时，交换机会立即将该报文丢弃。 2、动态学习：这是交换机在工作中自动构建MAC地址表的方式，整个过程不需要人工干预。当交换机收到一个数据帧时，先在自己的MAC地址表中查找是否有该数据帧的源MAC地址，如果没有，则将该源MAC地址记录到自己的MAC地址表中通常情况下，MAC地址表中大多数的表项都是通过动态学习方式来逐渐构建起来的。 二、MAC地址表的管理 交换机的MAC地址表的容量是有限的，因此交换机采用老化机制来维护MAC地址表，以保证最大限度地利用地址表项资源。交换机在构建某条表项时，会相应地开启该表项的老化定时器，如果在老化时间内，交换机始终没有收到该表项中的MAC地址的报文，交换机就会将该表项删除，失效的表项不会继续占用MAC地址表资源。这样，即使网络中的设备更换或者移除，交换机的MAC地址表始终能保持网络中最新的拓扑结构记录。合适的老化时间可以提高MAC地址表项资源的利用率，但过长或过短的老化时间，反而影响交换机的性能。如果老化时间过长，交换机中保存的MAC地址表项的数量过多会将地址表资源消耗完，网络中的拓扑变化就无法及时更新；如果老化时间过短，则有效的MAC地址表项会被交换机过早删除，从而降低交换机的转发效率。 交换机还可以通过限制交换机在以太网端口学习MAC地址数量或者禁止指定VLAN的MAC地址学习功能，来保证网络、VLAN中用户的稳定性和安全性，防止非法用户接入网络。  【命令介绍】 1、mac-address { static | dynamic | blackhole } mac-address [ interface interface-type interface-number] vlan vlan-id undo mac-address [ mac-address-attribute ] 【用途】 mac-address命令用来在MAC地址转发表中添加或修改地址表项。undo mac-address命令用来删除MAC地址表项。 【视图】系统视图/以太网端口视图 【参数】 static：配置静态MAC地址表项。 dynamic：配置动态MAC地址表项。 blackhole：配置黑洞MAC地址表项。 mac-address：需要配置的MAC地址，形式为H-H-H。在配置时，用户可以省去MAC地址中每段开头的“0”，例如输入“f-e2-1”即表示输入的MAC地址为“000f-00e2-0001”。 interface-typ