一、 现象:MAC地址飘移
关于mac地址飘移,在网上查找并总结后,归纳可能为以下七种情况:
1、可能存在环路;
2、可能VRRP、HSRP等协议不正常引起。比如设备主备频繁切换,导致交换机学习同一mac地址飘移;
3、可能至少两台终端MAC地址相同,这样的情况不影响其他用户端;
4、是用户端换了网线,而两个网线接口不在同一台交换机上,mac会记忆一段时间,之后一切恢复正常;
5、H3C交换机开启STP功能后,CISCO设备可能出现报告MAC地址移动的现象,如果网络中不存在环路,该现象不影响业务。
6、再多加一种:可能arp欺诈、攻击,导致不同端口学习到同一真实或欺诈的mac地址,此结论未验证。
7、因为无线用户漫游,导致的MAC地址漂移告警。正常现象,对业务无影响。
二、 查看mac地址飘移信息
对于思科cisco设备
思科设备会跳出提示,以下为CISCO 3750 mac飘移(flapping)提示信息:
3750-edit#
1w2d: %SW_MATM-4-MACFLAP_NOTIF: Host a601.0000.0000 in vlan 23 is flapping betwe
en port Gi1/0/2 and port Gi1/0/1
3750-edit#
1w2d: %SW_MATM-4-MACFLAP_NOTIF: Host a601.0000.0000 in vlan 23 is flapping betwe
en port Gi1/0/2 and port Gi1/0/1
3750-edit#
1w2d: %SW_MATM-4-MACFLAP_NOTIF: Host a601.0000.0000 in vlan 23 is flapping betwe
en port Gi1/0/2 and port Gi1/0/1
对于华为设备
http://support.huawei.com/ecommunity/bbs/10226299.html
三、 mac地址飘移现象对应解决思路
1、环路
环路解决的思路就是使用生成树协议、loopback-detection,或者使用堆叠(如IRF)去除物理环路,或者排查服务器网卡是否有绑定等策略,或者拔掉造成环路的网线。
环路一般会伴随着端口峰值(peak)变得超高,或CPU使用率超高,或ping的时候丢包严重。
dis int g1/0/1
Peak value of input: xxxxx bytes/sec, at 2014-01-28 14:05:47
Peak value of output: xxxxx bytes/sec, at 2014-0130 06:31:46
dis cpu
Slot 1 CPU 0 CPU usage:
xx% in last 5 seconds
xx% in last 1 minute
xx% in last 5 minutes
2、VRRP、HSRP等协议不正常引起
参照配置手册,更改为正确配置即可。
3、多台终端MAC地址相同
使得终端mac地址唯一即可。
4、用户端换了网线
等一会儿就行了。
5、关于不同厂家的设备互联出现MAC地址漂移的解释
关于MAC地址漂移
思科3750与H3C 3100 互连问题,MAC飘移
最近,公司一设备是C3750,gi1/0/12 、g1/0/22和g1/0/2各连接一台H3C 3100,总有个mac地址(000f.e207.f2e0 )在上述几个端口间飘来飘去,无环路,不地址欺骗,不知道是什么原因,日志提示如下:
Aug 4 22:15:07.292 GMT: %SW_MATM-4-MACFLAP_NOTIF: Host 000f.e207.f2e0 in vlan 800 is flapping between port Gi1/0/12 and port Gi1/0/22
Aug 4 22:16:07.691 GMT: %SW_MATM-4-MACFLAP_NOTIF: Host 000f.e207.f2e0 in vlan 800 is flapping between port Gi1/0/12 and port Gi1/0/22
查看vlan 800的生成树状态如下:
VLAN0800
Spanning tree enabled protocol ieee
Root ID Priority 4896
Address 001f.27dd.6200
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 4896 (priority 4096 sys-id-ext 800)
Address 001f.27dd.6200
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Gi1/0/2 Desg FWD 4 128.2 P2p
Gi1/0/12 Desg FWD 19 128.12 P2p
Gi1/0/22 Desg FWD 19 128.22 P2p
解释:
思科默认使用PVST+,可以选择配置的有PVST MST 等等
而华为产品一般是三种STP(IEEE 802.1D),RSTP(IEEE 802.1W),MSTP(IEEE 802.1S)
当搜索000f.e207.f2e0或00E0-FC09-BCF9这个mac的时候,会发现很多人在问这个问题。
据厂商自己解释
“S3600系列交 换机开启STP功 能后,对端设备可能出现报告MAC地址移动的现象。其原因为S3600系列交换机的BPDU报文采用固定MAC地址为源MAC。该情况对正常业务没有影响。为了防止 该日志信息对正常日志信息的影响,可以通过类似日志信息过滤的功能对此种日志信息过滤。
S系列交换机生成 树协议报文的源MAC地址是00E0-FC09-BCF9或者 000F-E207-F2E0。”
因为多厂商间对协议的理解方式不同,各厂商按照各自的方式改动了实现的方式,所以应尽量避免二层互联,对接的时候一定要提前测试好保持谨慎。
以下为官方解决方案:
问题原因
部分低端交换机的BPDU协议报文的源MAC采用000f-e207-f2e0。
H3C定义的LACP报文(DMAC=0180C2000002、H3C设备SMAC=000f-e207-f2e0、)也是BPDU报文的一种。由于V3平台交换机每端口没有设置各自的MAC地址,因此BPDU源MAC都是使用上述固定的特殊MAC作为源MAC地址的。但S3600/5600系列交换机最新版本支持在系统视图下使用port-mac命令进行定义。
对于固定源MAC地址,H3C交换机是不学习BPDU报文的源MAC的,但有些友商设备对于BPDU的源MAC是进行学习的,因此在友商设备上有时会记录MAC地址漂移的告警。
解决方法:
对于V3平台交换机如S3600/5600系列交换机可以升级到最新版本通过port-mac命令更改BPDU报文的源MAC地址。但是需要注意的是,如果网络中没有环路,那么该现象正常不影响业务使用,因此也不推荐使用port-mac命令进行更改。
修改方法:
system-view
System View: return to User View with Ctrl+Z.
[Sysname] port-mac xxxx-xxxx-xxxx
6、arp欺诈、攻击引起
找到中毒的终端,杀毒。
终端查找方法一:网关设备处抓包,必定有大量arp报文,看arp对应的源IP和MAC,按端口找到终端。杀毒。
这样做有可能还不容易找到,可看端口流量作为参考。
终端查找方法二:最简化网络,拔掉所有线。一个一个或一部分一部分接回来,直到接进某条线后网络出问题,由此可判断。
from:http://blog.sina.com.cn/s/blog_5e96cbeb0102vcwo.html