HCIE | 完全搞懂LAN技术-MAC 地址表、端口安全、MAC 地址飘移、免费 ARP、ista

时间 2020-12-08

标签算法安全网络 app ide oop 性能学习大数据 spa 栏目 MacBook 繁體版

原文原文链接

LAN 技术

1.MAC 地址表

MAC 地址表做用，为交换机提供转发的凭据。交换机根据 MAC 地址对应的接口，而后转发。算法

如何学习？

经过数据从交换机入方向时，将报文的源 MAC 和接口记录在 MAC 地址表中。安全

交换机处理报文的三种行为：

泛洪：若是接收到一个目的 MAC 地址不在 MAC 地址表中，则复制发送给入接口之外的全部接口。网络
转发：若是接收到一个目的 MAC 地址在 MAC 地址表中，并在其余接口，则发送给该接口。app
丢弃：若是接收到一个目的 MAC 地址在 MAC 地址表中，可是与入接口相同接口则丢弃该报文。ide

MAC 地址老化时间 300s。oop

动态表项性能
- 由接口经过报文中的源 MAC 地址学习得到，表项可老化，默认老化时间 300 秒。学习
- 在系统复位、接口板热插拔或接口板复位后，动态表项会丢失。大数据
静态表项spa
- 由用户手工配置，并下发到各接口板，表项不可老化。
- 在系统复位、接口板热插拔或接口板复位后，保存的表项不会丢失。
- `[Huawei]mac-address static 0011-2233-4455 GigabitEthernet 0/0/2 vlan 1`
黑洞表项
- 由用户手工配置，并下发到各接口板，表项不可老化。
- 配置黑洞 MAC 地址后，源 MAC 地址或目的 MAC 地址是该 MAC 的报文将会被丢弃。
- `[Huawei]mac-address blackhole 00aa-bbcc-ddee`

2.端口安全

端口安全（Port Security）经过将接口学习到的动态 MAC地址转换为安全 MAC地址（包括安全动态 MAC、
安全静态 MAC 和 Sticky MAC），阻止非法用户经过本接口和交换机通讯，从而加强设备的安全性。
安全 MAC 地址分类
- 使能端口安全而未使能 Sticky MAC 功能时转换的 MAC 地址。
- [Huawei-GigabitEthernet0/0/1]port-security enable
- 能够被设置老化时间。重启后丢失
- 安全动态 MAC 地址
安全静态 MAC 地址(其实就是静态配置的 MAC 地址)
- 使能端口安全时手工配置的静态 MAC 地址。
Sticky MAC 地址
- 使能端口安全后又同时使能 Sticky MAC 功能后转换到的 MAC 地址。
- port-security mac-address sticky（前置条件是开启了端口安全）
- 不会被老化。重启不丢失

修改动态安全 MAC 地址老化时间：

[Huawei-GigabitEthernet0/0/1]port-security aging-time ?
INTEGER<1-1440> Aging time (in minute)

修改端口安全学习的 MAC 地址个数：

[Huawei-GigabitEthernet0/0/1]port-security max-mac-num ?
INTEGER<1-4096> Maximum mac address can learn

修改触发端口安全的惩罚行为：

[Huawei-GigabitEthernet0/0/1]port-security protect-action ?
protect Discard packets //丢弃报文 名称： 保护
restrict Discard packets and warning //丢弃报文并告警（ 默认（文档与实验验证得知）） 名称： 限制
shutdown Shutdown //关闭端口，名称： 关闭 。官方成为是默认关闭。

3.MAC 地址飘移

MAC 地址漂移是指设备上一个 VLAN 内有两个端口学习到同一个 MAC 地址，后学习到的 MAC 地址表项覆
盖原 MAC 地址表项的现象。

状况：

网络环路
面对******。

MAC 地址漂移避免机制：

a) 提升接口 MAC 地址学习优先级；
b) 不容许相同优先级的接口发生；
c) MAC 地址表项覆盖。

可能存在问题：

已经学习到错误的 MAC 致使正确的 MAC 地址没法上网。

修改端口学习的优先级（优先级越高越优先。默认为 0）：

[Huawei-GigabitEthernet0/0/2]mac-learning priority 3

配置不容许相同优先级的接口发生 MAC 地址漂移

[Huawei]undo mac-learning priority 3 allow-flapping //模拟器不支持该命令

配置全局 MAC 地址漂移检测功能

[Huawei]mac-address flapping detection

配置 MAC 地址漂移检测功能

[Huawei]vlan 2
[Huawei-vlan2]loop-detect eth-loop block-time 100 retry-times 3
//在 vlan2 进行 MAC 地址飘移检测，若是触发中止转发该 MAC 100s ，重试 3 次。

能够设置是属于基于 VLAN 检测仍是基于全局检测。

4.免费 ARP

IP 地址冲突检测：当设备接口的协议状态变为 Up 时，设备主动对外发送免费 ARP 报文。正常
状况下不会收到 ARP 应答，若是收到，则代表本网络中存在与自身 IP 地址重复的地址。若是检
测到 IP 地址冲突，设备会周期性的广播发送免费 ARP 应答报文，直到冲突解除。
用于通告一个新的 MAC 地址：发送方更换了网卡，MAC 地址变化了，为了可以在动态 ARP 表
在 VRRP 备份组中用来通告主备发生变换：发生主备变换后，MASTER 设备会广播发送一个免
费 ARP 报文来通告发生了主备变换。

5.istack

接入层：接入终端。通常使用二层交换机。

汇聚层：处理接入层汇聚而来的流量，VLAN 终结，STP 终结，流量过滤，做为局域网交换网络和 IP 网络分割
线。通常三层交换机
核心层：快速转发。能够为路由器，也能够为三层交换机。

iStack 堆叠：将两到多个盒式交换机虚拟化成一台高性能的交换机。配置与接口将在逻辑层面合并。如图，PC的角度就是只链接了一台交换机。

CSS 集群：将两个框式交换机虚拟化为一台高性能的交换机，配置与接口将在逻辑层面合并。

简单

各层设备均使用堆叠技术，逻辑设备少，网络拓扑简单，二层自然无环，无需部署 xSTP 破环协议。

高效

各层设备间使用 Eth-Trunk 链路聚合技术，负载分担算法灵活，链路利用率高。

可靠

堆叠技术同链路聚合技术结合使用，各层物理设备造成双归接入组网，提升整网可靠性。

虚拟化后：

交换机组建堆叠根据堆叠口的不一样，能够分为两种方式：堆叠卡堆叠和业务口堆叠。
经过交换机堆叠，能够实现网络高可靠性和网络大数据量转发，同时简化网络管理。
- 高可靠性。堆叠系统多台成员交换机之间冗余备份；堆叠支持跨设备的链路聚合功能，实现跨设备的链路冗余备份。
- 强大的网络扩展能力。经过增长成员交换机，能够轻松的扩展堆叠系统的端口数、带宽和处理能力；同时支持成员交换机热插拔，新加入的成员交换机自动同步主交换机的配置文件和系统软件
  版本。
- 简化配置和管理。一方面，用户能够经过任何一台成员交换机登陆堆叠系统，对堆叠系统全部成员交换机进行统一配置和管理；另外一方面，堆叠造成后，不须要配置复杂的二层破环协议和三层保护倒换协议，简化了网络配置。

堆叠：

接入堆叠卡（知道是否支持热插拔，不支持需关机）。
开启堆叠（须要重启才能够配置堆叠的参数）。
配置堆叠的参数（保存配置）。
下电并连好连好线缆。
开机，根据规划优先开机主交换机，而后是备份交换机，接着就是从交换机。

关于堆叠系统

若是是链形链接，新加入的交换机建议添加到链形的两端，这样对现有的业务影响最小。
若是是环形链接，须要把当前环形拆成链形，而后在链形的两端添加设备。

角色
- 主交换机（Master）：负责管理整个堆叠。堆叠中只有一台主交换机。
- 备交换机（Standby）：是主交换机的备份交换机。当主交换机故障时，备交换机会接替原主交换机的全部业务。堆叠中只有一台备交换机。
- 从交换机（Slave）：主要用于业务转发，从交换机数量越多，堆叠系统的转发能力越强。除主交换机和备交换机外，堆叠中其余全部的成员交换机都是从交换机。
- 堆叠中全部的单台交换机都称为成员交换机，按照功能不一样，能够分为三种角色：
堆叠 ID
- 即成员交换机的槽位号（Slot ID），用来标识和管理成员交换机，堆叠中全部成员交换机的堆叠ID 都是惟一的。
堆叠优先级
- 堆叠优先级是成员交换机的一个属性，主要用于角色选举过程当中肯定成员交换机的角色，优先级值越大表示优先级越高，优先级越高当选为主交换机的可能性越大。
- 选举主交换机有三个原则：1.谁先开好机。2.优先级大的优先，3，MAC 地址小的优先
角色选举、拓扑收集完成以后，剩下的其余成员交换机做为从交换机加入堆叠，全部成员交换机会自动

同步主交换机的系统软件和配置文件：

堆叠具备自动加载系统软件的功能，待组成堆叠的成员交换机不须要具备相同软件版本，只须要版本间兼容便可。当备交换机或从交换机与主交换机的软件版本不一致时，备交换机或从交换机会自动从主交换机下载系统软件，而后使用新系统软件重启，并从新加入堆叠。
堆叠具备配置文件同步机制，备交换机或从交换机会将主交换机的配置文件同步到本设备并执行，以保证堆叠中的多台设备可以像一台设备同样在网络中工做，而且在主交换机出现故障以后，其他交换机仍可以正常执行各项功能。
系统完成堆叠
- 新加入的交换机连线上电启动后，进行角色选举，新加入的交换机会选举为从交换机，堆叠系统中原有主备从角色不变。
- 角色选举结束后，主交换机更新堆叠拓扑信息，同步到其余成员交换机上，并向新加入的交换机分配堆叠 ID（新加入的交换机没有配置堆叠 ID或配置的堆叠 ID 与原堆叠系统的冲突时）。
- 新加入的交换机更新堆叠 ID，并同步主交换机的配置文件和系统软件，以后进入稳定运行状态。

因为堆叠系统中全部成员交换机都使用同一个IP 地址和 MAC地址（堆叠系统 MAC），一个堆叠分裂后，可能产生多个具备相同 IP 地址和 MAC 地址的堆叠系统。为防止堆叠分裂后，产生多个具备相同 IP 地址和 MAC 地址的堆叠系统，引发网络故障，必须进行 IP 地址和 MAC 地址的冲突检查。多主检测 MAD（Multi-Active Detection），是一种检测和处理堆叠分裂的协议。链路故障致使堆叠系统分裂后，MAD 能够实现堆叠分裂的检测、冲突处理和故障恢复，下降堆叠分裂对业务的影响。

AD 检测方式有两种：直连检测方式和代理检测方式。在同一个堆叠系统中，两种检测方式互斥，不能够同时配置。

直连检测方式是指堆叠成员交换机间经过普通线缆直连的专用链路进行多主检测。在直连检测方式中，堆叠系统正常运行时，不发送 MAD 报文；堆叠系统分裂后，分裂后的两台交换机以 1s 为周期经过检测链路发送 MAD 报文以进行多主冲突处理。

经过中间设备直连：堆叠系统的全部成员交换机之间至少有一条检测链路与中间设备相连。

Full-mesh 方式直连：堆叠系统的各成员交换机之间经过检测链路创建 Full-mesh 全链接，即每两台成员交换机之间至少有一条检测链路。

经过中间设备直连能够实现经过中间设备缩短堆叠成员交换机之间的检测链路长度，适用于成员交换机相距较远的场景。与经过中间设备直连相比，Full-mesh方式直连能够避免由中间设备故障致使的MAD检测失败，可是每两台成员交换机之间都创建全链接会占用较多的接口，因此该方式适用于成员交换机数目较少的场景。

代理检测方式是在堆叠系统 Eth-Trunk 上启用代理检测，在代理设备上启用 MAD 检测功能。此种检测方式要求堆叠系统中的全部成员交换机都与代理设备链接，并将这些链路加入同一个 Eth-Trunk 内。与直连检测方式相比，代理检测方式无需占用额外的接口，Eth-Trunk 接口可同时运行 MAD 代理检测和其余业务。

在代理检测方式中，堆叠系统正常运行时，堆叠成员交换机以 30s 为周期经过检测链路发送 MAD 报文。堆叠成员交换机对在正常工做状态下收到的 MAD 报文不作任何处理；堆叠分裂后，分裂后的两台交换机以 1s 为周期经过检测链路发送 MAD 报文以进行多主冲突处理。

MAD 冲突处理

堆叠分裂后，MAD 冲突处理机制会使分裂后的堆叠系统处于 Detect 状态或 Recovery 状态。Detect状态表示堆叠正常工做状态，Recovery 状态表示堆叠禁用状态。
MAD 冲突处理机制以下：MAD 分裂检测机制会检测到网络中存在多个处于 Detect 状态的堆叠系统，这些堆叠系统之间相互竞争，竞争成功的堆叠系统保持 Detect 状态，竞争失败的堆叠系统会转入 Recovery 状态；而且在 Recovery 状态堆叠系统的全部成员交换机上，关闭除保留端口之外的其它全部物理端口，以保证该堆叠系统再也不转发业务报文。

MAD 故障恢复

经过修复故障链路，分裂后的堆叠系统从新合并为一个堆叠系统。从新合并的方式有如下两种：

堆叠链路修复后，处于 Recovery 状态的堆叠系统从新启动，与Detect 状态的堆叠系统合并，同时将被关闭的业务端口恢复 Up，整个堆叠系统恢复。
若是故障链路修复前，承载业务的 Detect 状态的堆叠系统也出现了故障。此时，能够先将 Detect状态的堆叠系统从网络中移除，再经过命令行启用 Recovery 状态的堆叠系统，接替原来的业务，而后再修复原 Detect 状态堆叠系统的故障及链路故障。故障修复后，从新合并堆叠系统。