mac地址漂移查看与解决

最新推荐文章于 2025-01-15 12:09:14 发布

大胖达

最新推荐文章于 2025-01-15 12:09:14 发布

阅读量1.1w

点赞数 2

分类专栏：运维

原文链接：https://blog.youkuaiyun.com/weixin_34174422/article/details/92696175

版权

运维专栏收录该内容

35 篇文章

订阅专栏

本文探讨了MAC地址漂移的七种常见原因，包括环路、VRRP问题、终端MAC冲突等，并提供了针对思科和华为设备的解决思路，如使用生成树协议、检查配置、排查arp欺诈等。特别关注了不同厂商设备互联引发的问题及官方建议。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

mac地址漂移：MAC地址漂移是指一个MAC地址有俩个出接口，后学习到的出接口覆盖了原有的出接口,使MAC地址表象的出接口发生了变更

一、现象：MAC地址飘移

关于mac地址飘移，在网上查找并总结后，归纳可能为以下七种情况：

1、可能存在环路；

2、可能VRRP、HSRP等协议不正常引起。比如设备主备频繁切换，导致交换机学习同一mac地址飘移；

3、可能至少两台终端MAC地址相同，这样的情况不影响其他用户端；

4、是用户端换了网线，而两个网线接口不在同一台交换机上，mac会记忆一段时间，之后一切恢复正常；

5、H3C交换机开启STP功能后，CISCO设备可能出现报告MAC地址移动的现象，如果网络中不存在环路，该现象不影响业务。

6、再多加一种：可能arp欺诈、***，导致不同端口学习到同一真实或欺诈的mac地址，此结论未验证。

7、因为无线用户漫游，导致的MAC地址漂移告警。正常现象，对业务无影响。

二、查看mac地址飘移信息

对于思科cisco设备

思科设备会跳出提示，以下为CISCO 3750 mac飘移（flapping）提示信息：

3750-edit#

1w2d: %SW_MATM-4-MACFLAP_NOTIF: Host a601.0000.0000 in vlan 23 is flapping betwe

en port Gi1/0/2 and port Gi1/0/1

3750-edit#

1w2d: %SW_MATM-4-MACFLAP_NOTIF: Host a601.0000.0000 in vlan 23 is flapping betwe

en port Gi1/0/2 and port Gi1/0/1

3750-edit#

1w2d: %SW_MATM-4-MACFLAP_NOTIF: Host a601.0000.0000 in vlan 23 is flapping betwe

en port Gi1/0/2 and port Gi1/0/1

对于华为设备

http://support.huawei.com/ecommunity/bbs/10226299.html

三、 mac地址飘移现象对应解决思路

1、环路

环路解决的思路就是使用生成树协议、loopback-detection，或者使用堆叠（如IRF）去除物理环路，或者排查服务器网卡是否有绑定等策略，或者拔掉造成环路的网线。

环路一般会伴随着端口峰值（peak）变得超高，或CPU使用率超高，或ping的时候丢包严重。

dis int g1/0/1

Peak value of input: xxxxx bytes/sec, at 2014-01-28 14:05:47

Peak value of output: xxxxx bytes/sec, at 2014-0130 06:31:46

dis cpu

Slot 1 CPU 0 CPU usage:

xx% in last 5 seconds

xx% in last 1 minute

xx% in last 5 minutes

2、VRRP、HSRP等协议不正常引起

参照配置手册，更改为正确配置即可。

3、多台终端MAC地址相同

使得终端mac地址唯一即可。

4、用户端换了网线

等一会儿就行了。

5、关于不同厂家的设备互联出现MAC地址漂移的解释

关于MAC地址漂移

思科3750与H3C 3100 互连问题，MAC飘移

最近，公司一设备是C3750，gi1/0/12 、g1/0/22和g1/0/2各连接一台H3C 3100，总有个mac地址(000f.e207.f2e0 )在上述几个端口间飘来飘去，无环路，不地址欺骗，不知道是什么原因，日志提示如下：

Aug 4 22:15:07.292 GMT: %SW_MATM-4-MACFLAP_NOTIF: Host 000f.e207.f2e0 in vlan 800 is flapping between port Gi1/0/12 and port Gi1/0/22

Aug 4 22:16:07.691 GMT: %SW_MATM-4-MACFLAP_NOTIF: Host 000f.e207.f2e0 in vlan 800 is flapping between port Gi1/0/12 and port Gi1/0/22

查看vlan 800的生成树状态如下：

VLAN0800

Spanning tree enabled protocol ieee

Root ID Priority 4896

Address 001f.27dd.6200

This bridge is the root

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 4896 (priority 4096 sys-id-ext 800)

Address 001f.27dd.6200

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Aging Time 300

Interface Role Sts Cost Prio.Nbr Type

---------------- ---- --- --------- -------- --------------------------------

Gi1/0/2 Desg FWD 4 128.2 P2p

Gi1/0/12 Desg FWD 19 128.12 P2p

Gi1/0/22 Desg FWD 19 128.22 P2p

解释：

思科默认使用PVST+，可以选择配置的有PVST MST 等等

而华为产品一般是三种STP（IEEE 802.1D），RSTP（IEEE 802.1W），MSTP（IEEE 802.1S）

当搜索000f.e207.f2e0或00E0-FC09-BCF9这个mac的时候，会发现很多人在问这个问题。

据厂商自己解释

“S3600系列交换机开启STP功能后，对端设备可能出现报告MAC地址移动的现象。其原因为S3600系列交换机的BPDU报文采用固定MAC地址为源MAC。该情况对正常业务没有影响。为了防止该日志信息对正常日志信息的影响，可以通过类似日志信息过滤的功能对此种日志信息过滤。

S系列交换机生成树协议报文的源MAC地址是00E0-FC09-BCF9或者 000F-E207-F2E0。”

因为多厂商间对协议的理解方式不同，各厂商按照各自的方式改动了实现的方式，所以应尽量避免二层互联，对接的时候一定要提前测试好保持谨慎。

以下为官方解决方案:

问题原因

部分低端交换机的BPDU协议报文的源MAC采用000f-e207-f2e0。

H3C定义的LACP报文（DMAC＝0180C2000002、H3C设备SMAC＝000f-e207-f2e0、）也是BPDU报文的一种。由于V3平台交换机每端口没有设置各自的MAC地址，因此BPDU源MAC都是使用上述固定的特殊MAC作为源MAC地址的。但S3600/5600系列交换机最新版本支持在系统视图下使用port-mac命令进行定义。

对于固定源MAC地址，H3C交换机是不学习BPDU报文的源MAC的，但有些友商设备对于BPDU的源MAC是进行学习的，因此在友商设备上有时会记录MAC地址漂移的告警。

解决方法：

对于V3平台交换机如S3600/5600系列交换机可以升级到最新版本通过port-mac命令更改BPDU报文的源MAC地址。但是需要注意的是，如果网络中没有环路，那么该现象正常不影响业务使用，因此也不推荐使用port-mac命令进行更改。

修改方法：

system-view

System View: return to User View with Ctrl+Z.

[Sysname] port-mac xxxx-xxxx-xxxx

6、arp欺诈、***引起

找到中毒的终端，杀毒。

终端查找方法一：网关设备处抓包，必定有大量arp报文，看arp对应的源IP和MAC，按端口找到终端。杀毒。

这样做有可能还不容易找到，可看端口流量作为参考。

终端查找方法二：最简化网络，拔掉所有线。一个一个或一部分一部分接回来，直到接进某条线后网络出问题，由此可判断。