设备上存在大量的MAC地址飘逸
- 0关注
- 0收藏,50浏览
问题描述:
设备上存在大量的MAC地址飘逸,设备不开stp 有什么办法迅速定位问题解决掉
dis mac-add mac-move | in 2026-01-29
…………….
ac74-09c4-6442 1000 GE2/3/0/42 GE1/2/0/22 2026-01-29 11:15:03 17
ac74-09c4-6443 1000 GE2/3/0/42 GE1/2/0/22 2026-01-29 11:22:28 2941
ac74-09c4-4660 1000 GE2/3/0/42 GE1/2/0/23 2026-01-29 00:07:38 24
38ad-8eaf-7abb 1000 GE2/3/0/42 GE1/2/0/25 2026-01-29 11:15:53 1168
38ad-8eaf-7953 1000 GE2/3/0/42 GE1/2/0/28 2026-01-29 11:15:04 1095
703a-a605-cd31 1000 GE2/3/0/42 GE1/2/0/29 2026-01-29 11:15:10 1148
38ad-8eaf-7b39 1000 GE2/3/0/42 GE1/2/0/30 2026-01-29 11:19:09 1257
38ad-8eaf-78b1 1000 GE2/3/0/42 GE1/2/0/31 2026-01-29 11:18:18 1291
38ad-8eaf-96db 1000 GE2/3/0/42 GE1/2/0/33 2026-01-29 11:14:10 1163
38ad-8eaf-78c3 1000 GE2/3/0/42 GE1/2/0/34 2026-01-29 11:15:00 1226
38ad-8eaf-792f 1000 GE2/3/0/42 GE1/2/0/35 2026-01-29 11:15:55 1315
38ad-8eaf-7941 1000 GE2/3/0/42 GE1/2/0/36 2026-01-29 11:17:33 1239
38ad-8eaf-78f9 1000 GE2/3/0/42 GE1/2/0/37 2026-01-29 11:15:00 1257
38ad-8eaf-7af1 1000 GE2/3/0/42 GE1/2/0/38 2026-01-29 11:14:15 1313
38ad-8eaf-8b0b 1000 GE2/3/0/42 GE1/2/0/39 2026-01-29 11:17:29 1175
38ad-8eaf-8415 1000 GE2/3/0/42 GE1/2/0/40 2026-01-29 11:19:06 714
38ad-8eaf-8ee9 1000 GE2/3/0/42 GE1/2/0/41 2026-01-29 11:09:15 1286
30b0-374a-65da 1000 GE2/3/0/42 GE1/2/0/43 2026-01-29 11:13:26 530
1cab-34cf-4eb0 1000 GE2/3/0/42 GE1/3/0/24 2026-01-29 11:10:09 712
38ad-8eaf-7563 1000 GE2/3/0/42 GE1/3/0/25 2026-01-29 11:14:27 1280
38ad-8eaf-75e1 1000 GE2/3/0/42 GE1/3/0/26 2026-01-29 11:15:57 1394
38ad-8eaf-7a73 1000 GE2/3/0/42 GE1/3/0/27 2026-01-29 11:14:58 1367
38ad-8eaf-77eb 1000 GE2/3/0/42 GE1/3/0/28 2026-01-29 11:13:41 1205
38ad-8eaf-9cc3 1000 GE2/3/0/42 GE1/3/0/30 2026-01-29 11:13:35 1208
38ad-8eaf-7713 1000 GE2/3/0/42 GE1/3/0/31 2026-01-29 11:14:30 1397
38ad-8eaf-966f 1000 GE2/3/0/42 GE1/3/0/33 2026-01-29 11:13:28 900
38ad-8eaf-75cf 1000 GE2/3/0/42 GE1/3/0/34 2026-01-29 11:14:14 1100
38ad-8eaf-96c9 1000 GE2/3/0/42 GE1/3/0/35 2026-01-29 11:15:02 1135
38ad-8eaf-8d39 1000 GE2/3/0/42 GE1/3/0/36 2026-01-29 11:15:01 1237
38ad-8eaf-8775 1000 GE2/3/0/42 GE1/3/0/37 2026-01-29 11:15:08 1270
mac飘逸上来的接口一级一级追一下就好
看看是哪个口环路了 shutdown掉
一、问题快速分析
1. 问题特征
大量MAC地址频繁在 GE2/3/0/42 端口和其他端口之间漂移
漂移集中在 38ad-8eaf-xxxx和 ac74-09c4-xxxx两个OUI段
所有漂移都从GE2/3/0/42到其他端口,说明GE2/3/0/42是问题源头
2. 可能原因
网络环路:GE2/3/0/42连接的设备形成了环路
设备故障:GE2/3/0/42连接的设备(可能是交换机)转发异常
配置错误:端口聚合配置错误或存在冗余连接
非法设备:GE2/3/0/42连接的设备在发起MAC欺骗攻击
二、立即行动步骤(不开启STP)
步骤1:立即隔离问题端口
# 立即关闭GE2/3/0/42端口
interface GigabitEthernet 2/3/0/42
shutdown
步骤2:验证问题是否消失
# 等待30秒后,检查MAC漂移记录
display mac-address mac-move | in 2026-01-29
# 如果没有新的漂移记录,说明GE2/3/0/42确实是问题源头
步骤3:检查受影响端口的流量状态
# 查看之前出现漂移的端口状态
display interface brief | include GE1/2/0/22|GE1/2/0/23|GE1/2/0/25
display interface GigabitEthernet 1/2/0/22 counters
三、深入排查与定位
1. 查看GE2/3/0/42连接的设备
# 查看端口状态和统计信息
display interface GigabitEthernet 2/3/0/42
display interface GigabitEthernet 2/3/0/42 counters
# 查看该端口上学习的MAC地址
display mac-address interface GigabitEthernet 2/3/0/42
# 查看端口所属VLAN
display vlan interface GigabitEthernet 2/3/0/42
2. 查看MAC地址详细信息
# 查看特定MAC地址的详细信息
display mac-address 38ad-8eaf-7abb
display mac-address 38ad-8eaf-7953
display mac-address ac74-09c4-6442
# 查看这些MAC地址的OUI信息
display mac-address | include 38ad-8eaf
display mac-address | include ac74-09c4
3. 检查环路检测功能
# 查看是否启用了环路检测
display loopback-detection
# 如果未启用,启用环路检测
loopback-detection enable
loopback-detection interval-time 30
loopback-detection action shutdown
四、根本原因排查
可能性1:网络环路
# 检查GE2/3/0/42的物理连接
display transceiver interface GigabitEthernet 2/3/0/42
# 可能的环路场景:
# 1. GE2/3/0/42连接的另一台交换机形成了环路
# 2. GE2/3/0/42连接的设备自身有环路
# 3. 存在两条物理连接形成环路
可能性2:设备故障或配置错误
# 检查端口是否配置了聚合
display link-aggregation verbose interface GigabitEthernet 2/3/0/42
# 检查端口是否配置了镜像
display mirroring-group all
# 检查端口是否配置了MAC地址学习限制
display mac-address max-mac-count interface GigabitEthernet 2/3/0/42
可能性3:非法设备攻击
# 查看攻击防护状态
display attack-defense statistics interface GigabitEthernet 2/3/0/42
# 检查是否有ARP攻击
display arp anti-attack statistics
五、快速解决方案(不开启STP)
方案1:启用环路检测并自动阻断
# 全局启用环路检测
system-view
loopback-detection enable vlan all
loopback-detection interval-time 10
loopback-detection action shutdown
loopback-detection recovery-time 300
方案2:配置MAC地址漂移检测
# 配置MAC地址漂移检测
mac-address mac-move detection enable
# 设置漂移检测阈值
mac-address mac-move detection threshold 5 interval 10
# 配置漂移后的动作
mac-address mac-move detection action block-source
方案3:配置端口安全
# 在问题端口上配置端口安全
interface GigabitEthernet 2/3/0/42
port-security enable
port-security max-mac-count 100
port-security intrusion-mode disableport-temporarily
port-security timer disableport 300
方案4:限制MAC地址学习
# 限制端口学习的MAC地址数量
interface GigabitEthernet 2/3/0/42
mac-address max-mac-count 500
mac-address max-mac-count alarm enable
mac-address max-mac-count alarm threshold 80
六、诊断命令汇总
1. 实时监控命令
# 实时查看端口流量
display interface GigabitEthernet 2/3/0/42 counters rate
# 实时查看MAC地址表变化
refresh mac-address
display mac-address dynamic
# 查看CPU使用率(环路会消耗CPU)
display cpu-usage
2. 历史分析命令
# 查看端口历史统计
display interface GigabitEthernet 2/3/0/42 counters inbound
display interface GigabitEthernet 2/3/0/42 counters outbound
# 查看日志中关于该端口的信息
display logbuffer | include GE2/3/0/42
display diagnostic-information last 1 hour | include GE2/3/0/42
3. 抓包分析命令
# 启用端口镜像到其他端口进行分析
mirroring-group 1 local
mirroring-group 1 mirroring-port GigabitEthernet 2/3/0/42 both
mirroring-group 1 monitor-port GigabitEthernet 1/0/1
# 或者使用抓包功能
capture interface GigabitEthernet 2/3/0/42
display capture
七、分步解决方案
第1阶段:紧急隔离(5分钟内)
# 立即关闭问题端口
interface GigabitEthernet 2/3/0/42
shutdown
# 验证网络恢复正常
ping -c 10 网关地址
display mac-address mac-move
第2阶段:问题定位(15分钟内)
物理检查:
检查GE2/3/0/42连接的设备
检查是否有环路
检查光纤/网线连接
设备检查:
登录连接的设备
检查配置
检查日志
第3阶段:修复与验证(10分钟内)
# 如果发现环路,移除冗余连接
# 重新启用端口,并添加保护措施
interface GigabitEthernet 2/3/0/42
loopback-detection enable
mac-address max-mac-count 1000
undo shutdown
# 监控端口状态
display interface GigabitEthernet 2/3/0/42
display mac-address mac-move
第4阶段:加固配置(5分钟内)
# 全局启用保护功能
loopback-detection enable vlan all
loopback-detection action shutdown
mac-address mac-move detection enable
mac-address mac-move detection threshold 3 interval 5
mac-address mac-move detection action block-source
# 在所有接入端口启用
interface range GigabitEthernet 1/0/1 to GigabitEthernet 1/0/48
loopback-detection enable
mac-address max-mac-count 100
八、常见场景解决方案
场景1:连接了傻瓜交换机形成环路
解决方案:
找到环路点,移除多余的网线
在傻瓜交换机和核心交换机之间启用STP(如果支持)
或限制核心交换机端口的MAC学习数量
场景2:设备故障或配置错误
解决方案:
# 重置端口配置
interface GigabitEthernet 2/3/0/42
shutdown
clear configuration interface GigabitEthernet 2/3/0/42
undo shutdown
场景3:恶意攻击或MAC欺骗
解决方案:
# 启用动态ARP检测(如果支持)
arp anti-attack rate-limit enable
arp anti-attack rate-limit 100
# 配置MAC地址绑定
mac-address static 38ad-8eaf-7abb interface GigabitEthernet 1/2/0/25 vlan 1000
场景4:聚合配置错误
解决方案:
# 检查聚合配置
display link-aggregation verbose
# 如果不需要聚合,删除配置
undo interface Bridge-Aggregation X
九、预防措施
1. 启用基础保护功能
# 全局启用环路检测
loopback-detection enable vlan all
loopback-detection action shutdown
# 启用MAC漂移检测
mac-address mac-move detection enable
# 启用风暴控制
storm-constrain broadcast 20
storm-constrain multicast 20
storm-constrain unicast 20
2. 配置端口安全
# 在所有接入端口配置
interface range GigabitEthernet 1/0/1 to GigabitEthernet 1/0/48
port-security enable
port-security max-mac-count 50
port-security intrusion-mode disableport-temporarily
3. 配置监控告警
# 配置SNMP Trap
snmp-agent trap enable loopback-detection
snmp-agent trap enable mac-address
snmp-agent trap enable port-security
# 配置日志
info-center enable
info-center loghost 192.168.1.100
4. 定期检查脚本
# 创建自动检查任务
job check-mac-move
view monitor
command 1 display mac-address mac-move | in 2026
command 2 display loopback-detection
command 3 display interface | include error
scheduler job check-mac-move
time repeating at 00:00 interval 1440
十、恢复与验证
恢复步骤:
# 1. 确认问题已解决
display mac-address mac-move
# 应该显示没有或很少的漂移记录
# 2. 确认网络连通性
ping -c 100 -s 1500 网关地址
# 检查是否有丢包
# 3. 确认业务正常
# 测试关键业务系统
验证命令:
# 连续监控10分钟
<H3C> monitor 1/0/1-1/0/48
<H3C> display cpu-usage
<H3C> display memory
十一、最终建议
强烈建议开启STP
虽然您要求不开启STP,但我必须指出:
STP/RSTP/MSTP是防止环路的行业标准
配置正确时对网络影响极小
比各种环路检测机制更可靠
最小化影响配置:
# 启用RSTP,快速收敛
stp global enable
stp mode rstp
stp root primary
stp tc-protection enable
如果坚持不开启STP,必须配置:
环路检测:自动关闭环路端口
MAC漂移检测:自动阻断攻击源
端口安全:限制每个端口的MAC数量
风暴控制:限制广播/组播/未知单播
十二、应急联系信息
如果问题无法解决,请准备以下信息联系H3C技术支持:
设备信息:
display version
display device
display diagnostic-information
问题现象:
提供完整的display mac-address mac-move输出
提供端口状态和统计信息
提供网络拓扑图
已采取的措施:
记录所有已执行的命令
记录问题发生时间点
H3C技术支持热线:400-810-0504
总结
根据您的MAC漂移记录,问题几乎肯定出在GE2/3/0/42端口连接的设备上。请立即:
立即隔离:先关闭GE2/3/0/42端口
物理检查:检查该端口连接的设备和线路
逐步恢复:修复问题后重新启用端口,并添加保护措施
全局加固:在全局启用环路和MAC漂移检测
最有可能的原因是GE2/3/0/42端口连接的交换机形成了环路,或者该设备本身存在故障。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
查具体地址,不是插mac-move