Таблица MAC — это таблица соответствий между MAC-адресами устройств назначения и портами коммутатора. MAC-адреса могут быть статические и динамические. Статические MAC-адреса настраиваются пользователем вручную, имеют наивысший приоритет, хранятся постоянно и не могут быть перезаписаны динамическими MAC-адресами. MAC-адреса — это записи, полученные коммутатором в пересылке кадров данных, и хранятся в течение ограниченного периода времени. Когда коммутатор получает кадр данных для дальнейшей передачи, он сохраняет MAC-адрес кадра данных вместе с соответствующим ему портом назначения. Когда MAC-таблица опрашивается для поиска MAC-адреса назначения, при нахождении нужного адреса кадр данных отправляется на соответствующий порт, иначе коммутатор отправляет кадр на широковещательный домен. Если динамический MAC-адрес не встречается в принятых кадрах данных длительное время, запись о нем будет удалена из MAC-таблицы коммутатора.
Возможны 2 операции с таблицей MAC-адресов:
1. Поиск MAC-адреса;
2. Пересылка или фильтрация кадра данных в соответствии с таблицей.
10.1.1. Получение таблицы MAC-адресов
Таблица MAC-адресов может быть создана динамически или статически. Статическая конфигурация заключается в ручной настройке соответствия между MAC-адресами и портами. Динамическое обучение — это процесс, в котором коммутатор изучает соответствие между MAC-адресами и портами и регулярно обновляет таблицу MAC. В этом разделе мы рассмотрим процесс динамического обучения MAC-таблицы.
Рисунок 28.1 — Динамическое обучение MAC-таблицы.
Топология на Рисунке 28.1: 4 ПК подключены к коммутатору. ПК1 и ПК2 подключены из одного физического сегмента (домена коллизий) подключены к порту коммутатора Ethernet 1/0/5, а ПК3 и ПК4, также из одного физического сегмента, подключены к порту Ethernet 1/0/12.
Начальная таблица MAC-адресов не содержит записей. Рассмотрим пример обмена кадрами между ПК1 и ПК3 и процесс обучения MAC-адресов:
-
Когда ПК1 отправляет кадр к ПК3, MAC-адрес источника 00-01-11-11-11-11 из этого сообщения, а также порт коммутатора Ethernet 1/0/5 заносятся в MAC-таблицу;
-
В это же время коммутатор определяет, что сообщение предназначено для 00-01-33-33-33-33, а поскольку MAC-таблица содержит только запись соответствия MAC-адреса 00-01-11-11-11-11 и порта Ethernet 1/0/5, коммутатор передает это сообщение всем портам коммутатора (при условии, что все порты принадлежат VLAN 1 по-умолчанию);
-
ПК3 и ПК4, подключенные к порту Ethernet 1/0/12, получают кадр, отправленный ПК1, но так как MAC-адрес назначения 00-01-33-33-33-33, ПК4 не отвечает, только ПК3 отвечает ПК1. Когда порт Ethernet 1/0/12 принимает кадр от ПК3, в таблице MAC-адресов создается запись соответствия адреса 00-01-33-33-33-33 порту Ethernet 1/0/12.
-
Теперь таблица MAC-адресов имеет 2 записи: адрес 00-01-11-11-11-11 — порт Ethernet 1/0/5 и адрес 00-01-33-33-33-33 — порт Ethernet 1/0/12.
-
После обмена кадрами между ПК1 и ПК3, коммутатор больше не получает кадры от ПК1 и ПК3. Поэтому записи соответствия MAC-адресов в MAC-таблице удаляются через 300 или 600 секунд (простое или двойне время жизни). По-умолчанию выбрано время жизни в 300 секунд, но оно может быть изменено на коммутаторе.
10.1.2. Пересылка или фильтрация
Коммутатор может переслать или отфильтровать принятые кадры данных в соответствии с таблицей MAC-адресов. Рассмотрим пример на рисунке 28.1: допустим, что коммутатор изучил MAC-адреса ПК1 и ПК3, а пользователь вручную добавил соответствия для MAC-адресов ПК2 и ПК4. Таблица MAC-адресов будет выглядеть следующим образом:
|
MAC-адрес |
Номер порта |
Способ добавления |
|---|---|---|
|
00-01-11-11-11-11 |
1/0/5 |
Динамическое обучение |
|
00-01-22-22-22-22 |
1/0/5 |
Статическое добавление |
|
00-01-33-33-33-33 |
1/0/12 |
Динамическое обучение |
|
00-01-44-44-44-44 |
1/0/12 |
Статическое добавление |
-
Пересылка данных в соответствии с таблицей MAC-адресов:
Если ПК 1 отправит кадр к ПК 3, коммутатор пересылает принятый кадр данных с порта 1/0/5 в порт 1/0/12.
2. Фильтрация в соответствии с таблицей MAC-адресов: Если ПК 1 отправит кадр к ПК 2, коммутатор, проверив таблицу MAC-адресов, находит ПК 2 в том же физическом сегменте, что и ПК 1 — коммутатор отбрасывает этот кадр.
Коммутатором могут пересылаться 3 типа кадров:
-
Широковещательные. Коммутатор может определять коллизии в домене, но не в широковещательном. Если VLAN не определена, все устройства, подключенные к коммутатору, находятся в одном широковещательном домене. Когда коммутатор получает широковещательный кадр, он передает кадр во все порты. Если на коммутаторе настроены VLAN, таблица MAC-адресов соответствующим образом адаптирована для добавления информации о VLAN и широковещательные кадры будут пересылаться только в те порты, в которых настроена данная VLAN.
-
Многоадресные. Если многоадресный домен неизвестен, коммутатор пересылает многоадресный кадр как широковещательный. Если на коммутаторе включен IGMP-snooping и сконфигурирована многоадресная группа, коммутатор будет пересылать многоадресный кадр только портам этой группы.
-
Одноадресные. Если на коммутаторе не настроена VLAN, коммутатор ищет MAC-адрес назначения в таблице MAC-адресов и отправляет кадр на соответствующий порт. Если соответствие MAC-адреса и порта не найдено в таблице MAC-адресов, коммутатор пересылает одноадресный кадр как широковещательный. Если на коммутаторе настроен VLAN, коммутатор пересылает кадр только в этом VLAN. Если в таблице MAС-адресов найдено соответствие для VLAN, отличного от того, в котором был принят кадр, коммутатор пересылает кадр широковещательно в том VLAN, в котором кадр был принят.
10.2. Конфигурация таблицы MAC-адресов.
-
Настройка времени жизни MAC-адреса
-
Настройка статической пересылки и фильтрации
-
Очистка таблицы MAС-адресов
-
Обучение таблицы MAС-адресов через CPU
-
Настройка времени жизни MAC-адреса
|
Команда |
Описание |
|---|---|
|
mac-address-table aging-time <0|aging-time> no mac-address-table aging-time ! В режиме глобальной конфигурации |
Настройка времени жизни MAC-адреса Применение настроек по-умолчанию |
2. Настройка статической пересылки и фильтрации
|
Команда |
Описание |
|---|---|
|
mac-address-table {static | blackhole} address <mac-addr> vlan <vlan-id > [interface ethernet <interface-name>] | [source|destination|both] no mac-address-table {static | blackhole | dynamic} [address <mac-addr>] [vlan <vlan-id>][interface ethernet <interface-name>] ! В режиме глобальной конфигурации |
Настройка статических записей и фильтрации Удаление статических записей и фильтрации |
|
l2-address-table static-multicast address {<ip-addr> |<mac-addr>} vlan <vlan-id> {interface [ethernet <interface-name>] | port-channel <port-channel-id>} no l2-address-table static-multicast address {<ip-addr> |<mac-addr>} vlan <vlan-id> {interface [ethernet <interface-name>] | port-channel <port-channel-id>} ! В режиме глобальной конфигурации |
Настройка статической записи Многоадресного MAC-адреса Удаление статической записи Многоадресного MAC-адреса |
3. Очистка таблицы MAС-адресов
|
Команда |
Описание |
|---|---|
|
clear mac-address-table dynamic [address <mac-addr>] [vlan <vlan-id>] [interface [ethernet | portchannel] <interface-name>] ! В режиме глобальной конфигурации |
Очистка динамических записей в таблице MAC-адресов. |
4. Обучение таблицы MAС-адресов через CPU
|
Команда |
Описание |
|---|---|
|
mac-address-learning cpu-control no mac-address-learning cpu-control ! В режиме глобальной конфигурации |
Включение функции обучения MAC-адресов через CPU. Отключение функции обучения MAC-адресов через CPU. |
|
show collision-mac-address-table ! В привилегированном режиме |
Отображение коллизий в таблице MAC-адресов |
|
clear collision-mac-address-table ! В режиме глобальной конфигурации |
Очистка коллизий в таблице MAC-адресов |
10.3. Пример конфигурации таблицы MAC-адресов
Рисунок 28.2 — Пример конфигурации таблицы MAC-адресов
Как показано на рисунке 28-2, ПК1 — 4 подключены к портам коммутатора 1/0/5, 1/0/7, 1/0/9, 1/0/11, все ПК помещены во VLAN 1 по-умолчанию. ПК 1 хранит конфиденциальные данные и недоступен для ПК из других физических сегментов. ПК 1 и ПК 2 статически приписаны к портам 7 и 9 соответственно.
Этапы конфигурации:
1. Настроить MAC-адрес как фильтруемый:
switch(config)#mac-address-table static 00-01-11-11-11-11 discard vlan 1
2. Настроить статические соответствия ПК 2 и ПК 3 портам 1/0/7 и 1/0/9
switch(config)#mac-address-table static address 00-01-22-22-22-22 vlan 1 interface ethernet 1/0/7 switch(config)#mac-address-table static address 00-01-33-33-33-33 vlan 1 interface ethernet 1/0/9
10.4. Решение проблем при конфигурации таблицы MAC-адресов
Если с помощью команды ‘show mac-address-table’ обнаруживается, что коммутатор не смог создать динамическое соответствие между MAC-адресом и портом, возможные причины:
-
Подключенный кабель поврежден;
-
На порту включен Spanning Tree и порт находится в состоянии “discarding” или устройство только что подключено к порту, а Spanning Tree находится в состоянии вычисления дерева;
-
В остальных случаях проверьте порт коммутатора и обратитесь в техническую поддержку для решения проблемы
10.5. Уведомления об изменениях в MAC-таблице
Данная функция позволяет уведомлять администратора об изменениях в таблице MAC-адресов с помощью SNMP trap.
10.5.1. Настройка уведомлений об изменениях в MAC-таблице
-
Включение SNMP-функции уведомления об изменениях в MAC-таблице глобально
-
Включение уведомления об изменениях в MAC-таблице глобально
-
Настройка интервала отправки уведомления об изменениях в MAC-таблице
-
Настройка размера истории таблицы
-
Настройка типа события для отправки SNMP-trap
-
Просмотр конфигурации и данных
-
Очистка статистики
-
Включение SNMP-функции уведомления об изменениях в MAC-таблице глобально
|
Команда |
Описание |
|---|---|
|
snmp-server enable traps mac-notification no snmp-server enable traps mac-notification ! В режиме глобальной конфигурации |
Включение SNMP-функции уведомления об изменениях в MAC-таблице Выключение SNMP-функции уведомления об изменениях в MAC-таблице |
2. Включение уведомления об изменениях в MAC-таблице глобально
|
Команда |
Описание |
|---|---|
|
mac-address-table notification no mac-address-table notification ! В режиме глобальной конфигурации |
Включение уведомления об изменениях в MAC-таблице Выключение уведомления об изменениях в MAC-таблице |
3. Настройка интервала отправки уведомления об изменениях в MAC-таблице
|
Команда |
Описание |
|---|---|
|
mac-address-table notification interval <0-86400> no mac-address-table notification interval ! В режиме глобальной конфигурации |
Настройка интервала отправки уведомления об изменениях в MAC-таблице Возврат значений по-умолчанию (30 секунд) |
4. Настройка размера истории таблицы
|
Команда |
Описание |
|---|---|
|
mac-address-table notification history-size <0-500> no mac-address-table notification history-size ! В режиме глобальной конфигурации |
Настройка размера истории таблицы Возврат значений по-умолчанию (10 записей) |
5. Настройка типа события для отправки SNMP-trap
|
Команда |
Описание |
|---|---|
|
mac-notification {added | both | removed} no mac-notification ! В режиме конфигурации порта |
Выбор типа события для отправки SNMP-trap Выключение отправки по событию с данного интерфейса |
6. Просмотр конфигурации и данных
|
Команда |
Описание |
|---|---|
|
show mac-notification summary ! В привилегированном режиме |
Просмотр конфигурации и данных |
7. Очистка статистики
|
Команда |
Описание |
|---|---|
|
clear mac-notification statistics ! В привилегированном режиме |
Очистка статистики |
10.5.2. Пример настройки уведомлений об изменениях в MAC-таблице
Предположим, система управления сетью (NMS — Network Management Station) настроена на прием сообщений SNMP-trap от коммутатора. Для того, чтобы коммутатор отправлял сообщения NMS при изменениях в таблице MAC-адресов, можно настроить функционал следующим образом:
Switch(config)#snmp-server enable Switch(config)#snmp-server enable traps mac-notification Switch(config)# mac-address-table notification Switch(config)# mac-address-table notification interval 5 Switch(config)# mac-address-table notification history-size 100 Switch(Config-If-Ethernet1/0/4)# mac-notification both
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 204
Смена мака Cisco коммуататора
На коммутаторе в локалке необходимо сменить мак на другой. Имеется ввиду не мак, который закреплен за eth-портами, а мак самой железки. Есть вообще такая возможность?
Спасибо.
KOM-STAR
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 492
Re: Смена мака Cisco коммуататора
Лишь так:
http://www.cisco.com/en/US/products/hw/ … 9b4e.shtml
Цитата:
The Catalyst 6500/6000 Supervisor Engine II supports a change of MAC address from the default burned-in-address (BIA). However, if you change the MAC address for one interface, the MAC addresses for all the configured SVIs change to the newly configured MAC address. As a result, you cannot have a unique MAC address per interface. This is a hardware limitation of the Supervisor Engine II and will not be fixed in a future software release.
Цитата:
Catalyst switches have varied support for the ability to change the MAC address for a VLAN (SVI) or L3 interface. You do not need to change the burned-in MAC address if the network devices support multiple IPs to a single MAC Address Resolution Protocol (ARP) table, which is common. Also, you do not need to change the MAC address if the switches support a per-VLAN MAC address table.
Цитата:
MAC addresses of Layer 2 Interfaces (Switchports) are unique and are assigned to that particular line module. In Cisco 6500/6000, 4500/4000, 3750, 3560, 3550, and 2970 series switches, you are not able to change the MAC address on a switchport. In Cisco 2940, and 2950/2955 series switches you can change the MAC address of switch ports using the command mac-address, under the interface configuration mode.
oshpareniyDex
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 204
Re: Смена мака Cisco коммуататора
Спасибо. Несилен в точном лексическом переводе 2го абзаца. Подскажите.
А сабж родился из-за прихода 2 коммутаторов 3750. Нужно их в стек объединить. А у них маки одинаковые. Проблема в этом и состоит, что стек не создается.
KOM-STAR
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 492
Re: Смена мака Cisco коммуататора
Цитата:
Цисковские коммутаторы обладают несколькими способами смены МАК-адреса для -VLAN или -L3 интерфейсов. Не нужно менять встроенный МАК если сетевые устройства поддерживают несколько IP-адресов на одну общую ARP-таблицу. И нет необходимости менять МАК-адрес если свитчи поддерживают отдельную ARP-таблицу на каждый VLAN.
А как это у них 1 мак? С завода или по наследству от кого-то? Вы пробовали сбросить настройки коммутаторов?
oshpareniyDex
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 204
Re: Смена мака Cisco коммуататора
Как у них оказался один мак — вопрос второй. Факт есть факт. А свичи — с завода.
Слыхал я байки о том, что как-то столкнулись где-то в интернете в l2-домене пара маршиков cisco и huawei с одинаковыми маками. И cisco еще вроде судилась с huawei на этой почве, мол не следят за уникальностью аппаратных адресов. Стало быть нонейм железо из Китая под маркой cisco!? Но это все лирика.
Из сказаного Вами, следует, что ничего мне не поможет. Или все же есть решение, КАМРАДЫ?
Может из какого-нибудь ROMMON’а возможна смена мака?
imperorr
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4526
Re: Смена мака Cisco коммуататора
Cisco и Huawei как бы разные маки имеют, зарегестрированные в IEEE.
oshpareniyDex
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 204
Re: Смена мака Cisco коммуататора
Я ж и пишу «байка».
Кстати, возможно ли формирование стека в обход обмена bridge ID (то бишь маками) между участвующими в стеке коммутаторами?
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4437
Re: Смена мака Cisco коммуататора
И на портах коммутатора получается одинаковы МАСи?!
Будьте добры, пруф в студию:
sh ver на обоих свитчах.
CrAlex
Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
Re: Смена мака Cisco коммуататора
Если железки официально куплены 
то можно поменять
oshpareniyDex
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 204
Re: Смена мака Cisco коммуататора
Первый коммутатор — он в стеке с другими под номером Switch 02.
Код:
Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 15.0(2)SE, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Sat 28-Jul-12 00:16 by prod_rel_team
ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(44)SE5, RELEASE SOFTWARE (fc1)
blok2_1 uptime is 3 days, 18 hours, 57 minutes
System returned to ROM by power-on
System restarted at 15:58:46 EST Sat Jan 5 2013
System image file is «flash:c3750-ipservicesk9-mz.150-2.SE/c3750-ipservicesk9-mz.150-2.SE.bin»
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
export@cisco.com.
cisco WS-C3750G-48TS (PowerPC405) processor (revision C0) with 131072K bytes of memory.
Processor board ID @@@@@@@@@
Last reset from power-on
1 Virtual Ethernet interface
156 Gigabit Ethernet interfaces
The password-recovery mechanism is enabled.
512K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address : 00:18:18:B0:79:00
Motherboard assembly number : 73-9366-08
Power supply part number : 341-0107-01
Motherboard serial number : @@@@@@@@@
Power supply serial number : FXD1020004S
Model revision number : C0
Motherboard revision number : A0
Model number : WS-C3750G-48TS-E
System serial number : @@@@@@@@
SFP Module assembly part number : 73-7757-03
SFP Module revision Number : A0
SFP Module serial number : CAT101602AJ
Top Assembly Part Number : 800-26345-02
Top Assembly Revision Number : B0
Version ID : V02
CLEI Code Number : CNMWP00ARB
Hardware Board Revision Number : 0x05
Switch Ports Model SW Version SW Image
—— —— —— ———- ———-
* 1 52 WS-C3750G-48TS 15.0(2)SE C3750-IPSERVICESK9-M
2 52 WS-C3750G-48TS 15.0(2)SE C3750-IPSERVICESK9-M
3 52 WS-C3750G-48TS 15.0(2)SE C3750-IPSERVICESK9-M
Switch 02
———
Switch Uptime : 3 days, 18 hours, 58 minutes
Base ethernet MAC Address : 00:12:43:84:74:80
Motherboard assembly number : 73-10218-08
Power supply part number : 341-0107-01
Motherboard serial number : @@@@@@@@
Power supply serial number : AZS13510BRN
Model revision number : E0
Motherboard revision number : C0
Model number : WS-C3750G-48TS-E
System serial number : @@@@@@@@@@
Top assembly part number : 800-26857-01
Top assembly revision number : C0
Version ID : V06
CLEI Code Number : COMAF10BRA
Switch 03
———
Switch Uptime : 23 hours, 31 minutes
Base ethernet MAC Address : 00:18:18:5A:DA:00
Motherboard assembly number : 73-9366-08
Power supply part number : 341-0107-01
Motherboard serial number : @@@@@@@@
Power supply serial number : AZS1006023R
Model revision number : C0
Motherboard revision number : A0
Model number : WS-C3750G-48TS-E
System serial number : @@@@@@@@@
SFP Module assembly part number : 73-7757-03
SFP Module revision number : A0
SFP Module serial number : CAT10160TY2
Top assembly part number : 800-26345-02
Top assembly revision number : B0
Version ID : V02
CLEI Code Number : CNMWP00ARB
Configuration register is 0xF
Второй коммутатор
Код:
Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 15.0(2)SE, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Sat 28-Jul-12 00:16 by prod_rel_team
ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(44)SE5, RELEASE SOFTWARE (fc1)
Sklad9 uptime is 1 day, 2 hours, 12 minutes
System returned to ROM by power-on
System restarted at 08:40:09 EST Tue Jan 8 2013
System image file is «flash:/c3750-ipservicesk9-mz.150-2.SE.bin»
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
export@cisco.com.
cisco WS-C3750G-48TS (PowerPC405) processor (revision E0) with 131072K bytes of memory.
Processor board ID @@@@@@@@
Last reset from power-on
1 Virtual Ethernet interface
52 Gigabit Ethernet interfaces
The password-recovery mechanism is enabled.
512K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address : 00:12:43:84:74:80
Motherboard assembly number : 73-10218-08
Power supply part number : 341-0107-01
Motherboard serial number : @@@@@@@@@@
Power supply serial number : AZS13510BRT
Model revision number : E0
Motherboard revision number : C0
Model number : WS-C3750G-48TS-E
System serial number : @@@@@@@@@@@
Top Assembly Part Number : 800-26857-01
Top Assembly Revision Number : C0
Version ID : V06
CLEI Code Number : COMAF10BRA
Hardware Board Revision Number : 0x09
Switch Ports Model SW Version SW Image
—— —— —— ———- ———-
* 1 52 WS-C3750G-48TS 15.0(2)SE C3750-IPSERVICESK9-M
Configuration register is 0xF
Затык в том, что при добавлении второго коммутатора в стек с остальными он «выталкивает» первый коммутатор из стека.
oshpareniyDex
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 204
Re: Смена мака Cisco коммуататора
CrAlex, как? 
KOM-STAR
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 492
Re: Смена мака Cisco коммуататора
Я так понимаю, CrAlex имел ввиду поменять сами железки..
CrAlex
Зарегистрирован: 27 мар 2012, 21:37
Сообщения: 353
Re: Смена мака Cisco коммуататора
Точно и делается все достаточно быстро если сервис куплен
oshpareniyDex
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 204
Re: Смена мака Cisco коммуататора
ок. попробую решить так: вместо 4-коммутаторного стека сфарганю 2 2-коммутаторных, объединенных по etherchannel.
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4437
Re: Смена мака Cisco коммуататора
У меня стойкое ощущение, что это один и тот же коммутатор. Все цифры/буквы совпадают (кроме одной буквы в номере блока питания — это смущает).
Когда железку ставят в стек, информация о ней запоминается. Не получилось ли в данном случае так? МОжет «развалить» стек и собрать заново?
oshpareniyDex
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 204
Re: Смена мака Cisco коммуататора
Это разные коммутаторы. Факт.
Стек собирали по разному. Ломали и собирали. Сбрасывали в ноль и собирали. Расставляли приоритеты для мастера стека. Ничего не помогло. Лишь смена burned in мак адреса может решить вопрос или разнесение коммутаторов по разным стекам.
_2e_
Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Re: Смена мака Cisco коммуататора
oshpareniyDex писал(а):
Это разные коммутаторы. Факт.
Стек собирали по разному. Ломали и собирали. Сбрасывали в ноль и собирали. Расставляли приоритеты для мастера стека. Ничего не помогло. Лишь смена burned in мак адреса может решить вопрос или разнесение коммутаторов по разным стекам.
Попробовать кукисами в роммоне, если такая возможность есть в 3750. Только оригинальные сохранить не забыть. Но я б не рисковал — а то брикнешь каталистика.
Саша
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 138
Откуда: Хабаровск
Re: Смена мака Cisco коммуататора
to _2e_ не, через роммон нормально меняется, проверил на лабском 100mb, его не жалко
Заходим в rommon (мак 00:19:e8:a4:2e:80)
Код:
Boot Sector Filesystem (bs) installed, fsid: 2
Base ethernet MAC Address: 00:19:e8:a4:2e:80
Меняем переменную MAC_ADDR, не совсем понял почему циска не схавала нижеследующие варианты, в моем случаем методом проб и ошибок подобрал другой мак с нулями на конце)
Код:
switch: set
MAC_ADDR=00:19:E8:A4:2E:80
MODEL_NUM=WS-C3750-24TS-S
switch: MAC_ADDR=00:19:E8:A4:2E:81
The «MAC_ADDR» environment variable is not properly formatted.
It must be of the form «xx:xx:xx:xx:xx:xx», where «n»
is a hexadecimal digit.
Also, the last byte in the variable must be a multiple of 0x80
Can’t set variable «MAC_ADDR» to «00:19:E8:A4:2E:81».
switch: MAC_ADDR=00:19:E8:A4:2E:FF
Can’t set variable with illegal char «x1b) in name.
switch: MAC_ADDR=01:19:E8:A4:2E:80
The «MAC_ADDR» environment variable is not properly formatted.
It must be of the form «xx:xx:xx:xx:xx:xx», where «n»
is a hexadecimal digit.
Can’t set variable «MAC_ADDR» to «00:19:E8:A4:2E:80
switch: MAC_ADDR=00:19:E8:A4:2E:00
switch: set
MAC_ADDR=00:19:E8:A4:2E:00
MODEL_NUM=WS-C3750-24TS-S
Готово
Сохраняем:
Код:
switch: set_bs bs: rw
switch: set_param
Burning parameters into flash parameter block:
MAC address: 00:19:E8:A4:2E:00
Reading parameter block…done.
Editing copy…done.
Writing parameter block…done.
Parameters burned into parameter block.
И бутаемся
Цитата:
switch: reset
Are you sure you want to reset the system (y/n)?y
System resetting…
Boot Sector Filesystem (bs) installed, fsid: 2
Base ethernet MAC Address: 00:19:e8:a4:2e:00
Новый мак
oshpareniyDex
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 204
Re: Смена мака Cisco коммуататора
Большое спасибо. Уже пробую.
_2e_
Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Re: Смена мака Cisco коммуататора
Саша писал(а):
to _2e_ не, через роммон нормально меняется, проверил на лабском 100mb, его не жалко
[code]switch: set
MAC_ADDR=00:19:E8:A4:2E:80
А, ну так мак переменной задаётся, тогда без проблем. Чё-т я не задавался этим вопросом раньше — нужды не было.
oshpareniyDex
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 204
Re: Смена мака Cisco коммуататора
it works!!
Shoma
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 421
Re: Смена мака Cisco коммуататора
в hints добавьте -редкий и удивительный случай)
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4437
Re: Смена мака Cisco коммуататора
Могу ошибаться, но думаю, что примерно такую процедуру уже делали (меняли параметры) на данном комутере. Но в хинты добавлю — прикольно!
Contents
- Configuring the MAC Address Table
- Information About MAC Addresses
- Configuring MAC Addresses
- Configuring a Static MAC Address
- Configuring the Aging Time for the MAC Table
- Clearing Dynamic Addresses from the MAC Table
- Verifying the MAC Address Configuration
Configuring the MAC Address Table
All Ethernet interfaces on Cisco Nexus 5000 Series switches maintain media access control (MAC) address tables. This chapter describes the configuration of the MAC address tables. It includes the following sections:
- Information About MAC Addresses
- Configuring MAC Addresses
- Verifying the MAC Address Configuration
Information About MAC Addresses
To switch frames between LAN ports, the switch maintains an address table. When the switch receives a frame, it associates the media access control (MAcC) address of the sending network device with the LAN port on which it was received.
The switch dynamically builds the address table by using the MAC source address of the frames received. When the switch receives a frame for a MAC destination address not listed in its address table, it floods the frame to all LAN ports of the same VLAN except the port that received the frame. When the destination station replies, the switch adds its relevant MAC source address and port ID to the address table. The switch then forwards subsequent frames to a single LAN port without flooding all LAN ports.
You can also enter a MAC address, which is termed a static MAC address, into the table. These static MAC entries are retained across a reboot of the switch.
In addition, you can enter a multicast address as a statically configured MAC address. A multicast address can accept more than one interface as its destination.
The address table can store a number of unicast and multicast address entries without flooding any frames. The switch uses an aging mechanism, defined by a configurable aging timer, so if an address remains inactive for a specified number of seconds, it is removed from the address table.
Configuring MAC Addresses
Configuring a Static MAC Address
You can configure MAC addresses for the switch. These addresses are static MAC addresses.
 Note |
You can also configure a static MAC address in interface configuration mode or VLAN configuration mode. |
SUMMARY STEPS
1.
switch# configure terminal
2.
switch(config-)# mac-address-table static mac_address vlan vlan-id {drop | interface {type slot/port} | port-channel number} [auto-learn]
3.
(Optional) switch(config-)# no mac-address-table static mac_address vlan vlan-id
DETAILED STEPS
| Command or Action | Purpose | |
|---|---|---|
| Step 1 | switch# configure terminal |
Enters configuration mode.
|
| Step 2 | switch(config-)# mac-address-table static mac_address vlan vlan-id {drop | interface {type slot/port} | port-channel number} [auto-learn] |
Specifies a static address to add to the MAC address table. If you enable the auto-learn option, the switch will update the entry if the same MAC address is seen on a different port.
|
| Step 3 | switch(config-)# no mac-address-table static mac_address vlan vlan-id |
(Optional)
Deletes the static entry from the MAC address table.
|
This example shows how to put a static entry in the MAC address table:
switch# configure terminal
switch(config)# mac-address-table static 12ab.47dd.ff89 vlan 3 interface ethernet 2/1
You can use the mac-address-table static command to assign a static MAC address to a virtual interface.
Configuring the Aging Time for the MAC Table
You can configure the amount of time that an entry (the packet source MAC address and port that packet ingresses) remain in the MAC table.
Note |
You can also configure MAC aging time in interface configuration mode or VLAN configuration mode. |
SUMMARY STEPS
1.
switch# configure terminal
2.
switch(config)# mac-address-table aging-time seconds [vlan vlan_id]
DETAILED STEPS
| Command or Action | Purpose | |
|---|---|---|
| Step 1 | switch# configure terminal |
Enters configuration mode.
|
| Step 2 | switch(config)# mac-address-table aging-time seconds [vlan vlan_id] |
Specifies the time before an entry ages out and is discarded from the MAC address table. The range is from 0 to 1000000; the default is 300 seconds. Entering the value 0 disables the MAC aging. If a VLAN is not specified, the aging specification applies to all VLANs.
|
This example shows how to set the aging time for entries in the MAC address table to 600 seconds (10 minutes):
switch# configure terminal
switch(config)# mac-address-table aging-time 600
Clearing Dynamic Addresses from the MAC Table
You can clear all dynamic entries in the MAC address table.
|
Command |
Purpose |
|---|---|
| switch(config)# clear mac-address-table dynamic {address mac-addr} {interface [type slot/port | port-channel number} {vlan vlan-id} |
Clears the dynamic address entries from the MAC address table. |
This example shows how to clear the dynamic entries in the MAC address table:
switch# clear mac-address-table dynamic
Verifying the MAC Address Configuration
To display MAC address configuration information, perform one of these tasks:
|
Command |
Purpose |
|---|---|
| switch# show mac-address-table aging-time |
Displays the MAC address aging time for all VLANs defined in the switch. |
| switch# show mac-address-table |
Displays the contents of the MAC address table. |
This example shows how to display the MAC address table:
switch# show mac-address-table
VLAN MAC Address Type Age Port
---------+-----------------+-------+---------+------------------------------
1 0018.b967.3cd0 dynamic 10 Eth1/3
1 001c.b05a.5380 dynamic 200 Eth1/3
Total MAC Addresses: 2
This example shows how to display the current aging time:
switch# show mac-address-table aging-time
Vlan Aging Time
----- ----------
1 300
13 300
42 300
| Автор | Сообщение |
|---|---|
|
Заголовок сообщения: Как поменять MAC-адрес интерфейса коммутатора?
|
|
|
|
Для проекта виртуализации сетевой инфраструктуры требуются коммутаторы у которых есть поддержка VLAN и возможность сменить MAC-адрес Ethernet-интерфейса. Никто не знает такой модели? |
| Вернуться наверх |
|
 |
Добавлено: Вс апр 25, 2010 16:06 
|
Demin Ivan |
Заголовок сообщения:
|
|
|
У порта свитча нет MAC-адреса. У L2 свитча есть только один MAC-адрес, по сути управляющего интерфейса, у L3 свитча их некоторое кол-во. Может быть Вы про привязку определённого MAC-адреса к IP-интерфейсу свитча? |
| Вернуться наверх |
|
|
|
lumen |
Заголовок сообщения:
|
|
|
Цитата: Может быть Вы про привязку определённого MAC-адреса к IP-интерфейсу свитча? А можно привязать определённый MAC-адреса к IP-интерфейсу свитча? |
| Вернуться наверх |
|
|
|
Victor Soloviev |
Заголовок сообщения:
|
|
|
Вы имеете ввиду что бы иметь доступ на интерфейс коммутатора только с определённых MAC-адресов? |
| Вернуться наверх |
|
|
|
lumen |
Заголовок сообщения:
|
|
|
Нет, я имею ввиду на l3 коммутаторе созданные интерфейсы и менять на них мак адреса на нужные. |
| Вернуться наверх |
|
|
|
Victor Soloviev |
Заголовок сообщения:
|
|
|
|
| Вернуться наверх |
|
|
Содержание
- 1 MAC-адреса в коммутаторах
- 2 Реагирование на нарушение безопасности
- 3 Проверка на эмуляторе Cisco Packet Tracer
- 4 Очистить таблицу MAC и поднять порт
Начну с некоторого количества скучной теории. PortSecurity – функция коммутатора, позволяющая указать MAC-адреса устройств, которым позволено передавать данные через порт.
Используется для предотвращения:
- несанкционированной смены MAC-адреса сетевого устройства или подключения к сети;
- атак направленных на переполнение таблицы коммутации.
Настроив эту функцию, мы можем быть спокойны, что злоумышленник не выдернет патч-корд из розетки и подключится к нашей сети со своим ноутбуком. Коммутатор запретит ему передавать данные через свой порт. Сейчас мы попробуем разобраться, что это за функция и как её настроить.
MAC-адреса в коммутаторах
К сожалению, придётся мне перемежать практические наработки с теоретическими выкладками, но это сделано для того, чтобы у вас сложилось более чёткое понимание работы коммутатора. Приступим.
Коммутаторы поддерживают 3 типа разрешенных MAC-адресов:
- STATIC – статические. Задаются вручную, хранятся в конфигурации.
- DYNAMIC – динамические. Выучиваются во время работы коммутатора, стираются при перезагрузке.
- STICKY – коммутатор сам заучивает такие адреса и сохраняет в конфигурацию. После перезагрузки не стираются.
Все адреса сохраняются в таблицу MAC-адресов и могут быть просмотрены командной
#show mac-address-table [interface <интерфейс>]
Так, что у нас дальше? Ага. Режимы реагирования на нарушения безопасности. Что такое «нарушение безопасности»? Вообще, рассматриваются 2 ситуации:
- максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов и хост, чей MAC-адрес не записан в таблице адресов пытается получить доступ через интерфейс;
- адрес, выученный или настроенный как безопасный на одном интерфейсе, появился на другом безопасном интерфейсе в том же VLAN’е.
Чаще всего, конечно, возникает первая ситуация, т.е. неправомерный доступ к сети.
Реагирование на нарушение безопасности
Итак, три режима реагирования:
- protect — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
- restrict — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляется оповещение — отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter).
- shutdown — нарушение безопасности приводит к тому, что интерфейс переводится в состояние error-disabled и выключается немедленно, и выключается LED порта. Отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). Когда порт в состоянии error-disabled, вывести из этого состояния его можно введя команду errdisable recovery cause psecure-violation или вручную включить интерфейс введя в режиме настройки интерфейса shutdown и no shutdown.
По-умолчанию на всех портах включен режим shutdown.
Проверка на эмуляторе Cisco Packet Tracer
Ссылку на скачивание CPT можно найти в нашем файловом хранилище.
Ну что, рассмотрим ситуацию?
Входим в IOS коммутатора:
Switch>en
Switch#conf t
Switch(config)#interface fastethernet0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 3
Switch(config-if)#exit
Switch(config)#exit
Switch#write m
Убедимася, что Switch #sh run
Показывает
…
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security maximum 3
…
Настроили port-security. Проверяем таблицу MAC-адресов:
Switch#show mac-address-table interfaces fastEthernet 0/1
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
Ну правильно! Пусто. Откуда там взяться записям? Пингуем с одного хоста другой.
PC>ping 10.0.0.2
Pinging 10.0.0.2 with 32 bytes of data:
Reply from 10.0.0.2: bytes=32 time=20ms TTL=128
Reply from 10.0.0.2: bytes=32 time=8ms TTL=128
Reply from 10.0.0.2: bytes=32 time=6ms TTL=128
Reply from 10.0.0.2: bytes=32 time=8ms TTL=128
Ping statistics for 10.0.0.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 6ms, Maximum = 20ms, Average = 10ms
Повторяем на коммутаторе просмотр таблицы MAC-адресов:
Switch#sh mac-address-table int fa0/1
Mac Address Table
——————————————-
Vlan Mac Address Type Ports
—- ———– ——– —–
1 0090.213a.e000 STATIC Fa0/1
1 0090.213a.f000 DYNAMIC Fa1/1
Switch#
Добавилось 2 записи. Ну понятное дело, приём-передача. Это и есть 2 MAC-адреса наших хостов. Первая запись статичная – на этом порту устройство с этим адресом. А вторая динамичная – через этот порт проходил пакет по адресу назначения на порт Fa1/1.
А теперь делаем ход конём. Меняем MAC-адрес первого узла в настройках хоста. Повторяем пинг.
Switch#sh mac-address-table int fa0/1
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0090.213a.e000 STATIC Fa0/1
1 0090.213a.e001 STATIC Fa0/1
1 0090.213a.f000 DYNAMIC Fa1/1
Switch#
Ага. Добавилась новая статичная запись. Ой-ой-ой, внимательно. У нас же ограничение в 3 записи. Сменим MAC-адрес ещё 2 раза и что мы увидим в консоли:
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
Проверка простая:
Switch#show interfaces fastEthernet 0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)
…
Это значит, что порт отрубился в err-disabled. (так как мы оставили дефолтное shutdown). Ура-ура. Защита сработала!
Очистить таблицу MAC и поднять порт
Очистить таблицу MAC-адресов можно так:
Switch#clear port-security all
Поднять порт из err-disable можно разными способами, например
Switch(config-if)#shutdown
Switch(config-if)#no shutdown
Друзья! Вступайте в нашу группу Вконтакте, чтобы не пропустить новые статьи! Хотите сказать спасибо? Ставьте Like, делайте репост! Это лучшая награда для меня от вас! Так я узнаю о том, что статьи подобного рода вам интересны и пишу чаще и с большим энтузиазмом!
Также, подписывайтесь на наш канал в YouTube! Видео выкладываются весьма регулярно и будет здорово увидеть что-то одним из первых!
