01-MAC地址表配置
本章节下载: 01-MAC地址表配置 (438.17 KB)
目 录
1.7.2 配置当达到接口的MAC地址数学习上限时的报文转发规则
1.7.3 配置当达到VLAN的MAC地址数学习上限时的报文转发规则
1.9.3 在接口上关闭报文入接口与静态MAC地址表项匹配检查功能
MAC(Media Access Control,媒体访问控制)地址表记录了MAC地址与接口的对应关系,以及接口所属的VLAN等信息。设备在转发报文时,根据报文的目的MAC地址查询MAC地址表,如果MAC地址表中包含与报文目的MAC地址对应的表项,则直接通过该表项中的出接口转发该报文;如果MAC地址表中没有包含报文目的MAC地址对应的表项时,设备将采取广播方式通过对应VLAN内除接收接口外的所有接口转发该报文。
MAC地址表项的生成方式有两种:自动生成、手工配置。
一般情况下,MAC地址表由设备通过源MAC地址学习自动生成。设备学习MAC地址的过程如下:
· 从某接口(假设为接口A)收到一个数据帧,设备分析该数据帧的源MAC地址(假设为MAC-SOURCE),并认为目的MAC地址为MAC-SOURCE的报文可以由接口A转发。
· 如果MAC地址表中已经包含MAC-SOURCE,设备将对该表项进行更新。
· 如果MAC地址表中尚未包含MAC-SOURCE,设备则将这个新MAC地址以及该MAC地址对应的接口A作为一个新的表项加入到MAC地址表中。
为适应网络拓扑的变化,MAC地址表需要不断更新。MAC地址表中自动生成的表项并非永远有效,每一条表项都有一个生存周期,到达生存周期仍得不到刷新的表项将被删除,这个生存周期被称作老化时间。如果在到达生存周期前某表项被刷新,则重新计算该表项的老化时间。
设备通过源MAC地址学习自动生成MAC地址表时,无法区分合法用户和非法用户的报文,带来了安全隐患。如果非法用户将攻击报文的源MAC地址伪装成合法用户的MAC地址,并从设备的其他接口进入,设备就会学习到错误的MAC地址表项,于是将本应转发给合法用户的报文转发给非法用户。
为了提高安全性,网络管理员可手工在MAC地址表中加入特定MAC地址表项,将用户设备与接口绑定,从而防止非法用户骗取数据。
MAC地址表项分为以下几种:
· 静态MAC地址表项:由用户手工配置,用于目的是某个MAC地址的报文从对应接口转发出去,表项不老化。静态MAC地址表项优先级高于自动生成的MAC地址表项。
· 动态MAC地址表项:可以由用户手工配置,也可以由设备通过源MAC地址学习自动生成,用于目的是某个MAC地址的报文从对应接口转发出去,表项有老化时间。手工配置的动态MAC地址表项优先级等于自动生成的MAC地址表项。
· 黑洞MAC地址表项:由用户手工配置,用于丢弃源MAC地址或目的MAC地址为指定MAC地址的报文(例如,出于安全考虑,可以禁止某个用户发送和接收报文),表项不老化。黑洞MAC地址表项优先级高于自动生成的MAC地址表项。
· 多端口单播MAC地址表项:由用户手工配置,用于目的是某个单播MAC地址的报文从多个接口复制转发出去,表项不老化。多端口单播MAC地址表项优先级高于自动生成的MAC地址表项。
静态MAC地址表项、黑洞MAC地址表项和多端口单播MAC地址表项不会被动态MAC地址表项覆盖,而动态MAC地址表项可以被静态MAC地址表项和黑洞MAC地址表项覆盖。静态MAC地址表项、黑洞MAC地址表项和多端口单播MAC地址表项不会彼此覆盖。
多端口单播MAC地址表项不影响对应MAC地址的动态学习,对于同一MAC地址,多端口单播MAC地址表项和动态MAC地址表项可以同时存在,优先根据多端口单播MAC地址转发报文。
本章不涉及静态组播MAC地址表项。有关静态组播MAC地址表项的相关介绍和配置内容,请参见“IP组播配置指导”中的“IGMP Snooping”。
本章中的所有配置均为可选,请根据实际情况选择配置。
· 配置MAC地址学习功能
配置MAC地址表项后,当设备收到的报文的源MAC地址与配置表项中的MAC地址相同时,不同类型的MAC地址表项处理方式不同。
表1-1 不同类型MAC地址表项对源MAC地址匹配报文的处理方式
MAC地址表项类型 |
报文源MAC地址与配置表项中的MAC地址相同 |
静态MAC地址表项 |
不检查报文入接口与表项中的接口是否相同,直接根据目的MAC地址转发该报文 |
多端口单播MAC地址表项 |
进行MAC地址学习,生成动态MAC地址表项,但仅多端口单播MAC地址表生效 |
黑洞MAC地址表项 |
丢弃该报文 |
动态MAC地址表项 |
· 如果报文入接口与该表项中的接口不同,则进行MAC地址学习,并覆盖该表项 · 如果报文入接口与该表项中的接口相同,则转发该报文,并更新该表项老化时间 |
在手工配置动态MAC地址表项时,如果MAC地址表中已经存在MAC地址相匹配的自动生成表项,但该表项的接口与配置不符,那么该手工配置失败。
如果不保存配置,设备重启后所有手工配置的MAC地址表项都会丢失;如果保存配置,设备重启后手工配置的静态MAC地址表项、黑洞MAC地址表项和多端口单播MAC地址表项不会丢失,手工配置的动态MAC地址表项会丢失。
手工配置MAC地址表项时,必须先创建指定接口所属的VLAN,否则配置失败。
(1) 进入系统视图。
system-view
(2) 添加或者修改静态/动态MAC地址表项。
mac-address { dynamic | static } mac-address interface interface-type interface-number vlan vlan-id
缺省情况下,未配置静态/动态MAC地址表项。
interface参数指定的接口必须属于vlan-id参数指定的VLAN。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 在接口下添加或者修改静态/动态MAC地址表项。
mac-address { dynamic | static } mac-address vlan vlan-id
缺省情况下,接口下未配置静态/动态MAC地址表项。
当前接口必须属于vlan-id参数指定的VLAN。
(1) 进入系统视图。
system-view
(2) 添加或者修改黑洞MAC地址表项。
mac-address blackhole mac-address vlan vlan-id
缺省情况下,未配置黑洞MAC地址表项。
网络管理员可手工配置多端口单播MAC地址表项,将多个端口和单播MAC地址绑定,以实现目的地址匹配该MAC地址的报文通过多个端口复制转发出去。例如,如图1-1在NLB(Network Load Balancing,网络负载均衡)集群的单播模式下,所有服务器使用一个共同的MAC地址(该MAC地址为集群MAC地址),发往集群MAC地址的报文要求发送到每一台服务器,这时可以在连接服务器组的设备上配置多端口单播MAC地址表项,把客户端发往服务器组的报文从所有连接服务器的端口转发出去。
图1-1 NLB集群
(1) 进入系统视图。
system-view
(2) 配置多端口单播MAC地址表项。
mac-address multiport mac-address interface interface-list vlan vlan-id
缺省情况下,未配置多端口单播MAC地址表项。
interface参数指定的接口必须属于vlan-id参数指定的VLAN。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 配置接口加入多端口单播MAC地址表项。
mac-address multiport mac-address vlan vlan-id
缺省情况下,接口下未配置多端口单播MAC地址表项。
当前接口必须属于vlan-id参数指定的VLAN。
当网络拓扑改变后,如果动态MAC地址表项不及时更新,会导致用户流量不能正常转发。配置动态MAC地址表项的老化时间后,超过老化时间的动态MAC地址表项会被自动删除,设备将重新进行MAC地址学习,构建新的动态MAC地址表项。
用户配置的老化时间过长或者过短,都可能影响设备的运行性能:
· 如果用户配置的老化时间过长,设备可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致设备无法根据网络的变化更新MAC地址表。
· 如果用户配置的老化时间太短,设备可能会删除有效的MAC地址表项,导致设备广播大量的数据报文,增加网络的负担。
用户需要根据实际情况,配置合适的老化时间。如果网络比较稳定,可以将老化时间配置得长一些或者配置为不老化;否则,可以将老化时间配置得短一些。比如在一个比较稳定的网络,如果长时间没有流量,动态MAC地址表项会被全部删除,可能导致设备突然广播大量的数据报文,造成安全隐患,此时可将动态MAC地址表项的老化时间设得长一些或不老化,以减少广播,增加网络稳定性和安全性。
动态MAC地址表项的老化时间作用于全部接口上。
(1) 进入系统视图。
system-view
(2) 配置动态MAC地址表项的老化时间。
mac-address timer { aging seconds | no-aging }
缺省情况下,动态MAC地址表项的老化时间为300秒。
缺省情况下,MAC地址学习功能处于开启状态。有时为了保证设备的安全,需要关闭MAC地址学习功能。常见的危及设备安全的情况是:非法用户使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽,造成设备无法根据网络的变化更新MAC地址表。关闭MAC地址学习功能可以有效防止这种攻击。
关闭MAC地址学习功能后,已经存在的动态MAC地址表项会被立即删除。
用户可以关闭设备上单个接口的MAC地址学习功能。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 关闭接口的MAC地址学习功能。
undo mac-address mac-learning enable
缺省情况下,接口的MAC地址学习功能处于开启状态。
如图1-2所示,某公司的多个部门分散在不同的楼层中,并且用VLAN划分不同的部门,使得同一部门的用户之间可以互相通信,不同部门的用户之间互相隔离。经过一段时间后,网络已经固定,为了节约核心设备的MAC地址表项资源,同时防止外部对公司网络的访问,可以在Device A和Device B上关闭除VLAN 2、VLAN 3和VLAN 10以外其他VLAN的MAC地址学习功能。
图1-2 关闭VLAN的MAC地址学习功能组网图
用户可以关闭设备上指定VLAN的MAC地址学习功能。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 关闭VLAN的MAC地址学习功能。
undo mac-address mac-learning enable
缺省情况下,VLAN的MAC地址学习功能处于开启状态。
手工配置的动态MAC地址表项也计入接口/VLAN学习到的MAC地址数。手工配置动态MAC地址表项时,不受配置的MAC地址数学习上限的限制。
通过配置接口的MAC地址数学习上限,用户可以控制设备维护的MAC地址表的表项数量。如果MAC地址表过于庞大,可能导致设备的转发性能下降。当接口学习到的MAC地址数达到上限时,该接口将不再对MAC地址进行学习。
配置接口的MAC地址数学习上限和以下功能冲突,不允许同时配置:
· 配置VLAN的MAC地址学习上限。
· 端口安全。有关端口安全的详细介绍,请参见“安全配置指导”中的“端口安全”。
· MAC地址认证。有关MAC地址认证的详细介绍,请参见“安全配置指导”中的“MAC地址认证”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 配置接口的MAC地址数学习上限。
mac-address max-mac-count count
缺省情况下,接口的MAC地址数学习上限仅受硬件能力限制。
通过配置VLAN的MAC地址数学习上限,用户可以控制设备为某个VLAN维护的MAC地址表项数量。如果MAC地址表过于庞大,可能导致设备的转发性能下降。当VLAN学习到的MAC地址条数达到上限时,该VLAN将不再对MAC地址进行学习。
配置VLAN的MAC地址数学习上限和配置接口的MAC地址数学习上限功能冲突,不允许同时配置。
VLAN学习语音报文的MAC地址时,不受本功能限制。有关语音报文的详细介绍,请参见“二层技术-以太网交换配置指导”中的“Voice VLAN”。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 配置VLAN的MAC地址数学习上限。
mac-address max-mac-count count
缺省情况下,VLAN的MAC地址数学习上限仅受硬件能力限制。
当学习到的MAC地址数达到上限时,用户可以选择是否允许系统转发源MAC不在MAC地址表里的报文。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 配置当达到接口的MAC地址数学习上限时,允许转发源MAC地址不在MAC地址表里的报文。
mac-address max-mac-count enable-forwarding
缺省情况下,当达到接口的MAC地址数学习上限时,允许转发源MAC地址不在MAC地址表里的报文。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 配置当达到VLAN的MAC地址数学习上限时,允许转发源MAC地址不在MAC地址表里的报文。
mac-address max-mac-count enable-forwarding
缺省情况下,当达到VLAN的MAC地址数学习上限时,允许转发源MAC地址不在MAC地址表里的报文。
MAC地址迁移是指:设备从某接口(假设接口A)学习到某MAC地址,之后从另一接口(假设接口B)接收到了以该MAC地址为源MAC地址的报文,且接口B与接口A所属的VLAN相同,则该MAC地址表项的出接口改为接口B,此时认为该MAC地址从接口A迁移到接口B。
如果MAC地址迁移频繁出现,且同一MAC地址总是在特定的两个接口之间迁移,那么网络中可能存在二层环路。可以通过display mac-address mac-move命令查看MAC地址迁移记录,发现和定位环路。
当监测到某端口频繁迁移时,用户可以通过配置MAC地址迁移抑制功能,使频繁迁移的端口down,一定时间后该端口将自行恢复up,或者用户通过手动方式将该端口up。
配置mac-address notification mac-move命令后,系统采用Syslog方式上报MAC地址迁移信息到信息中心模块,如果同时通过snmp-agent trap enable mac-address命令开启MAC地址表的告警功能,系统还会采用Trap信息上报MAC地址迁移信息到SNMP模块。
(1) 进入系统视图。
system-view
(2) 开启MAC地址迁移上报功能。
mac-address notification mac-move [ interval interval ]
缺省情况下,MAC地址迁移上报功能处于关闭状态。
(3) (可选)配置MAC地址迁移抑制功能的相关参数。
mac-address notification mac-move suppression { interval interval | threshold threshold }
缺省情况下,MAC地址迁移抑制时间间隔为30秒、阈值为3次。
配置本命令后,当接口上开启了MAC地址迁移抑制功能时,本命令配置的参数才能生效。
(4) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(5) 开启接口上的MAC地址迁移抑制功能。
mac-address notification mac-move suppression
缺省情况下,MAC地址迁移抑制功能处于关闭状态。
缺省情况下,报文入接口与静态MAC地址表项匹配检查功能处于开启状态。此时,设备会将接收到的报文的源MAC地址与静态MAC地址表项进行匹配。如果存在MAC地址与报文的源MAC相同的表项,但表项的出接口不是接收报文的端口,设备会丢弃该报文。
关闭报文入接口与静态MAC地址表项匹配检查功能后,设备不进行上述检查,即使存在上述类型的静态MAC地址表项,也会转发报文。
对于源MAC地址是VLAN接口的MAC地址的流量,需要在对应VLAN所在的二层接口上关闭报文入接口与静态MAC地址表项匹配检查功能才能转发该流量。
接口关闭报文入接口与静态MAC地址表项匹配检查功能后,不支持802.1X和MAC地址认证功能,也不支持达到接口的MAC地址数学习上限时丢弃源MAC地址不在MAC地址表里的报文(undo mac-address max-mac-count enable-forwarding)。关于802.1X和MAC地址认证功能的介绍,请参见“安全配置指导”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
¡ 进入三层以太网接口。
interface interface-type { interface-number | interface-number.subnumber }
¡ 进入IRF物理端口视图。
interface interface-type interface-number
(3) 在接口上关闭报文入接口与静态MAC地址表项匹配检查功能。
undo mac-address static source-check enable
缺省情况下,接口上的报文入接口与静态MAC地址表项匹配检查功能处于开启状态。
开启MAC地址表的告警功能后,MAC地址表模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,请通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。
关闭MAC地址表的告警功能后,设备将只发送日志信息到信息中心模块,此时请配置信息中心的输出规则和输出方向来查看MAC地址表模块的日志信息。
有关SNMP和信息中心的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”和“信息中心”。
(1) 进入系统视图。
system-view
(2) 开启MAC地址表的告警功能。
snmp-agent trap enable mac-address [ mac-move ]
缺省情况下,MAC地址表的告警功能处于开启状态。
当MAC地址表的告警功能关闭后,将采用Syslog方式上报信息。
在M-LAG组网环境中开启本功能后,M-LAG设备在进行报文转发时,若未在本设备的MAC地址表中找到报文目的MAC地址对应的表项,则可向M-LAG系统中的另一台成员设备请求相应的MAC地址表项,以实现报文的正常转发。有关M-LAG的详细介绍及相关配置,请参见“二层技术-以太网交换配置指导”中的“M-LAG”。
在非M-LAG系统中配置本功能时,本功能不生效。
(1) 进入系统视图。
system-view
(2) 开启M-LAG系统成员设备MAC地址表项获取功能。
mac-address m-lag forwarding-conversational-learning
缺省情况下,M-LAG系统成员设备MAC地址表项获取功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后MAC地址表的运行情况,通过查看显示信息验证配置的效果。
表1-2 MAC地址表显示和维护
操作 |
命令 |
显示MAC地址表信息 |
display mac-address [ mac-address [ vlan vlan-id ] | [ [ dynamic | static ] [ interface interface-type interface-number ] | blackhole | multiport ] [ vlan vlan-id ] [ count ] ] |
显示MAC地址表动态表项的老化时间 |
display mac-address aging-time |
显示MAC地址学习功能的开启状态 |
display mac-address mac-learning [ interface interface-type interface-number ] |
显示MAC地址迁移记录 |
(独立运行模式) display mac-address mac-move [ slot slot-number ] (IRF模式) display mac-address mac-move [ chassis chassis-number slot slot-number ] |
显示MAC地址表的统计信息 |
display mac-address statistics |
· 现有一台用户主机,它的MAC地址为000f-e235-dc71,属于VLAN 1,连接Device的端口Ten-GigabitEthernet3/0/1。为防止假冒身份的非法用户骗取数据,在设备的MAC地址表中为该用户主机添加一条静态表项。
· 另有一台用户主机,它的MAC地址为000f-e235-abcd,属于VLAN 1。由于该用户主机曾经接入网络进行非法操作,为了避免此种情况再次发生,在设备上添加一条黑洞MAC地址表项,使该用户主机接收不到报文。
· 配置设备的动态MAC地址表项老化时间为500秒。
图1-3 MAC地址表基本功能配置组网图
# 增加一个静态MAC地址表项,目的地址为000f-e235-dc71,出接口为Ten-GigabitEthernet3/0/1,且该接口属于VLAN 1。
<Device> system-view
[Device] mac-address static 000f-e235-dc71 interface ten-gigabitethernet 3/0/1 vlan 1
# 增加一个黑洞MAC地址表项,地址为000f-e235-abcd,属于VLAN 1。
[Device] mac-address blackhole 000f-e235-abcd vlan 1
# 配置动态MAC地址表项的老化时间为500秒。
[Device] mac-address timer aging 500
# 查看端口Ten-GigabitEthernet3/0/1上的静态MAC地址表项信息。
[Device] display mac-address static interface ten-gigabitethernet 3/0/1
MAC Address VLAN ID State Port/Nickname Aging
000f-e235-dc71 1 Static XGE3/0/1 N
# 查看黑洞MAC地址表信息。
[Device] display mac-address blackhole
MAC Address VLAN ID State Port/Nickname Aging
000f-e235-abcd 1 Blackhole N/A N
# 查看动态MAC地址表项的老化时间。
[Device] display mac-address aging-time
MAC address aging time: 500s.
由于MAC地址能唯一标识一个网络用户,MAC Information功能通过监控接口学习和删除MAC地址表项,可以对用户加入和离开网络进行跟踪。具体机制为:当接口学习到一条新的MAC地址表项或删除一条已有MAC地址表项时,设备会将该MAC地址变化信息写入缓冲队列。当设定的发送MAC变化通知的时间间隔到期,设备立即发送记录了MAC地址变化信息的日志或SNMP告警信息。信息接收端通过对日志或SNMP告警信息进行分析,实现对网络中的用户进行监控,同时为分析网络的使用情况提供依据。
必须同时开启全局和接口的MAC Information功能,MAC Information功能才会生效。
(1) 进入系统视图。
system-view
(2) 开启全局MAC Information功能。
mac-address information enable
缺省情况下,全局MAC Information功能处于关闭状态。
(3) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
(4) 开启接口的MAC Information功能。
mac-address information enable { added | deleted }
缺省情况下,接口的MAC Information功能处于关闭状态。
发送MAC变化通知的方式有两种:
· Syslog方式:通过发送日志信息通知MAC地址的变化。采用该方式时,日志信息会被发送到设备的信息中心,由信息中心发送到监控终端。有关信息中心的详细介绍及相关配置,请参见“网络管理和监控配置指导”中的“信息中心”。
· Trap方式:通过发送SNMP告警信息通知MAC地址的变化。采用该方式时,需要通过SNMP将SNMP告警信息发送到NMS。有关SNMP的详细介绍及相关配置,请参见“网络管理和监控配置指导”中的“SNMP”。
(1) 进入系统视图。
system-view
(2) 配置发送MAC变化通知的方式。
mac-address information mode { syslog | trap }
缺省情况下,采用Trap方式发送MAC变化通知。
为了防止过于频繁地发送MAC变化通知干扰用户,用户可以修改发送MAC变化通知的时间间隔。
(1) 进入系统视图。
system-view
(2) 配置发送MAC变化通知的时间间隔。
mac-address information interval interval-time
缺省情况下,发送MAC变化通知的时间间隔为1秒。
MAC Information缓存队列长度是否为0对应着不同的处理方式:
· 如果MAC Information缓存队列长度为0,则当接口学习到或删除一条MAC地址表项时会立即发送日志或SNMP告警信息。
· 如果MAC Information缓存队列长度不为0,则将MAC地址变化信息存放在缓存队列中。当未达到发送MAC变化通知的时间间隔,此时若缓存队列被写满,新的MAC地址变化信息将覆盖缓存队列中最后一条写入的信息;当达到发送MAC变化通知的时间间隔时,不论此时缓存队列是否已被写满,都发送日志或SNMP告警信息。
(1) 进入系统视图。
system-view
(2) 配置MAC Information缓存队列长度。
mac-address information queue-length value
缺省情况下,MAC Information缓存队列长度为50。
· Host A与远端服务器Server通过Device相连。
· 在Device的端口Ten-GigabitEthernet3/0/1上开启MAC Information功能,Device将端口Ten-GigabitEthernet3/0/1上的MAC地址添加或删除信息利用Syslog方式通过端口Ten-GigabitEthernet3/0/2发送给日志主机Host B,Host B可以对接收到的日志信息进行分析。
图2-1 MAC Information基本功能配置组网图
(1) 配置Device可以将日志信息发送到Host B
# 开启信息中心。
<Device> system-view
[Device] info-center enable
# 配置发送日志信息到IP地址为192.168.1.2/24的日志主机,日志主机记录工具为local4。
[Device] info-center loghost 192.168.1.2 facility local4
# 关闭loghost方向所有模块日志信息的输出开关。
[Device] info-center source default loghost deny
由于系统对各方向允许输出的日志信息的缺省情况不一样,所以配置前必须将所有模块指定方向(本例为loghost)上日志信息的输出开关关闭,再根据当前的需求配置输出规则,以免输出太多不需要的信息。
# 配置输出规则:允许MAC地址表模块的、等级高于等于informational的日志信息输出到日志主机。
[Device] info-center source mac loghost level informational
(2) 使用Unix操作系统的日志主机Host B上的配置
第一步:以超级用户的身份登录日志主机。
第二步:在/var/log/路径下为Device创建同名日志文件夹Device,在该文件夹创建文件info.log,用来存储来自Device的日志。
# mkdir /var/log/Device
# touch /var/log/Device/info.log
第三步:编辑/etc/路径下的文件syslog.conf,添加以下内容。
# Device configuration messages
local4.info /var/log/Device/info.log
以上配置中,local4表示日志主机接收日志的工具名称,info表示信息等级。Unix系统会把等级高于等于informational的日志记录到/var/log/Device/info.log文件中。
在编辑/etc/syslog.conf时应注意以下问题:
· 注释必须独立成行,并以字符#开头。
· 在文件名之后不得有多余的空格。
· /etc/syslog.conf中指定的工具名称及信息等级与Device上info-center loghost和info-center source命令的相应参数的指定值要保持一致,否则日志信息可能无法正确输出到日志主机上。
第四步:查看系统守护进程syslogd的进程号,中止syslogd进程,并重新用-r选项在后台启动syslogd,使修改后配置生效。
# ps -ae | grep syslogd
147
# kill -HUP 147
# syslogd -r &
进行以上操作之后,Device的日志信息会输出到Host B,Host B会将这些日志信息存储到相应的文件中了。
(3) 配置MAC Information功能
# 开启全局MAC Information功能。
[Device] mac-address information enable
# 配置采用Syslog方式发送MAC变化通知。
[Device] mac-address information mode syslog
# 开启端口Ten-GigabitEthernet3/0/1的MAC Information功能,使该接口在学习到和删除MAC地址时记录MAC变化信息。
[Device] interface ten-gigabitethernet 3/0/1
[Device-Ten-GigabitEthernet3/0/1] mac-address information enable added
[Device-Ten-GigabitEthernet3/0/1] mac-address information enable deleted
[Device-Ten-GigabitEthernet3/0/1] quit
# 配置MAC Information缓存队列长度为100。
[Device] mac-address information queue-length 100
# 配置发送MAC变化通知的时间间隔为20秒。
[Device] mac-address information interval 20
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!