一、 現象：MAC地址飄移

關于mac地址飄移，在網上查找并總結后，歸納可能為以下七種情況：

1、可能存在環路；

2、可能VRRP、HSRP等協議不正常引起。比如設備主備頻繁切換，導致交換機學習同一mac地址飄移；

3、可能至少兩臺終端MAC地址相同，這樣的情況不影響其他用戶端；

4、是用戶端換了網線，而兩個網線接口不在同一臺交換機上，mac會記憶一段時間，之后一切恢復正常；

5、H3C交換機開啟STP功能后，CISCO設備可能出現報告MAC地址移動的現象，如果網絡中不存在環路，該現象不影響業務。

6、再多加一種：可能arp欺詐、***，導致不同端口學習到同一真實或欺詐的mac地址，此結論未驗證。

7、因為無線用戶漫游，導致的MAC地址漂移告警。正常現象，對業務無影響。

二、 查看mac地址飄移信息

查看mac地址表display mac-address的時候，發現有些mac地址一會兒從接口1上學到，一會兒從接口2上學到。

1、對于H3C的設備

方法一：

對于H3C的設備，可收集診斷信息(display diag)查看L2MACMOVEMODULE INFO，這里記錄已存在著的mac地址飄移信息，對應port mapping可查看端口對照。(H3C的錘子會幫忙統計出是否有mac地址飄移

)

示例(如下為診斷信息里相關部分內容)：

=============================================================

===============debug l2 3 0 mac/move_rec/show===============

==========================================================

===============L2MACMOVEMODULE INFO=======================

L2MacMoveModule Enabled

L2MacMoveDebug Switch Off

=================L2MACMOVE Record INFO===============

MacAddress??? ? Vlan ?Agg Mod Port ?->Agg Mod Port Cnt LatestTime?????? Del

ec:a8:6b:69:f5:bb? 11?? 0? 8?? 18?? ->0?? 10? 1??? 156 2015/1 /29 13:16:49 1

f8:f :41:71:b9:15? ?11?? 0?? 10? 0??? ->0?? 10? 1??? 116 2015/1 /29 13:21:36 1

f8:f :41:71:b9:15? ?11?? 0?? 10? 1 ???->0?? 10? 0??? 115 2015/1 /29 13:21:40 1

如上，標紅色的表示飄移的端口，對應物理端口可查看port mapping(注：光電利用combo口Port和MID是一樣的)。

其中，上表(L2MACMOVE Record INFO)中的Mod對應下表(port mapping)的[MID]；

上表(L2MACMOVE Record INFO)中的Port對應下表(port mapping)的[Port]。由此可以查找出哪些端口存在mac飄移。

========================================================

===============debug port mapping 2===============

========================================================

[Interface]?? [Unit]? [Port]? [Name][Combo?][Active?]? [IfIndex] [MID]? [Link] [Attr]

===============================================================================

GE2/0/1??????? 0??? 1??? ge1??? yes?????? no??? 0x1100000? 8 ??down Bridge

GE2/0/2??????? 0???? 0 ???ge0??? yes?????? no??? 0x1100001? 8 ??down Bridge

GE2/0/3??????? 0???? 3 ???ge3??? yes?????? no??? 0x1100002? 8 ??down Bridge

GE2/0/4??????? 0???? 2 ???ge2??? yes?????? no??? 0x1100003? 8 ??down Bridge

GE2/0/5??????? 0???? 1 ???ge1??? yes?????? yes?? 0x1100004? 8 ??down Bridge

GE2/0/6??????? 0???? 0 ???ge0??? yes?????? yes?? 0x1100005? 8 ??down Bridge

GE2/0/7??????? 0???? 3 ???ge3??? yes?????? yes?? 0x1100006? 8 ??down Bridge

GE2/0/8??????? 0???? 2 ???ge2??? yes?????? yes?? 0x1100007? 8 ??down Bridge

GE2/0/9??????? 0???? 5 ???ge5??? no??????? no??? 0x1100008? 8 ??down Bridge

GE2/0/10?????? 0???? 4 ???ge4??? no??????? no??? 0x1100009? 8 ??down Bridge

GE2/0/11?????? 0???? 7 ??ge7??? no??????? no??? 0x110000a? 8 ??down Bridge

GE2/0/12?????? 0???? 6 ???ge6??? no??????? no??? 0x110000b? 8 ??down Bridge

GE2/0/13?????? 0???? 9 ???ge9??? no??????? no??? 0x110000c? 8 ??down Bridge

GE2/0/14?????? 0???? 8 ???ge8??? no??????? no??? 0x110000d? 8 ??up?? Bridge

GE2/0/15?????? 0???? 11 ??ge11?? no??????? no??? 0x110000e? 8 ??down Bridge

GE2/0/16?????? 0???? 10?? ge10?? no??????? no??? 0x110000f? 8 ??down Bridge

GE2/0/17 ??????0???? 13?? ge13?? no??????? no??? 0x1100010? 8 ??down Bridge

GE2/0/18?????? 0???? 12?? ge12?? no??????? no??? 0x1100011? 8 ??down Bridge

GE2/0/19?????? 0???? 15?? ge15?? no??????? no??? 0x1100012? 8 ??down Bridge

GE2/0/20?????? 0???? 14?? ge14 ??no??????? no??? 0x1100013? 8 ??down Bridge

GE2/0/21?????? 0???? 17?? ge17?? no??????? no??? 0x1100014? 8 ??down Bridge

GE2/0/22?????? 0???? 16?? ge16?? no??????? no??? 0x1100015? 8 ??up?? Bridge

GE2/0/23?????? 0???? 19?? ge19?? no??????? no??? 0x1100016? 8 ??down Bridge

GE2/0/24?????? 0???? 18?? ge18?? no??????? no??? 0x1100017? 8 ??up?? Bridge

GE2/0/25?????? 0???? 21?? ge21?? no??????? no??? 0x1100018? 8 ??down Bridge

GE2/0/26?????? 0???? 20?? ge20?? no??????? no??? 0x1100019? 8 ??down Bridge

GE2/0/27?????? 0???? 23?? ge23?? no??????? no??? 0x110001a? 8 ??up?? Bridge

GE2/0/28?????? 0???? 22?? ge22?? no??????? no??? 0x110001b? 8 ??down Bridge

--------------------------------------------------

MEth0/0/0:

Ifindex = 0x0

ModID = 0

Port = 0

========================================================

===============debug port mapping 3===============

========================================================

[Interface]?? ??[Unit]? [Port][Name][Combo?] [Active?]?? [IfIndex] ?[MID][Link] [Attr]

===============================================================================

GE3/0/1??????? 0???? 0 ???ge0??? no??????? no??? 0x1900000? 10?? up?? Bridge

GE3/0/2??????? 0???? 1 ???ge1??? no??????? no??? 0x1900001? 10?? up?? Bridge

GE3/0/3??????? 0??? ?2 ???ge2??? no??????? no??? 0x1900002? 10?? up?? Bridge

GE3/0/4??????? 0???? 3 ???ge3??? no??????? no??? 0x1900003? 10?? down Bridge

GE3/0/5??????? 0???? 4 ???ge4??? no??????? no??? 0x1900004? 10?? down Bridge

GE3/0/6??????? 0???? 5 ???ge5??? no?????? ?no??? 0x1900005? 10?? down Bridge

GE3/0/7??????? 0???? 6 ???ge6??? no??????? no??? 0x1900006? 10?? down Bridge

GE3/0/8??????? 0???? 7 ???ge7??? no??????? no??? 0x1900007? 10?? down Bridge

GE3/0/9??????? 0???? 8 ???ge8??? no??????? no??? 0x1900008? 10? ?down Bridge

GE3/0/10?????? 0???? 9 ???ge9??? no??????? no??? 0x1900009? 10?? down Bridge

GE3/0/11?????? 0???? 10?? ge10?? no??????? no??? 0x190000a? 10?? down Bridge

GE3/0/12?????? 0???? 11?? ge11?? no??????? no??? 0x190000b? 10?? down Bridge

--------------------------------------------------

MEth0/0/0:

Ifindex = 0x0

ModID = 0

Port = 0

--------------------------------------------------

如上的f8:f :41:71:b9:15? ?11?? 0?? 10? 0??? ->0?? 10? 1 表示G3/0/1與G3/0/2存在mac地址飄移，極可能存在環路。

方法二：display mac-address mac-move

display mac-address mac-move

-------------------slot 1 MAC address moving information----------------

MAC address??? VLAN Current port? Source port?? Last time????????????? Times

0cda-411d-6478?? 10???? GE1/0/14????? GE1/0/2?? 2011-02-14 00:06:43??????? 1

---? 1 MAC address moving records found? ---

方法三：

terminal monitor

terminal trapping

如果存在mac地址飄移，可以查看得到告警信息

display trapbuffer 可以查看告警的緩存信息

2、對于思科cisco設備

思科設備會跳出提示，以下為CISCO 3750 mac飄移(flapping)提示信息：

3750-edit#

1w2d: %SW_MATM-4-MACFLAP_NOTIF: Host a601.0000.0000 in vlan 23 is flapping betwe

en port Gi1/0/2 and port Gi1/0/1

3750-edit#

1w2d: %SW_MATM-4-MACFLAP_NOTIF: Host a601.0000.0000 in vlan 23 is flapping betwe

en port Gi1/0/2 and port Gi1/0/1

3750-edit#

1w2d: %SW_MATM-4-MACFLAP_NOTIF: Host a601.0000.0000 in vlan 23 is flapping betwe

en port Gi1/0/2 and port Gi1/0/1

3、對于華為設備

【交換機在江湖之維護寶典】第十一章 了解MAC地址漂移的前因后果

各位大俠，小編又來啦！當你在設備上敲入命令后，設備如蝸牛般反應遲鈍，并時不時的打印出MAC地址漂移的告警信息時，是不是很郁悶呀。莫急莫急，小編這就教各位大俠了解一下MAC地址漂移的前因后果，輕松搞定二層網絡中最常見的MAC地址漂移告警。

首先什么是MAC地址漂移呢？

MAC地址漂移是指：在同一個VLAN內，一個MAC地址有兩個出接口，并且后學習到的出接口覆蓋原出接口的現象。這是官方定義，通俗的講，MAC地址漂移指的是MAC地址表項的出接口發生了變更。到底什么意思呢？看了下圖就明白了。

MAC地址漂移會有什么影響？

?上網響應慢！！

?上網無響應！！

?視頻卡著不能動！！

看了這些，是不是很揪心呀，生活沒有激情了。這些都可能是MAC地址漂移，組網設備成環導致的。只要解決MAC地址漂移，破除組網中的環路，這些討厭的畫面就會自動消失的。

為什么會有MAC地址漂移呢？

如上圖，正常情況下，PC的報文通過Port1進入Switch后，會從Port3轉發出去，MAC地址表項學習到的出接口是Port1。但是當Switch、Switch1和Swtich2三臺設備之間存在環路時，PC的報文通過Switch2----->Switch1后，又會通過Port2進入Switch，導致MAC地址表項的出接口更新為Port2，從而就會產生MAC地址漂移告警。由此可見MAC地址發生漂移的根本原因就是組網中存在二層環路。

怎么判斷設備上是否存在MAC地址漂移呢？

?方法1：在打開終端顯示和MAC地址漂移告警開關情況下，在設備產生MAC地址漂移告警時，就會打印出如下告警信息。并且會間隔一段時間多次打印喲。

?方法2：在打開MAC地址漂移告警開關時，通過命令display trapbuffer查看告警的緩存信息，判斷設備上是否存在MAC地址漂移。

?方法3：在打開MAC地址漂移檢測功能時，通過命令display mac-address flapping record查看最近一個月MAC地址漂移的信息。記錄的信息包括：MAC地址漂移發生的開始時間和結束時間，發生MAC地址漂移的VLAN和MAC，漂移的端口和漂移的次數。

?方法4：在沒有開啟MAC地址漂移檢測功能時，只能用最原始的辦法---不停的查看MAC地址表項的出接口，來判斷設備上是否存在MAC地址漂移了。如下圖，多次查看MAC地址表項，出接口信息在兩個端口之間跳變。這就可以認為發生了MAC地址漂移。

怎么消除MAC地址漂移告警呢？

消除MAC地址漂移的辦法有三種：

?第一種：人工把發生漂移的接口shutdown。

優點：最簡單可靠

缺點：需要人工參與，整個接口的流量都會中斷。

?第二種：通過在接口上配置漂移檢測動作為error-dwon，自動down掉漂移的端口。

優點：及時快捷，還可以通過配置自動恢復時間定時恢復端口。

缺點：整個接口的流量都會中斷。

?第三種：通過在接口上配置漂移檢測動作為quit-vlan，使發生漂移的接口指定VLAN域內退出，從而消除MAC地址漂移，破除環路。

優點：只解決存在環路的VLAN域，不會使其他正常VLAN域的流量中斷。

缺點：指定老化周期內，只能使一個接口從VLAN中退出。如果存在多個環路，破環會比較慢。

交換機實現的MAC地址漂移告警功能有什么亮點呢？

?亮點1：在同一個VLAN內，只會記錄一個MAC地址漂移記錄。

即同一個VLAN內，如果有多個MAC地址都在發生漂移，只記錄第一個上報漂移的MAC地址。為什么呢？因為只要一個VLAN域內存在環路，該VLAN內所有的MAC地址都會發生漂移的。

?亮點2：只有一次或兩次MAC地址漂移，不會上報MAC地址漂移告警。

默認情況下，在漂移記錄老化時間300秒內，MAC地址

表項出接口變更10次，才認為發生了MAC地址漂移，才會上報MAC地址漂移告警。

?亮點3：可以指定某個VLAN不進行MAC地址漂移的檢測。指定某個VLAN不進行MAC地址漂移的檢測后，該VLAN內的MAC地址發生漂移時，不會記錄信息，也不會上報告警信息。

江湖小貼士：所有的MAC地址漂移告警都需要處理嗎？其實不是的，只有MAC地址漂移告警在短時間多次出現的情況才需要處理，偶爾出現的可以不用關注啦，類似于下面這三種情況就可以不用關注的。1、因為環路或VRRP切換，導致的MAC地址漂移告警。2、因為無線用戶漫游，導致的MAC地址漂移告警。3、因為VRRP主備倒換，導致的MAC地址漂移告警。

好了，小編的講解結束了。下次再看到MAC地址漂移告警可不要驚慌了，大不了使用最暴力最簡單的方法，通過down掉漂移端口分分鐘搞定它

三、 mac地址飄移現象對應解決思路

1、環路

環路解決的思路就是使用生成樹協議、loopback-detection，或者使用堆疊(如IRF)去除物理環路，或者排查服務器網卡是否有綁定等策略，或者拔掉造成環路的網線。

環路一般會伴隨著端口峰值(peak)變得超高，或CPU使用率超高，或ping的時候丟包嚴重。

dis int g1/0/1

Peak value of input: xxxxx bytes/sec, at 2014-01-28 14:05:47

Peak value of output: xxxxx bytes/sec, at 2014-0130 06:31:46

dis cpu

Slot 1 CPU 0 CPU usage:

xx% in last 5 seconds

xx% in last 1 minute

xx% in last 5 minutes

2、VRRP、HSRP等協議不正常引起

參照配置手冊，更改為正確配置即可。

3、多臺終端MAC地址相同

使得終端mac地址唯一即可。

4、用戶端換了網線

等一會兒就行了。

5、關于不同廠家的設備互聯出現MAC地址漂移的解釋

關于不同廠家的設備互聯出現MAC地址漂移的解釋

2012-05-20 12:42:19

版權聲明：原創作品，如需轉載，請與作者聯系。否則將追究法律責任。

關于MAC地址漂移思科3750與H3C 3100 互連問題，MAC飄移最近，公司一設備是C3750，gi1/0/12 、g1/0/22和g1/0/2各連接一臺H3C 3100，總有個mac地址(000f.e207.f2e0 )在上述幾個端口間飄來飄去，無環路，不地址欺騙，不知道是什么原因，日志提示如下：

Aug??4 22:15:07.292 GMT: %SW_MATM-4-MACFLAP_NOTIF: Host 000f.e207.f2e0 in vlan 800 is flapping between port Gi1/0/12 and port Gi1/0/22

Aug??4 22:16:07.691 GMT: %SW_MATM-4-MACFLAP_NOTIF: Host 000f.e207.f2e0 in vlan 800 is flapping between port Gi1/0/12 and port Gi1/0/22

查看vlan 800的生成樹狀態如下：

VLAN0800

Spanning tree enabled protocol ieee

Root ID????Priority????4896

Address?????001f.27dd.6200

This bridge is the root

Hello Time???2 sec??Max Age 20 sec??Forward Delay 15 sec

Bridge ID??Priority????4896???(priority 4096 sys-id-ext 800)

Address?????001f.27dd.6200

Hello Time???2 sec??Max Age 20 sec??Forward Delay 15 sec

Aging Time 300

Interface????????Role Sts Cost??????Prio.Nbr Type

---------------- ---- --- --------- -------- --------------------------------

Gi1/0/2??????????Desg FWD 4?????????128.2????P2p

Gi1/0/12?????????Desg FWD 19????????128.12???P2p

Gi1/0/22?????????Desg FWD 19????????128.22???P2p

解釋：

思科默認使用PVST+，可以選擇配置的有PVST MST 等等而華為產品一般是三種STP(IEEE 802.1D)，RSTP(IEEE 802.1W)，MSTP(IEEE 802.1S)當搜索000f.e207.f2e0或00E0-FC09-BCF9這個mac的時候，會發現很多人在問這個問題。據廠商自己解釋“S3600系列交 換機開啟STP功 能后，對端設備可能出現報告MAC地址移動的現象。其原因為S3600系列交換機的BPDU報文采用固定MAC地址為源MAC。該情況對正常業務沒有影響。為了防止 該日志信息對正常日志信息的影響，可以通過類似日志信息過濾的功能對此種日志信息過濾。S系列交換機生成 樹協議報文的源MAC地址是00E0-FC09-BCF9或者 000F-E207-F2E0。”

因為多廠商間對協議的理解方式不同，各廠商按照各自的方式改動了實現的方式，所以應盡量避免二層互聯，對接的時候一定要提前測試好保持謹慎。

以下為官方解決方案:

問題原因部分低端交換機的BPDU協議報文的源MAC采用000f-e207-f2e0。H3C定義的LACP報文(DMAC＝0180C2000002、H3C設備SMAC＝000f-e207-f2e0、)也是BPDU報文的一種。由于V3平臺交換機每端口沒有設置各自的MAC地址，因此BPDU源MAC都是使用上述固定的特殊MAC作為源MAC地址的。但S3600/5600系列交換機最新版本支持在系統視圖下使用port-mac命令進行定義。對于固定源MAC地址，H3C交換機是不學習BPDU報文的源MAC的，但有些友商設備對于BPDU的源MAC是進行學習的，因此在友商設備上有時會記錄MAC地址漂移的告警。解決方法：對于V3平臺交換機如S3600/5600系列交換機可以升級到最新版本通過port-mac命令更改BPDU報文的源MAC地址。但是需要注意的是，如果網絡中沒有環路，那么該現象正常不影響業務使用，因此也不推薦使用port-mac命令進行更改。

修改方法：

system-view

System?View:?return?to User View with Ctrl+Z.

[Sysname] port-mac xxxx-xxxx-xxxx

6、arp欺詐、***引起

找到中毒的終端，殺毒。

終端查找方法一：網關設備處抓包，必定有大量arp報文，看arp對應的源IP和MAC，按端口找到終端。殺毒。

這樣做有可能還不容易找到，可看端口流量作為參考。

終端查找方法二：最簡化網絡，拔掉所有線。一個一個或一部分一部分接回來，直到接進某條線后網絡出問題，由此可判斷。

轉自：http://blog.sina.com.cn/s/blog_5e96cbeb0102vcwo.html

總結

以上是生活随笔為你收集整理的华为交换机flaping_MAC地址飘移查看及解决方法 一般是网络中存在环路的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。