VLAN和MAC地址操作 第2章 MAC地址表配置 下面简单介绍交换机对三种帧的处理：

1. 广播帧：交换机能阻隔冲突域，但不能阻隔广播域，在没有设置VLAN的情况下连接在

交换机的所有设备是处在同一个广播域中的，当交换机接收到广播帧时，它会向所有的端口转发该广播帧。当交换机设置了VLAN后，MAC地址表也会做相应的调整，会增加VLAN的信息，此时交换机接收到广播帧后，不会将该广播帧转发给交换机内的所有端口，而改变为只向属于同一个VLAN的所有端口转发。

2. 组播帧：对于未知组播，交换机会在同一个vlan内广播，如果交换机设置了IGMP

Snooping功能或配置了静态组播组时，交换机只会向属于该组播组的端口转发该组播帧。 3. 单播帧：在没有设置VLAN的情况下，当交换机接收到的单播帧的目标MAC地址在MAC

表中存在，交换机会直接将该单播帧转发到相应的端口；当接收到单播帧的目标MAC地址在MAC地址表中不存在时，交换机会对该单播帧进行广播。当交换机设置了VLAN，交换机只会在同一VLAN内转发单播帧；当转发单播帧的目标MAC地址在MAC地址表中存在，但不属于同一VLAN，此时交换机只能将该单播帧在它属于的VLAN内进行广播。

2.2 MAC地址表配置

Mac地址表的配置任务序列如下： 1. 配置mac地址老化时间， 2. 配置静态mac地址转发/过滤表项 3. 删除动态地址表项

1. 配置MAC地址老化时间 命令 全局配置模式 mac-address-table aging-time> no mac-address-table aging-time

2. 配置静态mac地址转发/过滤表项 命令 全局配置模式 解释 aging-time <0 解释 | 配置mac地址老化时间。

2-3

VLAN和MAC地址操作 第2章 MAC地址表配置 mac-address-table {static | static-multicast | blackhole} address vlan [interface [ethernet | portchannel] | {static | 配置静态mac地址转发表项，配置静态组播MAC地址表项，配置地址过滤表项。 ] [source|destination|both] no mac-address-table static-multicast | blackhole | dynamic} [address ] [vlan ] [interface

3. 删除动态地址表项 命令 特权用户配置模式 clear mac-address-table [ethernet | 解释 dynamic 删除动态地址表项。 [ethernet | portchannel] ] [address ] [vlan ] [interface

portchannel] ] 2.3 典型配置举例

图 2-2 MAC地址表典型配置举例

2-4

VLAN和MAC地址操作 第2章 MAC地址表配置

案例：

如上图所示四台主机分别连接在交换机的1/0/5、1/0/7、1/0/9、1/0/11端口，这四台主机都属于缺省VLAN1。根据实际网络的需要，动态学习功能是打开的；主机1（连接在端口1/0/5）保存有机密资料，任何与它不在一个物理分段的主机不能访问它；主机2（连接在端口1/0/7）和主机3（连接在端口1/0/9）分别与端口1/0/7和端口1/0/9建立静态映射关系。 配置步骤如下：

1.设置主机1的MAC地址00-01-11-11-11-11为过滤地址；

Switch(config)#mac-address-table blackhole address 00-01-11-11-11-11 vlan 1 2.主机2和主机3分别与端口1/0/7和端口1/0/9建立静态映射关系。

Switch(config)#mac-address-table static address 00-01-22-22-22-22 vlan 1 interface ethernet 1/0/7

Switch(config)#mac-address-table static address 00-01-33-33-33-33 vlan 1 interface ethernet 1/0/9

2.4 排错帮助

输入show mac-address-table命令时，发现某端口没有学习到该端口连接的设备的MAC。可能的原因：

? 用于连接的以太网线损坏，更换以太网线；

? 交换机启动SpanningTree，且端口处于discarding状态；或者端口刚连接上设备，

Spanning Tree还在计算中，等Spanning Tree计算完毕，端口就可以学习MAC地址了；

? 若不是上述的问题时，请查看是否是端口损坏，若是请找技术支持解决。

2.5 MAC地址功能扩展 2.5.1 MAC地址绑定

2.5.1.1 MAC地址绑定介绍

通常交换机支持动态学习MAC地址的功能，每个端口可以动态学习多个MAC地址，从而实现端口之间已知MAC地址数据流的转发。当MAC地址老化后，则进行广播处理。也就是说，交换机某接口上学习到某MAC地址后可以进行转发，如果将连线切换到另外一个接口上交换机将重新学习该MAC地址，从而在新切换的接口上实现数据转发。

但是，有些情况下为了安全和便于管理，需要将MAC地址与端口进行绑定，端口只允许已绑定MAC的数据流的转发。即，MAC地址与端口绑定后，该MAC地址的数据流只能

2-5

VLAN和MAC地址操作 第2章 MAC地址表配置 从绑定端口进入，其他没有与端口绑定的MAC地址的数据流不可以从该端口进入。

2.5.1.2 MAC地址绑定配置任务序列

1. 使能端口的MAC地址绑定功能 2. 端口MAC地址的锁定 3. MAC地址绑定的属性配置 4. mac-notification trap功能配置

1. 使能端口的MAC地址绑定功能 命令 端口配置模式 switchport port-security no switchport port-security 2. 端口MAC地址的锁定 命令 端口配置模式 switchport port-security lock no switchport port-security lock switchport port-security convert switchport port-security 解释 锁定端口。当端口锁定之后，端口的MAC地址学习功能将被关闭；本命令的no操作恢复端口MAC地址学习功能。 将端口学习到的动态安全MAC地址转化为静态安全MAC地址。 解释 使能端口MAC地址绑定功能；本命令的no操作为关闭端口MAC地址绑定功能。 timeout 打开端口锁定定时器功能；本命令的no操作恢复默认值。 no switchport port-security timeout switchport port-security mac-address no switchport mac-address 特权用户配置模式 clear port-security dynamic [address ] 3. MAC地址绑定的属性配置 命令 端口配置模式 | 添加静态安全MAC地址；本命令的no操port-security 作为删除静态安全MAC地址。 清除指定端口学习到的动态MAC地址。 interface 解释

2-6