mac地址漂移的原因（mac地址漂移会产生什么问题）

网络教程 2023-09-19

什么是mac地址漂移？mac地址漂移的原因是什么？mac地址漂移会产生什么问题？……等诸如此类的问题，下面小编就给大家详细的讲解下MAC地址漂移会带来什么后果。

什么是MAC地址漂移

MAC地址漂移是指设备上一个VLAN内有两个端口学习到同一个MAC地址，后学习到的MAC地址表项覆盖原MAC地址表项的现象。如上图所示，MAC地址为0011-0022-0034，VLAN ID为2的表项，出接口由GE0/0/1刷新为GE0/0/2，这就是MAC地址漂移。设备出现MAC地址漂移时，设备CPU会有不同程度的升高。

正常情况下，网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路，可以通过查看告警信息和漂移记录，快速定位和排除环路。

MAC地址漂移检测

MAC地址漂移检测是对MAC地址漂移现象进行检测的功能。MAC地址漂移检测是利用MAC地址学习时接口跳变实现的，因此能提供的信息与MAC地址学习相关，包括MAC地址、VLAN，以及跳变的接口等诊断信息。其中跳变的接口即为可能出现环路的接口。网络管理员根据网络中每台设备上出现的跳变接口，以及网络拓扑，判断环路的源头。

MAC地址漂移检测组网图

MAC地址漂移检测组网图1

MAC地址漂移检测组网图2

MAC地址漂移检测组网图3

如上图所示：若SwitchB和SwitchC之间误接网线，则Router、SwitchB、SwitchC之间形成环路。当RouterA上Port1接口从网络中收到一个广播报文后转发给Router，该报文经过环路，会被RouterA上Port2接口收到。在接口Port2上配置MAC地址漂移检测，此时RouterA会感知到MAC地址学习接口跳变的现象。若连续出现此现象，则在RouterA上可以判断出现了MAC地址漂移。

关于mac地址飘移，在网上查找并总结后，归纳可能为以下七种情况：

1、可能存在环路

2、可能VRRP、HSRP等协议不正常引起。比如设备主备频繁切换，导致交换机学习同一mac地址飘移；

3、可能至少两台终端MAC地址相同，这样的情况不影响其他用户端；

4、是用户端换了网线，而两个网线接口不在同一台交换机上，mac会记忆一段时间，之后一切恢复正常；

5、H3C交换机开启STP功能后，CISCO设备可能出现报告MAC地址移动的现象，如果网络中不存在环路，该现象不影响业务。

6、再多加一种：可能arp欺诈、***，导致不同端口学习到同一真实或欺诈的mac地址，此结论未验证。

7、因为无线用户漫游，导致的MAC地址漂移告警。正常现象，对业务无影响。

二、查看mac地址飘移信息

对于思科cisco设备

思科设备会跳出提示，以下为CISCO 3750 mac飘移（flapping）提示信息：

3750-edit#

1w2d: %SW_MATM-4-MACFLAP_NOTIF: Host a601.0000.0000 in vlan 23 is flapping betwe

en port Gi1/0/2 and port Gi1/0/1

3750-edit#

1w2d: %SW_MATM-4-MACFLAP_NOTIF: Host a601.0000.0000 in vlan 23 is flapping betwe

en port Gi1/0/2 and port Gi1/0/1

3750-edit#

1w2d: %SW_MATM-4-MACFLAP_NOTIF: Host a601.0000.0000 in vlan 23 is flapping betwe

en port Gi1/0/2 and port Gi1/0/1

三、 mac地址飘移现象对应解决思路

1、环路

环路解决的思路就是使用生成树协议、loopback-detection，或者使用堆叠（如IRF）去除物理环路，或者排查服务器网卡是否有绑定等策略，或者拔掉造成环路的网线。

环路一般会伴随着端口峰值（peak）变得超高，或CPU使用率超高，或ping的时候丢包严重。

dis int g1/0/1

Peak value of input: xxxxx bytes/sec, at 2014-01-28 14:05:47

Peak value of output: xxxxx bytes/sec, at 2014-0130 06:31:46

dis cpu

Slot 1 CPU 0 CPU usage:

xx% in last 5 seconds

xx% in last 1 minute

xx% in last 5 minutes

2、VRRP、HSRP等协议不正常引起参照配置手册，更改为正确配置即可。

3、多台终端MAC地址相同使得终端mac地址唯一即可。

4、用户端换了网线等一会儿就行了。

5、关于不同厂家的设备互联出现MAC地址漂移的解释关于MAC地址漂移

思科3750与H3C 3100 互连问题，MAC飘移

最近，公司一设备是C3750，gi1/0/12 、g1/0/22和g1/0/2各连接一台H3C 3100，总有个mac地址(000f.e207.f2e0 )在上述几个端口间飘来飘去，无环路，不地址欺骗，不知道是什么原因，日志提示如下：

Aug 4 22:15:07.292 GMT: %SW_MATM-4-MACFLAP_NOTIF: Host 000f.e207.f2e0 in vlan 800 is flapping between port Gi1/0/12 and port Gi1/0/22

Aug 4 22:16:07.691 GMT: %SW_MATM-4-MACFLAP_NOTIF: Host 000f.e207.f2e0 in vlan 800 is flapping between port Gi1/0/12 and port Gi1/0/22

查看vlan 800的生成树状态如下：

VLAN0800

Spanning tree enabled protocol ieee

Root ID Priority 4896

Address 001f.27dd.6200

This bridge is the root

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 4896 (priority 4096 sys-id-ext 800)

Address 001f.27dd.6200

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Aging Time 300

Interface Role Sts Cost Prio.Nbr Type

---------------- ---- --- --------- -------- --------------------------------

Gi1/0/2 Desg FWD 4 128.2 P2p

Gi1/0/12 Desg FWD 19 128.12 P2p

Gi1/0/22 Desg FWD 19 128.22 P2p

解释：

思科默认使用PVST+，可以选择配置的有PVST MST 等等

而华为产品一般是三种STP（IEEE 802.1D），RSTP（IEEE 802.1W），MSTP（IEEE 802.1S）

当搜索000f.e207.f2e0或00E0-FC09-BCF9这个mac的时候，会发现很多人在问这个问题。

据厂商自己解释

“S3600系列交换机开启STP功能后，对端设备可能出现报告MAC地址移动的现象。其原因为S3600系列交换机的BPDU报文采用固定MAC地址为源MAC。该情况对正常业务没有影响。为了防止该日志信息对正常日志信息的影响，可以通过类似日志信息过滤的功能对此种日志信息过滤。

S系列交换机生成树协议报文的源MAC地址是00E0-FC09-BCF9或者 000F-E207-F2E0。”

因为多厂商间对协议的理解方式不同，各厂商按照各自的方式改动了实现的方式，所以应尽量避免二层互联，对接的时候一定要提前测试好保持谨慎。

以下为官方解决方案:

问题原因

部分低端交换机的BPDU协议报文的源MAC采用000f-e207-f2e0。

H3C定义的LACP报文（DMAC＝0180C2000002、H3C设备SMAC＝000f-e207-f2e0、）也是BPDU报文的一种。由于V3平台交换机每端口没有设置各自的MAC地址，因此BPDU源MAC都是使用上述固定的特殊MAC作为源MAC地址的。但S3600/5600系列交换机最新版本支持在系统视图下使用port-mac命令进行定义。

对于固定源MAC地址，H3C交换机是不学习BPDU报文的源MAC的，但有些友商设备对于BPDU的源MAC是进行学习的，因此在友商设备上有时会记录MAC地址漂移的告警。

解决方法：

对于V3平台交换机如S3600/5600系列交换机可以升级到最新版本通过port-mac命令更改BPDU报文的源MAC地址。但是需要注意的是，如果网络中没有环路，那么该现象正常不影响业务使用，因此也不推荐使用port-mac命令进行更改。

修改方法：

system-view

System View: return to User View with Ctrl+Z.

[Sysname] port-mac xxxx-xxxx-xxxx

6、arp欺诈、***引起

找到中毒的终端，杀毒。

终端查找方法一：网关设备处抓包，必定有大量arp报文，看arp对应的源IP和MAC，按端口找到终端。杀毒。

这样做有可能还不容易找到，可看端口流量作为参考。

终端查找方法二：最简化网络，拔掉所有线。一个一个或一部分一部分接回来，直到接进某条线后网络出问题，由此可判断。