工業(yè)交換機(jī)MAC地址表大小：為何它如此重要？

一、引言

由于網(wǎng)絡(luò)的高速發(fā)展，數(shù)據(jù)的傳輸效率及網(wǎng)絡(luò)的安全性是考量網(wǎng)絡(luò)的關(guān)鍵指標(biāo)。MAC地址表在提高數(shù)據(jù)包轉(zhuǎn)發(fā)性能、減少網(wǎng)絡(luò)沖突以及網(wǎng)絡(luò)安全性方面發(fā)揮著至關(guān)重要的作用。

二、MAC地址表的基本概念

MAC地址表記錄了到達(dá)設(shè)備的數(shù)據(jù)包或由管理員手動指定MAC地址、接口號以及所屬VLAN ID之間的對應(yīng)關(guān)系，是VLAN內(nèi)決定數(shù)據(jù)包轉(zhuǎn)發(fā)的決策表，它是決定交換機(jī)轉(zhuǎn)發(fā)行為的標(biāo)準(zhǔn)。

1. MAC地址表作用

在早期的以太網(wǎng)網(wǎng)絡(luò)中，整個網(wǎng)絡(luò)屬于一塊廣播域。由于進(jìn)行局域網(wǎng)互聯(lián)時無法限制廣播的問題，于是出現(xiàn)了VLAN (Virtual Local Area Network，虛擬局域網(wǎng))的技術(shù)，這種技術(shù)把一塊廣播域劃分為多個廣播域，VLAN內(nèi)的主機(jī)設(shè)備可以正常通信。

由于VLAN內(nèi)的主機(jī)設(shè)備仍然是以廣播的形式進(jìn)行通信，一個主機(jī)發(fā)送數(shù)據(jù)，會在同一VLAN里面進(jìn)行廣播，即同一個VLAN內(nèi)的主機(jī)均會接收到該數(shù)據(jù)包，但一些沒有必要接收該數(shù)據(jù)包的主機(jī)將會產(chǎn)生帶寬浪費(fèi)，故MAC地址表應(yīng)運(yùn)而生。在同一個VLAN里面轉(zhuǎn)發(fā)數(shù)據(jù)時，查找MAC地址表項(xiàng)，數(shù)據(jù)包由一對多變?yōu)橐粚σ坏霓D(zhuǎn)發(fā)形式，進(jìn)而提高數(shù)據(jù)包的轉(zhuǎn)發(fā)性能、提高接口的吞吐量、維護(hù)網(wǎng)絡(luò)的安全。

2. MAC地址表類型

1）動態(tài)MAC地址：由接口通過接收到數(shù)據(jù)包的源MAC地址學(xué)習(xí)得到，表項(xiàng)可以被老化，默認(rèn)老化時間為300s，可以通過網(wǎng)絡(luò)瀏覽器或命令行界面 (CLI)修改老化時間。

動態(tài)MAC地址老化機(jī)制：若從收到最后一個該數(shù)據(jù)包開始，到老化時間結(jié)束的時間段內(nèi)，未收到該數(shù)據(jù)包，會清除學(xué)習(xí)到在動態(tài)MAC地址中該數(shù)據(jù)包的表項(xiàng);若從收到最后一個該數(shù)據(jù)包開始，到老化時間結(jié)束的時間段內(nèi)，再次接收到該數(shù)據(jù)包，該條MAC地址表項(xiàng)會重新計算老化時間。

圖一(MAC地址老化過程圖)

2）靜態(tài)MAC地址：由管理員手動配置，該地址不會被老化。默認(rèn)情況下，接口和MAC地址靜態(tài)綁定后，其他接口收到源MAC是該MAC地址的報文將會被丟棄。

圖二(基于MAC地址表轉(zhuǎn)發(fā))

如圖二，PC1訪問PC3，經(jīng)過switch查找地址表，查找到VLAN 10 MAC 3的接口為Port3，那么該數(shù)據(jù)包就往Port3進(jìn)行轉(zhuǎn)發(fā)，而不會往Port2進(jìn)行轉(zhuǎn)發(fā)。即對于該數(shù)據(jù)包而言，PC3可以收到PC1發(fā)送的數(shù)據(jù)包，而PC2收不到PC1發(fā)送的數(shù)據(jù)包。

3. MAC地址學(xué)習(xí)限制

由于MAC地址表的容量是有限的，當(dāng)一個接口接收大量源MAC地址不同的報文(可能為攻擊報文)，將會導(dǎo)致設(shè)備上的MAC地址表項(xiàng)可能會被耗盡。MAC地址表一旦被耗盡，設(shè)備上接口即使接收到報文，也無法學(xué)習(xí)報文中的源MAC地址，將會導(dǎo)致報文泛洪，浪費(fèi)接口帶寬。

故而為了解決上述問題，設(shè)備提供以下五種方式對MAC地址學(xué)習(xí)進(jìn)行控制：

1）基于VLAN或接口關(guān)閉MAC學(xué)習(xí)能力，目的：禁止指定的VLAN/接口進(jìn)行MAC地址學(xué)習(xí)的能力，防止其占用大部分MAC地址表?xiàng)l目。

2）基于VLAN或接口限制MAC地址學(xué)習(xí)的數(shù)量，目的：防止指定的VLAN/接口學(xué)習(xí)過多的MAC地址，從而占用大量的MAC地址表容量。

3）基于VLAN或接口清除已學(xué)習(xí)的MAC地址條目，目的：防止未老化的MAC地址，在老化完成之前一直占用MAC地址表。

4）對于MAC表項(xiàng)已滿，且報文的目的MAC在MAC表項(xiàng)中查找不到該條MAC表項(xiàng)時，丟棄該報文，目的：防止報文泛洪，造成帶寬浪費(fèi)。

5）對于MAC表項(xiàng)已滿，且報文源MAC地址在MAC表項(xiàng)中查找不到該條MAC表項(xiàng)時，丟棄該報文，目的：防止攻擊報文的轉(zhuǎn)發(fā)，從而節(jié)省接口帶寬。

4. MAC地址表項(xiàng)漂移

MAC地址表項(xiàng)漂移是指不同的端口接收到相同的MAC地址，后學(xué)習(xí)到的MAC地址表項(xiàng)覆蓋原MAC地址表項(xiàng)的一種現(xiàn)象。

三、MAC地址表大小的意義

1）控制網(wǎng)絡(luò)訪問：MAC地址可以限制網(wǎng)絡(luò)攻擊，管理員可以配置特定的MAC地址進(jìn)行訪問，其他MAC地址不允許訪問，可以有效防止未經(jīng)授權(quán)的設(shè)備或潛在的攻擊者訪問交換機(jī)。通過對交換機(jī)的訪問做限制，極大的增加了網(wǎng)絡(luò)的安全性。

2）提高轉(zhuǎn)發(fā)性能、網(wǎng)絡(luò)可靠性：通過數(shù)據(jù)包的目的MAC查找交換機(jī)MAC地址表進(jìn)行轉(zhuǎn)發(fā)，這種方式能夠確保數(shù)據(jù)包準(zhǔn)確的轉(zhuǎn)發(fā)到目標(biāo)設(shè)備，有效的避免了數(shù)據(jù)包的丟失和錯誤傳輸，達(dá)到提高數(shù)據(jù)包轉(zhuǎn)發(fā)性能，且提高網(wǎng)絡(luò)的可靠性。

3）提高吞吐量：通過修改數(shù)據(jù)包的轉(zhuǎn)發(fā)方式，由廣播泛洪變更為指定端口轉(zhuǎn)發(fā)，減少接口出方向的泛洪數(shù)據(jù)包，達(dá)到提高網(wǎng)絡(luò)吞吐量的性能。

四、如何選擇合適的MAC地址表大小

對于選擇合適的MAC地址表大小，需要考慮以下因素

1）根據(jù)交換機(jī)所處網(wǎng)絡(luò)的位置，處于核心網(wǎng)絡(luò)還是邊緣網(wǎng)絡(luò)。

2）交換機(jī)所有端口上下游交互主機(jī)網(wǎng)絡(luò)的數(shù)量和。

3）預(yù)留一部分MAC表項(xiàng)，針對一些特殊情況使用，如防止多種MAC訪問(黑名單)。

4）若選擇MAC地址表過大：增大CPU的處理負(fù)荷。

5）若選擇MAC地址表過?。航档蛿?shù)據(jù)報文轉(zhuǎn)發(fā)性能，浪費(fèi)接口網(wǎng)絡(luò)帶寬，增大網(wǎng)絡(luò)沖突的可能性。

五、邁威通信不同工業(yè)交換機(jī)MAC地址表大小

六、結(jié)語

MAC地址表使數(shù)據(jù)包由泛洪轉(zhuǎn)發(fā)轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)轉(zhuǎn)發(fā)，節(jié)省大量帶寬的浪費(fèi)，提高數(shù)據(jù)包轉(zhuǎn)發(fā)性能，從而提高吞吐量，可以較為明顯的改善對帶寬有一定要求的網(wǎng)絡(luò)環(huán)境。MAC地址在提高工業(yè)通信網(wǎng)絡(luò)的效率、性能及安全方面發(fā)揮著至關(guān)重要的作用。在交換機(jī)所處網(wǎng)絡(luò)位置的不同，選擇合適的MAC地址表，極大程度提高交換機(jī)性能。