Каждый физический интерфейс коммутатора или маршрутизатора имеет собственный неизменный уникальный mac-адрес. Это не распространяется на подинтерфейсы маршрутизаторов и виртуальные интерфейсы коммутаторов (SVI).
У маршрутизатора mac-адрес дублируется с физического интерфейса:
В других случаях нарекания к этой особенности маршрутизаторов не было.
У коммутатора SVI берет за основу mac-адрес шасси:
Таким образом, использовать arp access-list'ы с указанием mac-адресов SVI необходимо только в крайних случаях. Когда вы используете стеки коммутаторов, помните, что каждый коммутатор имеет уникальный mac-адрес шасси. В случае выбора его мастером все mac-адреса всех SVI будут изменены.
У маршрутизатора mac-адрес дублируется с физического интерфейса:
GigabitEthernet0/1 is up, line protocol is upЭто привело вот к чему однажды. На одном маршрутизаторе потребляется от оператора две разные услуги. При этом для включения используются два разных интерфейса коммутатора (таково требование оператора) и два логических подинтерфейса маршрутизатора. На каждом интерфейсе коммутатора включен port-security, что делает невозможным оказания услуг, так как один и тот же mac-адрес, хоть и в разных vlan'ах присутсвует на обоих портах коммутатора оператора.
Hardware is MV64460 Internal MAC, address is 2893.fe7f.801b (bia 2893.fe7f.801b)
GigabitEthernet0/1.100 is up, line protocol is up
Hardware is MV64460 Internal MAC, address is 2893.fe7f.801b (bia 2893.fe7f.801b)
GigabitEthernet0/1.200 is up, line protocol is up
Hardware is MV64460 Internal MAC, address is 2893.fe7f.801b (bia 2893.fe7f.801b)
В других случаях нарекания к этой особенности маршрутизаторов не было.
У коммутатора SVI берет за основу mac-адрес шасси:
switch#sh ver | in MACКаждый следующий увеличивается на 1. Теперь представьте ситуацию, что этих интерфейсов достаточное количество и в определенном vlan'е вам понадобилось ввести фильтрацию arp-пакетов путем настройки arp inspection, например, так . Единственное отличие в том, что шлюз по-умолчанию для сети теперь терминируется на коммутаторе, а не на маршрутизаторе. Обычное дело, в общем. Вот в определенный момент вам не понадобился один из ранних интерфейсов и вы его удяляете. Через некоторое время коммутатор перезагружается неважно по какой причине и вы с удивлением обнаруживаете, что mac-адрес вашего SVI, который прописан в arp access-list, стал на единичку меньше.
Base ethernet MAC Address : 00:1A:E3:B7:2F:00
switch#show interfaces vlan 1
Vlan1 is up, line protocol is up
Hardware is EtherSVI, address is 001a.e3b7.2f40 (bia 001a.e3b7.2f40)
[skip]
switch#show interfaces vlan 10
Vlan10 is up, line protocol is up
Hardware is EtherSVI, address is 001a.e3b7.2f41 (bia 001a.e3b7.2f41)
[skip]
Таким образом, использовать arp access-list'ы с указанием mac-адресов SVI необходимо только в крайних случаях. Когда вы используете стеки коммутаторов, помните, что каждый коммутатор имеет уникальный mac-адрес шасси. В случае выбора его мастером все mac-адреса всех SVI будут изменены.