Filtragem e contabilidade de endereços MAC em interfaces Ethernet
Para bloquear todos os pacotes recebidos de um endereço MAC específico, você pode habilitar a filtragem de endereços MAC. Você pode configurar uma Interface Ethernet para aprender dinamicamente endereços MAC de origem ou destino. Este tópico descreve como habilitar a filtragem de endereços MAC e como configurar a contabilidade de endereços MAC.
Configuração da filtragem de endereços MAC para interfaces Ethernet
Ativação da filtragem de endereços de origem
Em interfaces Ethernet agregadas, Fast Ethernet, Gigabit Ethernet, Gigabit Ethernet IQ e Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Gigabit Ethernet integrada no roteador M7i), você pode permitir a filtragem de endereço de origem para bloquear todos os pacotes recebidos de um endereço MAC específico.
Para habilitar a filtragem, inclua a source-filtering declaração nos seguintes níveis de hierarquia:
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]Nota:Quando você integra um roteador T640 autônomo em uma matriz de roteamento, os endereços de controle de acesso de mídia PIC (MAC) para o roteador T640 integrado são derivados de um pool de endereços MAC mantidos pelo roteador TX Matrix. Para cada endereço MAC que você especifica na configuração de um roteador T640 anteriormente autônomo, você deve especificar o mesmo endereço MAC na configuração do roteador TX Matrix.
Da mesma forma, quando você integra um roteador T1600 ou T4000 em uma matriz de roteamento, os endereços PIC MAC para o roteador T1600 ou T4000 integrado são derivados de um pool de endereços MAC mantidos pelo roteador TX Matrix Plus. Para cada endereço MAC que você especifica na configuração de um roteador T1600 ou T4000 anteriormente autônomo, você deve especificar o mesmo endereço MAC na configuração do roteador TX Matrix Plus.
Quando a filtragem de endereços de origem está ativada, você pode configurar a interface para receber pacotes de endereços MAC específicos. Para fazer isso, especifique os endereços MAC na source-address-filter mac-address declaração nos seguintes níveis de hierarquia:
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]
Você pode especificar o endereço MAC como nn:nn:nn:nn:nn:nn ou nnnn .nnnn.nnnn, onde n está um número hexadecimal. Você pode configurar até 64 endereços de origem. Para especificar mais de um endereço, inclua a source-address-filter declaração várias vezes.
A source-address-filter declaração não é compatível com Gigabit Ethernet IQ e Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i); em vez disso, inclua a accept-source-mac declaração. Para obter mais informações, consulte Configurando os Policiais Ethernet Gigabit.
Se a placa Ethernet remota for alterada, a interface não pode receber pacotes da nova placa porque ela tem um endereço MAC diferente.
A filtragem de endereços de origem não funciona quando o Protocolo de Controle de Agregação de Links (LACP) está ativado. Esse comportamento não é aplicável aos roteadores da série T e aos roteadores de transporte de pacotes da Série PTX. Para obter mais informações sobre LACP, consulte Interfaces agregadas de ethernet.
Em interfaces Ethernet Gigabit não registradas, você não deve configurar a source-address-filter declaração no nível de [edit interfaces ge-fpc/pic/port gigether-options] hierarquia e a accept-source-mac declaração no nível de [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] hierarquia simultaneamente. Se essas declarações forem configuradas para as mesmas interfaces ao mesmo tempo, uma mensagem de erro será exibida.
Nas interfaces Gigabit Ethernet marcadas, você não deve configurar a source-address-filter declaração no nível [de hierarquia de interfaces [edit interfaces ge-fpc/pic/port gigether-options] de edição e a accept-source-mac declaração no nível de [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] hierarquia com um endereço MAC idêntico especificado em ambos os filtros. Se essas declarações forem configuradas para as mesmas interfaces com um endereço MAC idêntico especificado, uma mensagem de erro será exibida.
A source-address-filter declaração não é compatível com roteadores da Série MX com MPC4E (números de modelo: MPC4E-3D-32XGE-SFPP e MPC4E-3D-2CGE-8XGE); em vez disso, inclua a accept-source-mac declaração. Para obter mais informações, consulte Configurando os Policiais Ethernet Gigabit.
Configuração da filtragem de endereços MAC em roteadores de transporte de pacotes da Série PTX
Este tópico descreve como configurar a filtragem de MAC nos roteadores de transporte de pacotes da Série PTX. A filtragem mac permite especificar os endereços MAC dos quais a interface Ethernet pode receber pacotes.
O suporte de filtragem mac nos roteadores de transporte de pacotes da Série PTX inclui:
filtragem de endereço de origem e destino MAC para cada porta.
Filtragem de endereços de origem MAC para cada interface física.
Filtragem de endereços de origem MAC para cada interface lógica.
Ao filtrar interfaces lógicas e físicas, você pode especificar até 1000 endereços de origem MAC por porta.
Para configurar a filtragem de endereços de origem MAC para uma interface física, inclua o e source-address-filter as source-filtering declarações no nível de [edit interfaces et-fpc/pic/port gigether-options] hierarquia:
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
source-address-filter {
mac-address;
}
}
}
A source-address-filter declaração configura quais endereços de origem MAC são filtrados. A interface física especificada retira todos os pacotes dos endereços de origem MAC que você especifica. Você pode especificar o endereço MAC como nn:nn:nn:nn:nn:nn onde n está um dígito decimais. Para especificar mais de um endereço, inclua várias mac-address opções na source-address-filter declaração.
Para configurar a filtragem de endereços de origem MAC para uma interface lógica, inclua a accept-source-mac declaração no nível de [edit interfaces et-fpc/pic/port unit logical-unit-number] hierarquia:
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
}
unit logical-unit-number {
accept-source-mac {
mac-address mac-address;
}
}
}
A accept-source-mac declaração configura quais endereços de origem MAC são aceitos na interface lógica. Você pode especificar o endereço MAC como nn:nn:nn:nn:nn:nn onde n está um dígito decimais. Para especificar mais de um endereço, inclua várias mac-address mac-address opções na accept-source-mac declaração.
Depois que um filtro de interface é configurado, há uma entrada contábil associada ao filtro de endereço MAC. Os contadores se acumulam se houver pacotes com endereços de origem MAC correspondentes. Você pode usar o show interfaces mac-database comando Junos OS CLI para visualizar a contagem de endereços.
Consulte também
Configuração da contabilidade de endereço MAC
Para Gigabit Ethernet IQ e Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i), para DPCs Gigabit Ethernet em roteadores da Série MX, para Ethernet Tipo 5 PIC de 100 Gigabits com CFP, e para MPC3E, MPC4E, MPC5E, MPC5EQ e MPC6E MPCs, você pode configurar se os endereços MAC de origem e destino são aprendidos dinamicamente.
Para configurar a contabilidade de endereço MAC em uma interface Ethernet individual, inclua a mac-learn-enable declaração no nível de [edit interfaces interface-name gigether-options ethernet-switch-profile] hierarquia:
[edit interfaces interface-name gigether-options ethernet-switch-profile] mac-learn-enable;
Para configurar a contabilidade de endereço MAC em uma interface Ethernet agregada, inclua a mac-learn-enable declaração no nível de [edit interfaces aex aggregated-ether-options ethernet-switch-profile] hierarquia:
[edit interfaces aex aggregated-ether-options ethernet-switch-profile] mac-learn-enable;
Para proibir uma interface de aprender dinamicamente endereços MAC de origem e destino, não inclua a mac-learn-enable declaração.
Para desativar o aprendizado dinâmico dos endereços MAC de origem e destino após sua configuração, você deve excluir mac-learn-enable da configuração.
Os MPCs oferecem suporte à contabilidade de endereço MAC para uma interface individual ou um link agregado de membro da interface Ethernet somente após a interface ter recebido tráfego da fonte MAC. Se o tráfego estiver saindo apenas de uma interface, o endereço MAC não será aprendido e a contabilidade de endereço MAC não ocorrer.