Filtragem de endereços MAC e contabilidade em interfaces Ethernet
Saiba como habilitar a filtragem de endereços MAC e como configurar a contabilidade de endereço MAC em interfaces Ethernet.
A filtragem de endereço MAC é um recurso de segurança que controla o acesso à rede filtrando endereços MAC. Para bloquear todos os pacotes recebidos de um endereço MAC específico, você pode habilitar a filtragem de endereço MAC. Você pode configurar uma Interface Ethernet para aprender dinamicamente endereços MAC de origem ou destino.
Configuração da filtragem de endereços MAC para interfaces Ethernet
Habilitando a filtragem de endereços de origem
Em interfaces Ethernet agregadas, Fast Ethernet, Gigabit Ethernet, Gigabit Ethernet IQ e Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Gigabit Ethernet integrada no roteador M7i), você pode permitir a filtragem de endereços de origem para bloquear todos os pacotes de entrada de um endereço MAC específico.
Para habilitar a filtragem, inclua a source-filtering declaração nos seguintes níveis de hierarquia:
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]Nota:Quando você integra um roteador T640 autônomo em uma matriz de roteamento, os endereços de controle de acesso de mídia (MAC) PIC para o roteador T640 integrado são derivados de um pool de endereços MAC mantidos pelo roteador TX Matrix. Para cada endereço MAC que você especifica na configuração de um roteador T640 anteriormente autônomo, você deve especificar o mesmo endereço MAC na configuração do roteador TX Matrix.
Da mesma forma, quando você integra um roteador T1600 ou T4000 em uma matriz de roteamento, os endereços MAC PIC para o roteador T1600 ou T4000 integrado são derivados de um pool de endereços MAC mantidos pelo roteador TX Matrix Plus. Para cada endereço MAC que você especifica na configuração de um roteador T1600 ou T4000 anteriormente autônomo, você deve especificar o mesmo endereço MAC na configuração do roteador TX Matrix Plus.
Quando a filtragem de endereços de origem é habilitada, você pode configurar a interface para receber pacotes de endereços MAC específicos. Para fazer isso, especifique os endereços MAC na source-address-filter mac-address declaração nos seguintes níveis de hierarquia:
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]
Você pode especificar o endereço MAC como nn:nn:nn:nn:nn:nn ou nnnn .nnnn.nnnn, onde n está um número hexadecimal. Você pode configurar até 64 endereços de origem. Para especificar mais de um endereço, inclua a source-address-filter declaração várias vezes.
A source-address-filter declaração não tem suporte para Gigabit Ethernet IQ e Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Gigabit Ethernet integrada no roteador M7i); em vez disso, inclua a accept-source-mac declaração. Para obter mais informações, veja Configuração de Policiais Ethernet Gigabit.
Se a placa Ethernet remota for alterada, a interface não poderá receber pacotes da nova placa porque ela tem um endereço MAC diferente.
A filtragem de endereços de origem não funciona quando o Link Aggregation Control Protocol (LACP) é habilitado. Esse comportamento não é aplicável aos roteadores da série T e roteadores de transporte de pacotes da Série PTX. Para obter mais informações sobre LACP, consulte Interfaces de ethernet agregadas.
Em interfaces Ethernet Gigabit não registradas, você não deve configurar a source-address-filter declaração no nível de [edit interfaces ge-fpc/pic/port gigether-options] hierarquia e a accept-source-mac declaração no nível de [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] hierarquia simultaneamente. Se essas declarações estiverem configuradas para as mesmas interfaces ao mesmo tempo, uma mensagem de erro será exibida.
Nas interfaces Gigabit Ethernet com tags, você não deve configurar a source-address-filter declaração no nível [hierarquia de interfaces [edit interfaces ge-fpc/pic/port gigether-options] de edição e a accept-source-mac declaração no nível de [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] hierarquia com um endereço MAC idêntico especificado em ambos os filtros. Se essas declarações forem configuradas para as mesmas interfaces com um endereço MAC idêntico especificado, uma mensagem de erro será exibida.
A source-address-filter declaração não é suportada em roteadores da Série MX com MPC4E (números de modelo: MPC4E-3D-32XGE-SFPP e MPC4E-3D-2CGE-8XGE); em vez disso, inclua a accept-source-mac declaração. Para obter mais informações, veja Configuração de Policiais Ethernet Gigabit.
Configuração da contabilidade de endereço MAC
Para Gigabit Ethernet IQ e Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i), para DPCs Gigabit Ethernet em roteadores da Série MX, para Ethernet Tipo 5 PIC de 100 Gigabits com CFP, e para MPC3E, MPC4E, MPC5E, MPC5EQ e MPC6E MPCs, você pode configurar se os endereços MAC de origem e destino são aprendidos dinamicamente.
Para configurar a contabilidade de endereço MAC em uma interface Ethernet individual, inclua a mac-learn-enable declaração no nível de [edit interfaces interface-name gigether-options ethernet-switch-profile] hierarquia:
[edit interfaces interface-name gigether-options ethernet-switch-profile] mac-learn-enable;
Para configurar a contabilidade de endereço MAC em uma interface Ethernet agregada, inclua a mac-learn-enable declaração no nível de [edit interfaces aex aggregated-ether-options ethernet-switch-profile] hierarquia:
[edit interfaces aex aggregated-ether-options ethernet-switch-profile] mac-learn-enable;
Para proibir uma interface de aprender dinamicamente endereços MAC de origem e destino, não inclua a mac-learn-enable declaração.
Para desativar o aprendizado dinâmico dos endereços MAC de origem e destino após sua configuração, você deve excluir mac-learn-enable da configuração.
Os MPCs oferecem suporte à contabilidade de endereço MAC para uma interface individual ou um link agregado de membro da interface Ethernet somente após a interface ter recebido tráfego da fonte MAC. Se o tráfego estiver saindo apenas de uma interface, o endereço MAC não será aprendido e a contabilidade de endereço MAC não ocorrer.