Filtragem de endereços MAC e contabilidade em interfaces Ethernet
Para bloquear todos os pacotes recebidos de um endereço MAC específico, você pode habilitar a filtragem de endereço MAC. Você pode configurar uma Interface Ethernet para aprender dinamicamente endereços MAC de origem ou destino. Este tópico descreve como habilitar a filtragem de endereços MAC e como configurar a contabilidade de endereço MAC.
Configuração da filtragem de endereços MAC para interfaces Ethernet
Habilitando a filtragem de endereços de origem
Em interfaces Ethernet agregadas, Fast Ethernet, Gigabit Ethernet, Gigabit Ethernet IQ e Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Gigabit Ethernet integrada no roteador M7i), você pode permitir a filtragem de endereços de origem para bloquear todos os pacotes de entrada de um endereço MAC específico.
Para habilitar a filtragem, inclua a declaração nos seguintes níveis de hierarquia:source-filtering
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]Nota:Quando você integra um roteador T640 autônomo em uma matriz de roteamento, os endereços de controle de acesso de mídia (MAC) PIC para o roteador T640 integrado são derivados de um pool de endereços MAC mantidos pelo roteador TX Matrix. Para cada endereço MAC que você especifica na configuração de um roteador T640 anteriormente autônomo, você deve especificar o mesmo endereço MAC na configuração do roteador TX Matrix.
Da mesma forma, quando você integra um roteador T1600 ou T4000 em uma matriz de roteamento, os endereços MAC PIC para o roteador T1600 ou T4000 integrado são derivados de um pool de endereços MAC mantidos pelo roteador TX Matrix Plus. Para cada endereço MAC que você especifica na configuração de um roteador T1600 ou T4000 anteriormente autônomo, você deve especificar o mesmo endereço MAC na configuração do roteador TX Matrix Plus.
Quando a filtragem de endereços de origem é habilitada, você pode configurar a interface para receber pacotes de endereços MAC específicos. Para fazer isso, especifique os endereços MAC na declaração nos seguintes níveis de hierarquia:source-address-filter mac-address
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]
Você pode especificar o endereço MAC como ou , onde está um número hexadecimal.nn:nn:nn:nn:nn:nnnnnn .nnnn.nnnnn Você pode configurar até 64 endereços de origem. Para especificar mais de um endereço, inclua a declaração várias vezes.source-address-filter
A declaração não tem suporte para Gigabit Ethernet IQ e Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Gigabit Ethernet integrada no roteador M7i); em vez disso, inclua a declaração.source-address-filteraccept-source-mac Para obter mais informações, veja Configuração de Policiais Ethernet Gigabit.Configuração de gigabit Ethernet Policers
Se a placa Ethernet remota for alterada, a interface não poderá receber pacotes da nova placa porque ela tem um endereço MAC diferente.
A filtragem de endereços de origem não funciona quando o Link Aggregation Control Protocol (LACP) é habilitado. Esse comportamento não é aplicável aos roteadores da série T e roteadores de transporte de pacotes da Série PTX. Para obter mais informações sobre LACP, consulte Interfaces de ethernet agregadas.Interfaces de ethernet agregadas
Em interfaces Ethernet Gigabit não registradas, você não deve configurar a declaração no nível de hierarquia e a declaração no nível de hierarquia simultaneamente.source-address-filter[edit interfaces ge-fpc/pic/port gigether-options]accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] Se essas declarações estiverem configuradas para as mesmas interfaces ao mesmo tempo, uma mensagem de erro será exibida.
Nas interfaces Gigabit Ethernet com tags, você não deve configurar a declaração no nível [hierarquia de interfaces de edição e a declaração no nível de hierarquia com um endereço MAC idêntico especificado em ambos os filtros.source-address-filter[edit interfaces ge-fpc/pic/port gigether-options]accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] Se essas declarações forem configuradas para as mesmas interfaces com um endereço MAC idêntico especificado, uma mensagem de erro será exibida.
A declaração não é suportada em roteadores da Série MX com MPC4E (números de modelo:source-address-filter MPC4E-3D-32XGE-SFPP e MPC4E-3D-2CGE-8XGE); em vez disso, inclua a declaração.accept-source-mac Para obter mais informações, veja Configuração de Policiais Ethernet Gigabit.Configuração de gigabit Ethernet Policers
Configuração da filtragem de endereços MAC em roteadores de transporte de pacotes da Série PTX
Este tópico descreve como configurar a filtragem MAC em roteadores de transporte de pacotes da Série PTX. A filtragem MAC permite que você especifique os endereços MAC dos quais a interface Ethernet pode receber pacotes.
O suporte de filtragem MAC em roteadores de transporte de pacotes da Série PTX inclui:
Filtragem de endereços de origem e destino MAC para cada porta.
Filtragem de endereços de origem MAC para cada interface física.
Filtragem de endereços de origem MAC para cada interface lógica.
Ao filtrar interfaces lógicas e físicas, você pode especificar até 1000 endereços de origem MAC por porta.
Para configurar a filtragem de endereços de origem MAC para uma interface física, inclua as declarações e as declarações no nível de hierarquia:source-filteringsource-address-filter[edit interfaces et-fpc/pic/port gigether-options]
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
source-address-filter {
mac-address;
}
}
}
A declaração configura quais endereços de origem MAC são filtrados.source-address-filter A interface física especificada derruba todos os pacotes dos endereços de origem MAC que você especifica. Você pode especificar o endereço MAC como onde está um dígito decimais.nn:nn:nn:nn:nn:nnn Para especificar mais de um endereço, inclua várias opções na declaração.mac-addresssource-address-filter
Para configurar a filtragem de endereços de origem MAC para uma interface lógica, inclua a declaração no nível de hierarquia:accept-source-mac[edit interfaces et-fpc/pic/port unit logical-unit-number]
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
}
unit logical-unit-number {
accept-source-mac {
mac-address mac-address;
}
}
}
A declaração configura quais endereços de origem MAC são aceitos na interface lógica.accept-source-mac Você pode especificar o endereço MAC como onde está um dígito decimais.nn:nn:nn:nn:nn:nnn Para especificar mais de um endereço, inclua várias opções na declaração.mac-address mac-addressaccept-source-mac
Após a configuração de um filtro de interface, há uma entrada de contabilidade associada ao filtro de endereço MAC. Os contadores se acumulam se houver pacotes com endereços de origem MAC correspondentes. Você pode usar o comando Junos OS CLI para visualizar a contagem de endereços.show interfaces mac-database
Consulte também
Configuração da contabilidade de endereço MAC
Para Gigabit Ethernet IQ e Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i), para DPCs Gigabit Ethernet em roteadores da Série MX, para Ethernet Tipo 5 PIC de 100 Gigabits com CFP, e para MPC3E, MPC4E, MPC5E, MPC5EQ e MPC6E MPCs, você pode configurar se os endereços MAC de origem e destino são aprendidos dinamicamente.
Para configurar a contabilidade de endereço MAC em uma interface Ethernet individual, inclua a declaração no nível de hierarquia:mac-learn-enable[edit interfaces interface-name gigether-options ethernet-switch-profile]
[edit interfaces interface-name gigether-options ethernet-switch-profile] mac-learn-enable;
Para configurar a contabilidade de endereço MAC em uma interface Ethernet agregada, inclua a declaração no nível de hierarquia:mac-learn-enable[edit interfaces aex aggregated-ether-options ethernet-switch-profile]
[edit interfaces aex aggregated-ether-options ethernet-switch-profile] mac-learn-enable;
Para proibir uma interface de aprender dinamicamente endereços MAC de origem e destino, não inclua a declaração.mac-learn-enable
Para desativar o aprendizado dinâmico dos endereços MAC de origem e destino após sua configuração, você deve excluir da configuração.mac-learn-enable
Os MPCs oferecem suporte à contabilidade de endereço MAC para uma interface individual ou um link agregado de membro da interface Ethernet somente após a interface ter recebido tráfego da fonte MAC. Se o tráfego estiver saindo apenas de uma interface, o endereço MAC não será aprendido e a contabilidade de endereço MAC não ocorrer.