Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Entender a limitação do MAC e a limitação de movimento MAC

A limitação de MAC protege contra inundações da tabela de comutação Ethernet e é habilitada em interfaces de Camada 2 (portas). O movimento MAC limita a detecção do movimento MAC e a spoofing MAC em interfaces de acesso. Ele é habilitado em VLANs.

  • A limitação do MAC aumenta a segurança das portas limitando o número de endereços MAC que podem ser aprendidos em uma VLAN. Limitar o número de endereços MAC protege o switch contra inundações da tabela de comutação Ethernet (também conhecida como tabela de encaminhamento MAC ou tabela de encaminhamento de Camada 2). A inundação ocorre quando o número de novos endereços MAC que são aprendidos faz com que a tabela de comutação da Ethernet transborde, e os endereços MAC aprendidos anteriormente são retirados da mesa. O switch então reverte para inundar os endereços MAC aprendidos anteriormente, o que pode afetar o desempenho e introduzir vulnerabilidades de segurança.

  • A limitação do movimento MAC oferece segurança adicional, controlando o número de movimentos de endereço MAC que são permitidos em uma VLAN dentro de um segundo. Uma mudança de endereço MAC ocorre quando o switch recebe um pacote com um endereço MAC de origem que já foi aprendido pelo switch, mas em uma interface diferente. A tabela de comutação Ethernet é então atualizada para refletir a associação do endereço MAC com a nova interface. Como a tabela de comutação Ethernet deve ser atualizada para cada movimento de endereço MAC, eventos de movimento frequentes podem levar ao esgotamento dos recursos de processamento do switch. Isso pode ocorrer como resultado de um ataque spoofing MAC ou um loop na rede.

Limitação mac

Com a limitação do MAC, você limita os endereços MAC que podem ser aprendidos em interfaces de acesso de Camada 2 limitando o número de endereços MAC ou especificando endereços MAC permitidos:

  • Limitando o número de endereços MAC — você configura o número máximo de endereços MAC que podem ser aprendidos dinamicamente (adicionado à tabela de comutação Ethernet) por interface. Você pode especificar que os pacotes de entrada com novos endereços MAC serão ignorados, descartados ou registrados quando o limite for excedido. Você também pode especificar se a interface será desativada ou temporariamente desativada.

    Nota:

    Os endereços MAC estáticos não contam para o limite que você especifica para endereços MAC dinâmicos.

  • Especificação de endereços MAC permitidos — você configura os endereços MAC permitidos para uma interface. Nenhum endereço MAC que não esteja na lista de endereços configurados não é aprendido e o switch registra uma mensagem apropriada. Um endereço MAC permitido está vinculado a uma VLAN para que o endereço não seja registrado fora da VLAN. Se uma configuração MAC permitida entrar em conflito com uma configuração MAC dinâmica, a configuração MAC permitida prevalecerá.

A limitação do MAC está configurada em interfaces de Camada 2. Você pode especificar o número máximo de endereços MAC dinâmicos que podem ser aprendidos em uma única interface, todas as interfaces ou uma interface específica com base em sua associação dentro de um VLAN (limite MAC de associação VLAN).

Quando você está configurando o limite mac máximo para uma interface, você pode escolher a ação que ocorre em pacotes de entrada quando o limite MAC for excedido. Você pode especificar que os pacotes recebidos serão ignorados, descartados ou registrados quando o limite for excedido. Você também pode especificar se a interface será desativada ou temporariamente desativada.

A limitação de MAC não é habilitada por padrão. Para obter informações adicionais sobre a configuração do limite MAC para uma interface em um dispositivo que oferece suporte ao ELS, consulte Configurando o mac limiting (ELS). Para obter informações adicionais sobre a configuração do limite MAC para uma interface em um dispositivo que não oferece suporte a software de camada 2 (ELS), consulte Configuração de limitação MAC (não-ELS).

Veja usando a CLI de software de camada 2 aprimorada para obter informações adicionais sobre ELS.

Limitação do MAC Move

Com o limite de movimento MAC, você limita o número de vezes que um endereço MAC pode passar para uma nova interface em um segundo. Quando o limite de movimento MAC é configurado, os movimentos do endereço MAC são rastreados pelo switch. A primeira vez que um endereço MAC se move é sempre considerada uma boa jogada e não contará para o limite de movimento MAC configurado. O monitoramento dos movimentos de endereço MAC entra em vigor após o primeiro movimento, mesmo que o limite de movimento MAC esteja configurado como 1.

Você configura o limite de movimento MAC por VLAN. Embora você habilite esse recurso em VLANs, o limite de movimento MAC se aplica ao número de movimentos para cada endereço MAC individual, em vez do número total de movimentos de endereço MAC na VLAN. Por exemplo, se o limite de movimento MAC for definido para 1, o switch permite um número ilimitado de movimentos de endereço MAC dentro da VLAN, desde que o mesmo endereço MAC não se mova mais de uma vez em um segundo.

Você pode configurar uma ação a ser tomada se o limite de movimentação de endereço MAC for excedido. Você pode especificar que os pacotes recebidos serão ignorados, descartados ou registrados quando o limite for excedido. Você também pode especificar se a interface será desativada ou temporariamente desativada.

O limite de movimento MAC não é habilitado por padrão. Para obter informações adicionais sobre a configuração do limite de movimento MAC em um dispositivo que não oferece suporte ao ELS, consulte Configurando o MAC Move Limiting (não-ELS). Para obter informações adicionais sobre a configuração do mac move limiting em um dispositivo que oferece suporte ao ELS, consulte Configurando o MAC Move Limiting (ELS).

Ações para limitação de MAC e limitação de movimento MAC

Você pode optar por ter uma das seguintes ações realizadas quando o limite MAC ou o limite de movimento MAC for excedido:

  • drop— Solte o pacote, mas não gere alarme.

  • drop-and-log— Solte o pacote e gere um alarme, uma armadilha SNMP ou uma entrada de log do sistema.

  • log— Não solte o pacote, mas gere um alarme, uma armadilha SNMP ou uma entrada de log do sistema.

  • none— Encaminhe pacotes com novos endereços MAC de origem e aprenda o novo endereço MAC de origem.

  • shutdown— Desabilitar a interface na VLAN e gerar um alarme, uma armadilha SNMP ou uma entrada de log do sistema.

  • vlan-member-shutdown—(somente EX9200) A partir do Junos OS Release 15.1 para MAC Limiting e MAC Move Limiting nos switches EX9200, a vlan-member-shutdown declaração é apoiada para bloquear uma interface com base em sua associação em um VLAN específico e gerar um alarme, uma armadilha SNMP ou uma entrada de log do sistema.

Em caso de desligamento, você pode configurar o switch para restaurar automaticamente as interfaces desabilitadas do serviço após um período de tempo especificado. Para configurar o autorecovery em um dispositivo que oferece suporte ao ELS, consulte Configuração de autorecovery para eventos de segurança de portas. Para configurar o autorecovery em um dispositivo que não oferece suporte ao ELS, veja Configuração de autorecovery para eventos de segurança de portas.

Nota:

Para visualizar as entradas de log do sistema para recursos mac limit, você precisará configurar o registro do sistema com gravidade conforme aviso de log. Veja a visão geral do registro do sistema.
Nota:

Se você não configurar o switch para o autorecovery a partir da condição desabilitado, você pode criar as interfaces desabilitadas executando um dos seguintes comandos:

Nota:

Com sessões de ponto1x existentes:

  • Quando estabelecemos o limite MAC pela primeira vez, as sessões de ponto1x existentes são liberadas e as portas se movem para o estado de conexão.

  • Quando aumentamos o limite mac, as sessões não são liberadas e a porta permanece em estado autenticado.

  • Quando diminuímos o limite mac ou apagamos as configurações de opções de switch, as sessões de ponto1x existentes são liberadas e as portas se movem para o estado de conexão.

Em resumo, quando o limite MAC da interface configurado é menor do que o número de MACs aprendidos, o flush MAC acontece. Quando o limite MAC da interface configurado é maior do que o número de MACs aprendidos, não há impacto
Nota:

Verificações de confirmação foram introduzidas para evitar configurações incorretas. Somente interfaces configuradas para L2 poderão ser configuradas em qualquer uma dessas hierarquias.

  • definir instâncias de roteamento < nome de instâncias de roteamento> nome de vlans <vlans> interface de opções de switch <interface>

  • definir instâncias de roteamento < nome de instância de roteamento> domínios de ponte < nome de domínio de ponte> interface de opções de ponte <interface>

  • definir vlans <vlans-name> interface de opções de switch <interface>

  • definir domínios de ponte < nome de domíniobridge> interface de opções de ponte < nomeinterface>

  • definir vlans <vlans-name> interface mac-move-limit com opções de switch <interface>

Documentação relacionada

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Soltar
Descrição
15.1
A partir do Junos OS Release 15.1 para MAC Limiting e MAC Move Limiting nos switches EX9200, a vlan-member-shutdown declaração é apoiada para bloquear uma interface com base em sua associação em um VLAN específico e gerar um alarme, uma armadilha SNMP ou uma entrada de log do sistema.