Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entender o mac limiting e o mac move limiting

A limitação de MAC protege contra inundações da tabela de comutação Ethernet e é habilitada em interfaces de Camada 2 (portas). O movimento MAC limita a detecção de movimento MAC e spoofing MAC em interfaces de acesso. Ele é habilitado em VLANs.

  • A limitação do MAC melhora a segurança das portas limitando o número de endereços MAC que podem ser aprendidos em um VLAN. Limitar o número de endereços MAC protege o switch contra inundações da tabela de comutação Ethernet (também conhecida como tabela de encaminhamento MAC ou tabela de encaminhamento de Camada 2). A inundação ocorre quando o número de novos endereços MAC que são aprendidos faz com que a tabela de comutação Ethernet transborde, e endereços MAC aprendidos anteriormente são retirados da mesa. Em seguida, o switch volta a inundar os endereços MAC aprendidos anteriormente, o que pode afetar o desempenho e introduzir vulnerabilidades de segurança.

  • O limite de movimento MAC fornece segurança adicional controlando o número de movimentos de endereço MAC que são permitidos em uma VLAN em um segundo. Um movimento de endereço MAC ocorre quando o switch recebe um pacote com um endereço MAC de origem que já foi aprendido pelo switch, mas em uma interface diferente. A tabela de comutação Ethernet é então atualizada para refletir a associação do endereço MAC com a nova interface. Como a tabela de comutação Ethernet deve ser atualizada para cada movimento de endereço MAC, eventos de movimento frequentes podem levar ao esgotamento dos recursos de processamento do switch. Isso pode ocorrer como resultado de um ataque de spoofing MAC ou um loop na rede.

Limitação de MAC

Com a limitação do MAC, você limita os endereços MAC que podem ser aprendidos nas interfaces de acesso de Camada 2 limitando o número de endereços MAC ou especificando endereços MAC permitidos:

  • Limitando o número de endereços MAC — você configura o número máximo de endereços MAC que podem ser aprendidos dinamicamente (adicionado à tabela de comutação Ethernet) por interface. Você pode especificar que os pacotes recebidos com novos endereços MAC sejam ignorados, descartados ou registrados quando o limite for excedido. Você também pode especificar que a interface seja fechada ou desabilitada temporariamente.

    Nota:

    Os endereços MAC estáticos não contam para o limite que você especifica para endereços MAC dinâmicos.

  • Especificando endereços MAC permitidos — você configura os endereços MAC permitidos para uma interface. Nenhum endereço MAC que não esteja na lista de endereços configurados não é aprendido, e o switch registra uma mensagem apropriada. Um endereço MAC permitido está vinculado a uma VLAN para que o endereço não seja registrado fora da VLAN. Se uma configuração MAC permitida entrar em conflito com uma configuração MAC dinâmica, a configuração MAC permitida prevalecerá.

A limitação do MAC está configurada em interfaces de Camada 2. Você pode especificar o número máximo de endereços MAC dinâmicos que podem ser aprendidos em uma única interface, todas as interfaces ou uma interface específica com base em sua adesão dentro de um VLAN (limite MAC de membro VLAN).

Quando você está configurando o limite mac máximo para uma interface, você pode escolher a ação que ocorre em pacotes de entrada quando o limite MAC for excedido. Você pode especificar que os pacotes recebidos serão ignorados, descartados ou registrados quando o limite for excedido. Você também pode especificar que a interface seja fechada ou desabilitada temporariamente.

A limitação do MAC não é habilitada por padrão. Para obter informações adicionais sobre a configuração do limite MAC para uma interface em um dispositivo que oferece suporte ao ELS, consulte Configurando o MAC Limiting (ELS). Para obter informações adicionais sobre a configuração do limite MAC para uma interface em um dispositivo que não oferece suporte ao Software aprimorado de Camada 2 (ELS), consulte Configurando o MAC Limiting (não-ELS).

Veja usando a CLI aprimorada de software de Camada 2 para obter informações adicionais sobre ELS.

Limitação de movimento MAC

Com o limite de movimento MAC, você limita o número de vezes que um endereço MAC pode passar para uma nova interface em um segundo. Quando o limite de movimento MAC é configurado, os movimentos do endereço MAC são rastreados pelo switch. A primeira vez que um endereço MAC se move é sempre considerada uma boa jogada e não vai contar para o limite de movimento MAC configurado. O monitoramento dos movimentos de endereço MAC entra em vigor após o primeiro movimento, mesmo que o limite de movimento MAC esteja configurado como 1.

Você configura o limite de movimento MAC por VLAN. Embora você habilite esse recurso em VLANs, o limite de movimento MAC se aplica ao número de movimentos para cada endereço MAC individual, em vez do número total de movimentos de endereço MAC na VLAN. Por exemplo, se o limite de movimento MAC for definido para 1, o switch permite que um número ilimitado de movimentos de endereço MAC dentro da VLAN, desde que o mesmo endereço MAC não se mova mais de uma vez em um segundo.

Você pode configurar uma ação a ser tomada se o limite de movimentação de endereço MAC for excedido. Você pode especificar que os pacotes recebidos serão ignorados, descartados ou registrados quando o limite for excedido. Você também pode especificar que a interface seja fechada ou desabilitada temporariamente.

O limite de movimento MAC não é habilitado por padrão. Para obter informações adicionais sobre a configuração da limitação de movimento MAC em um dispositivo que não oferece suporte ao ELS, consulte Configurando o MAC Move Limiting (não-ELS). Para obter informações adicionais sobre a configuração do MAC, limite de movimento em um dispositivo que oferece suporte a ELS, consulte Configurando o MAC Move Limiting (ELS).

Ações para mac limiting e mac move limiting

Você pode optar por ter uma das seguintes ações executadas quando o limite MAC ou o limite de movimento MAC for excedido:

  • drop— Solte o pacote, mas não gere um alarme.

  • drop-and-log— Solte o pacote e gere um alarme, uma armadilha SNMP ou uma entrada de log do sistema.

  • log— Não solte o pacote, mas gere um alarme, uma armadilha SNMP ou uma entrada de log do sistema.

  • none— Encaminhe pacotes com novos endereços MAC de origem e aprenda o novo endereço MAC de origem.

  • shutdown— Desativar a interface no VLAN e gerar um alarme, uma armadilha SNMP ou uma entrada de log do sistema.

  • vlan-member-shutdown— (somente EX9200) A partir do Junos OS Release 15.1 para MAC Limiting e MAC Move Limiting nos switches EX9200, a declaração tem o vlan-member-shutdown suporte para bloquear uma interface com base em sua participação em um VLAN específico e gerar um alarme, uma armadilha SNMP ou uma entrada de log do sistema.

Em caso de paralisação, você pode configurar o switch para restaurar automaticamente as interfaces desabilitadas ao serviço após um período de tempo especificado. Para configurar o autorecovery em um dispositivo que oferece suporte ao ELS, consulte Configuração de autorecovery para eventos de segurança de portas. Para configurar o autorecovery em um dispositivo que não oferece suporte a ELS, consulte Configuração de autorecovery para eventos de segurança de portas.

Nota:

Se você não configurar o switch para o autorecovery a partir da condição desabilitada, você pode trazer as interfaces desabilitadas executando um dos seguintes comandos:

Nota:

Com sessões dot1x existentes:

  • Quando estabelecemos o limite MAC pela primeira vez, as sessões do ponto1x existentes são liberadas e a porta se move para o estado de conexão.

  • Quando aumentamos o limite mac, as sessões não são liberadas e a porta permanece em estado autenticado.

  • Quando diminuímos o limite MAC ou eliminamos as configurações de opções de switch, as sessões do ponto1x existentes são liberadas e a porta se move para o estado de conexão.

Resumindo, quando o limite MAC da interface configurado é menor do que o número de MACs aprendidos, o mac flush acontece. Quando o limite MAC da interface configurado é maior do que o número de MACs aprendidos, não há impacto

Nota:

Verificações de compromisso foram introduzidas para evitar erros de configuração. Somente interfaces configuradas para L2 poderão ser configuradas sob qualquer uma dessas hierarquias.

  • definir instâncias de roteamento < nome de instância de roteamento> vlans < nome de vlans> interface de opções de switch < nomeinterface>

  • definir instâncias de roteamento < nome de instância de roteamento> domínios de ponte < nome de domíniobridge> interface de opções de ponte < nome de interface>

  • definir vlans <vlans nome> interface de opções de switch < nomeinterface>

  • definir domínios de ponte < nome de domíniobridge> interface de opções de ponte < nomeinterface>

  • definir vlans < nome de vlans> interface mac-move-limit de opções de switch < nomeinterface>

Tabela de histórico de lançamento
Lançamento
Descrição
15.1
A partir do Junos OS Release 15.1 para MAC Limiting e MAC Move Limiting nos switches EX9200, a declaração tem suporte vlan-member-shutdown para bloquear uma interface com base em sua participação em um VLAN específico e gerar um alarme, uma armadilha SNMP ou uma entrada de log do sistema.