NESTA PÁGINA
Entender a limitação do MAC em interfaces de roteamento de camada 3
Visão geral
O recurso de limitação mac oferece um mecanismo para limitar endereços MAC em dispositivos que estão conectados a uma interface Gigabit Ethernet (GE) roteada de Camada 3, Ethernet Rápida (FE) ou interface Ethernet de 10 Gigabit (XE). Com filtros MAC, você pode permitir tráfego com MAC de origem específica. A limitação de MAC baseada em software é suportada. A limitação de MAC é aplicável apenas em interfaces com encapsulamento simples de Ethernet ou VLAN tagged.
Tanto o nível source-address-filter da interface física quanto as configurações lógicas da interface accept-source-mac contam com suporte para dispositivos SRX100, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340 e SRX650. (O suporte da plataforma depende da versão do Junos OS em sua instalação.) As seguintes considerações se aplicam quando você configura as declarações e accept-source-mac as source-address-filter declarações:
Se apenas a declaração de nível
accept-source-maclógico estiver configurada, o tráfego somente desses endereços MAC configurados será permitido na interface lógica.Se apenas a declaração de nível
source-address-filterde interface física estiver configurada, os endereços MAC permitidos pela interface física também serão considerados os endereços permitidos para todas as interfaces lógicas pertencentes à interface física. Os pacotes de entrada de quaisquer outros endereços MAC de origem são descartados.Se o nível
source-address-filterde interface física estiver configurado emgigether-options(oufastether-options) eaccept-source-macestiver configurado para uma ou mais de suas interfaces lógicas ou VLANs, a lista permitida de endereços é uma combinação de endereços MAC especificados em ambas as declarações. Para interfaces lógicas e VLANs onde aaccept-source-macdeclaração não está configurada, considera-se a lista permitida de endereços da interface física.
Você pode configurar uma interface para receber pacotes de endereços MAC específicos. Para fazer isso, especifique os endereços MAC nas source-address-filter declarações ou accept-source-mac declarações:
Logical level MAC filter configuration on an untagged interfacege-0/0/10 { unit 0 { accept-source-mac { mac-address 00:22:33:44:55:66; mac-address 00:26:88:e9:a3:01; } family inet { address 60.60.60.1/24; } } }Physical level MAC filter configuration on an untagged interfacege-0/0/10 { gigether-options { source-address-filter { 00:55:55:55:55:66; 00:26:88:e9:a3:01; } } unit 0 { family inet { address 60.60.60.1/24; } } }Physical and logical level MAC filter configurations on a tagged interfacege-0/0/10 { vlan-tagging; gigether-options { source-address-filter { 00:26:88:e9:a3:01; } } unit 0 { vlan-id 40; accept-source-mac { mac-address 00:22:33:44:55:66; } family inet { address 40.40.40.1/24; } } unit 1 { vlan-id 60; accept-source-mac { mac-address 00:55:55:55:55:66; } family inet { address 60.60.60.1/24; } } }
Em interfaces Ethernet Gigabit não registradas, você não deve configurar as declarações e as source-address-filter accept-source-mac declarações simultaneamente. Se essas declarações estiverem configuradas para as mesmas interfaces ao mesmo tempo, uma mensagem de erro será exibida. No entanto, no caso de VLANs marcadas, ambas essas declarações podem ser configuradas simultaneamente, se nenhum endereço MAC idêntico for especificado.
Limitações
As seguintes limitações se aplicam ao MAC que limita o suporte em interfaces GE, AE, FE ou XE roteadas de Camada 3:
Você pode configurar apenas 32 endereços MAC por dispositivo (exceto em interfaces Ethernet agregadas, onde o limite é de 64 endereços por interface lógica).
Apenas a filtragem MAC baseada em software é suportada. A filtragem MAC baseada em software afeta o desempenho. O impacto no desempenho é proporcional ao número de endereços MAC configurados.
O policiador baseado em MAC ou a limitação de taxa não são suportados.
Você não pode configurar o endereço de transmissão ou multicast na
source-address-filterdeclaração.A filtragem MAC não é suportada em interfaces agregadas de Ethernet (AE) ( ela é suportada em algumas plataformas; veja o Feature Explorer para detalhes da plataforma); ou em Fabric Ethernet, Protocolo de ponto a ponto sobre Ethernet (PPPoE), interface VLAN roteada (RVI) ou interfaces VLAN.
A filtragem MAC não é suportada em clusters de chassi.
Se você configurar a filtragem MAC na interface AE, você deve configurar a interface com
accept-source-mac(ou seja, não comsource-address-filter) e comfamily ethernet-switching.