Verificar se a limitação do MAC está funcionando corretamente
A limitação do MAC protege contra inundações da tabela de comutação Ethernet, estabelecendo um limite no número de endereços MAC que podem ser aprendidos em uma única interface de acesso de Camada 2 (porta).
O Junos OS oferece dois métodos para limitar o MAC para a segurança das portas:
-
Número máximo de endereços MAC — você configura o número máximo de endereços MAC dinâmicos permitidos por interface. Quando o limite é excedido, os pacotes de entrada com novos endereços MAC podem ser ignorados, descartados ou logados. Você também pode especificar se a interface será desativada ou temporariamente desativada.
-
Endereços MAC permitidos — você configura endereços MAC específicos "permitidos" para a interface de acesso. Nenhum endereço MAC que não esteja na lista de endereços configurados não é aprendido e o switch registra uma mensagem apropriada. O método MAC permitido vincula endereços MAC a uma VLAN para que o endereço não seja registrado fora da VLAN. Se uma configuração MAC permitida entrar em conflito com uma configuração MAC dinâmica, a configuração MAC permitida prevalecerá.
O Junos OS também permite definir um limite MAC para VLANs. No entanto, definir um limite MAC em VLANs não é considerado um recurso de segurança de porta, porque o switch não impede a entrada de pacotes que fazem com que o limite MAC seja excedido de ser encaminhado; ele só registra os endereços MAC desses pacotes.
As informações neste tópico são para plataformas que não são ELS. Para plataformas ELS, consulte Configurando o MAC Limiting (ELS) para ler sobre a limitação do MAC.
Verificar se a limitação do MAC para endereços MAC dinâmicos está funcionando corretamente
Propósito
Verifique se a limitação de MAC para endereços MAC dinâmicos está funcionando no switch.
Ação
Exibir os endereços MAC que foram aprendidos. A saída de amostra a seguir mostra os resultados quando dois pacotes foram enviados de hosts em ge-0/0/1 e cinco solicitações de pacotes foram enviados dos hosts no ge-0/0/2, com ambas as interfaces definidas para um limite MAC de 4 com a queda de ação padrão:
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 6 learned VLAN MAC address Type Age Interfaces employee-vlan * Flood - ge-0/0/2.0 employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
Significado
A saída de amostra mostra que, com um limite MAC de 4 para cada interface, o pacote para um quinto endereço MAC no ge-0/0/2 foi descartado porque excedeu o limite MAC. O endereço não foi aprendido e, portanto, um asterisco (*) em vez de um endereço aparece na coluna de endereço MAC na primeira linha da saída de amostra.
Verificar se a limitação do MAC para uma interface específica em uma VLAN específica está funcionando corretamente
Propósito
Verifique se a limitação de MAC para uma interface específica com base em sua associação em um VLAN específico está funcionando no switch.
Ação
Exibir as estatísticas detalhadas dos endereços MAC que foram aprendidos:
user@switch> show ethernet-switching statistics mac-learning interface ge-0/0/28 detail
Interface: ge-0/0/28.0
Learning message from local packets: 0
Learning message from transit packets: 5
Learning message with error: 0
Invalid VLAN: 0 Invalid MAC: 0
Security violation: 0 Interface down: 0
Incorrect membership: 0 Interface limit: 0
MAC move limit: 0 VLAN limit: 0
VLAN membership limit: 20
Invalid VLAN index: 0 Interface not learning: 0
No nexthop: 0 MAC learning disabled: 0
Others: 0
Significado
Isso VLAN membership limit mostra que o número de pacotes que foram descartados devido ao limite MAC de associação VLAN para interface ge-0/28.0 foi excedido. Neste caso, 20 pacotes foram descartados.
Verificar se os endereços MAC permitidos estão funcionando corretamente
Propósito
Verifique se os endereços MAC permitidos estão funcionando no switch.
Ação
Exibir as informações do cache do endereço MAC após a configuração de endereços MAC permitidos em uma interface. A amostra a seguir mostra o cache de endereço MAC após 5 endereços MAC permitidos estarem na interface ge-0/0/2. Neste caso, a interface também foi definida para um limite MAC dinâmico de 4 com a queda de ação padrão.
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Significado
Como o valor limite do MAC para essa interface foi definido para 4, apenas quatro dos cinco endereços permitidos configurados foram aprendidos e, portanto, adicionados ao cache de endereço MAC. Como o quinto endereço não foi aprendido, um asterisco (*) em vez de um endereço aparece na coluna de endereço MAC na última linha da saída de amostra.
Verificação dos resultados de várias configurações de ação quando o limite MAC é excedido
Propósito
Verifique os resultados fornecidos pelas várias configurações de ação para limites MAC — queda, log, desligamento e nenhum — quando os limites forem excedidos.
Ação
Exibir os resultados das várias configurações de ação.
Você pode visualizar mensagens de log usando o show log messages comando. Você também pode ter as mensagens de log exibidas configurando as mensagens de início do monitor com o monitor start messages comando.
-
ação de queda — para mac limitação configurada com uma ação de queda e com o limite MAC definido para 5:
user@switch> show ethernet-switching table Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee—vlan * Flood - ge-0/0/2.0 employee—vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0
-
ação de log — para mac limitação configurada com uma ação de log e com limite MAC definido para 5:
user@switch> show ethernet-switching table Ethernet-switching table: 74 entries, 73 learned VLAN MAC address Type Age Interfaces employee—vlan * Flood - ge-0/0/2.0 employee—vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:82 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:84 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:87 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0 . . .
-
ação de desligamento — para mac limitação configurada com uma ação de desligamento e com limite MAC definido para 3:
user@switch> show ethernet-switching table Ethernet-switching table: 4 entries, 3 learned VLAN MAC address Type Age Interfaces employee—vlan * Flood - ge-0/0/2.0 employee—vlan 00:05:85:3A:82:82 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:84 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:87 Learn 0 ge-0/0/2.0
-
nenhuma ação — Se você definir um limite MAC para aplicar a todas as interfaces do switch, você pode substituir essa configuração para uma interface específica especificando esta ação para essa interface. Consulte override um limite MAC aplicado a todas as interfaces.
Significado
Para os resultados de ação de queda — o sexto endereço MAC excedeu o limite mac. O pacote de solicitação para esse endereço foi descartado. Apenas cinco endereços MAC foram aprendidos no ge-0/0/2.
Para os resultados de ação de log — o sexto endereço MAC excedeu o limite mac. Nenhum endereço MAC foi bloqueado.
Para os resultados da ação de encerramento — o quarto endereço MAC excedeu o limite mac. Apenas três endereços MAC foram aprendidos no ge-0/0/2. A interface ge-0/0/1 está desligada.
Para obter mais informações sobre interfaces que foram desligadas, use o show ethernet-switching interfaces comando.
user@switch> show ethernet-switching interfaces Interface State VLAN members Tag Tagging Blocking bme0.32770 down mgmt untagged unblocked ge-1/0/0.0 down v1 untagged MAC limit exceeded ge-1/0/1.0 up v1 untagged unblocked ge-1/0/2.0 up v1 untagged unblocked me0.0 up mgmt untagged unblocked
Você pode configurar o switch para se recuperar automaticamente desse tipo de condição de erro especificando a port-error-disable declaração com um valor de tempo limite de desativação . O switch restaura automaticamente a interface desativada para o serviço quando o tempo limite de desativação expira. A configuração de desativação de erro da porta não se aplica às condições de erro já existentes. Ele impacta apenas as condições de erro detectadas após a desativação da porta ter sido habilitada e comprometida. Para limpar uma condição de erro já existente e restaurar a interface ao serviço, use o clear ethernet-switching port-error comando.
Verificando se as interfaces estão desativadas
Propósito
Verifique se uma interface é desligada quando o limite MAC for excedido.
Ação
Para obter mais informações sobre interfaces que foram desligadas porque o limite MAC foi excedido, use o show ethernet-switching interfaces comando.
user@switch> show ethernet-switching interfaces Interface State VLAN members Tag Tagging Blocking bme0.32770 down mgmt untagged unblocked xe-0/0/0.0 down v1 untagged MAC limit exceeded xe- 0/0/1.0 up v1 untagged unblocked xe-0/0/2.0 up v1 untagged unblocked me0.0 up mgmt untagged unblocked
Você pode configurar interfaces para se recuperar automaticamente quando o limite MAC tiver sido excedido especificando a port-error-disable declaração com um valor de tempo limite de desativação . O switch restaura automaticamente a interface desativada para o serviço quando o tempo limite de desativação expira. A configuração de desativação de erro da porta não se aplica a condições de erro pré-existentes — ela afeta apenas as condições de erro detectadas após a habilitação da port-error-disable declaração e a configuração foi comprometida. Para limpar uma condição de erro pré-existente e restaurar a interface ao serviço, use o clear ethernet-switching port-error comando.
Personalização do display da tabela de comutação Ethernet para visualizar informações para uma interface específica
Propósito
Você pode usar o show ethernet-switching table comando para visualizar informações sobre os endereços MAC aprendidos em uma interface específica.
Ação
Por exemplo, para exibir os endereços MAC aprendidos na interface ge-0/0/2, digite:
user@switch> show ethernet-switching table interface ge-0/0/2.0 Ethernet-switching table: 1 unicast entries VLAN MAC address Type Age Interfaces v1 * Flood - All-members v1 00:00:06:00:00:00 Learn 0 ge-2/0/0.0
Significado
O valor limite mac para ge-0/0/2 foi definido para 1, e a saída mostra que apenas um endereço MAC foi aprendido e, portanto, adicionado ao cache de endereço MAC. Um asterisco (*) em vez de um endereço aparece na coluna de endereço MAC na primeira linha da saída de amostra.