Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Configuração da limitação do MAC

Configuração do mac limiting (ELS)

Este tópico descreve as diferentes maneiras de configurar uma limitação nos endereços MAC em pacotes que são recebidos e encaminhados pelo dispositivo.

Nota:

As tarefas apresentadas nesta seção usam o Junos OS para switches da Série EX, QFX3500 e switches de QFX3600 e roteadores da Série PTX que oferecem suporte ao estilo de configuração do Software de Camada 2 Aprimorado (ELS). Veja usando a CLI aprimorada de software de Camada 2 para obter mais informações sobre as configurações do ELS.

As diferentes maneiras de definir um limite MAC são descritas nas seguintes seções:

Limitando o número de endereços MAC aprendidos por uma interface

Nota:

Nos roteadores da Série PTX, você pode limitar o número de endereços MAC aprendidos apenas por uma interface.

Para proteger uma porta, você pode definir o número máximo de endereços MAC que podem ser aprendidos por uma interface.

Defina o limite MAC em uma interface e especifique uma ação que o dispositivo toma após o limite especificado ser excedido.
Se você quiser definir o limite MAC em uma interface que faz parte da instância de roteamento padrão:
Se você quiser definir o limite MAC em uma interface que faz parte de uma instância de roteamento:
Se você quiser definir o limite MAC em todas as interfaces que fazem parte da instância de roteamento padrão:
Se você quiser definir o limite MAC em todas as interfaces que fazem parte de uma instância de roteamento:

Depois de definir um novo limite MAC para a interface, o sistema libera as entradas existentes na tabela de encaminhamento de endereços MAC associada à interface.

Limitando o número de endereços MAC aprendidos por uma VLAN

Para limitar o número de endereços MAC aprendidos por uma VLAN, execute as seguintes etapas:

Defina o número máximo de endereços MAC que podem ser aprendidos por um VLAN e especifique uma ação que o dispositivo toma após o limite especificado ser excedido:

Limitando o número de endereços MAC aprendidos por uma interface em uma VLAN

Para limitar o número de endereços MAC aprendidos por uma interface em uma VLAN, execute as seguintes etapas:

  1. Defina o número máximo de endereços MAC que podem ser aprendidos por uma interface em uma VLAN e especifique uma ação que o dispositivo toma após o limite especificado ser excedido:
  2. Defina o número máximo de endereços MAC que podem ser aprendidos por uma ou todas as interfaces na VLAN e especifique uma ação que o dispositivo toma após o limite especificado ser excedido:
    Nota:

    Se você especificar um limite MAC e uma ação de pacote para todas as interfaces na VLAN e uma interface específica na VLAN, o limite MAC e a ação de pacotes especificados no nível de interface específico têm precedência. Além disso, no nível da interface VLAN, apenas as opções e opções drop drop-and-log são suportadas.

    Depois de definir novos limites MAC para uma VLAN usando a mac-table-size declaração ou para interfaces associadas a uma VLAN usando a interface-mac-limit declaração, o sistema libera as entradas existentes correspondentes na tabela de encaminhamento de endereços MAC.

    Nota:

    Em um Virtual Chassis da Série QFX, se você incluir a opção shutdown no nível de [edit vlans vlan-name switch-options interface interface-name interface-mac-limit packet-action] hierarquia e emitir a commit operação, o sistema gera um erro de confirmação. O sistema não gera um erro se você incluir a opção shutdown no nível de [edit switch-options interface interface-name interface-mac-limit packet-action] hierarquia.

Configuração do mac limiting (não-ELS)

Essa tarefa usa o Junos OS para switches da Série EX e switches de QFX3500 e QFX3600 que não oferecem suporte ao estilo de configuração do Software de Camada 2 (ELS).

Este tópico descreve várias maneiras de configurar uma limitação nos endereços MAC em pacotes que são recebidos e encaminhados pelo switch.

Antes de poder alterar um limite MAC que foi previamente definido para uma interface ou um VLAN, você deve primeiro limpar as entradas existentes na tabela de encaminhamento de endereços MAC que correspondem à mudança que você deseja fazer. Assim, para alterar o limite em uma interface, primeiro libere as entradas da tabela de encaminhamento de endereço MAC para essa interface. Para alterar o limite em todas as interfaces e VLANs, libere todas as entradas da tabela de encaminhamento de endereços MAC. Para alterar o limite de uma VLAN, libere as entradas da tabela de encaminhamento de endereços MAC para essa VLAN.

Para limpar os endereços MAC da tabela de encaminhamento:

  • Entradas de endereço MAC claras a partir de uma interface específica (aqui, a interface é ge-0/0/1) na tabela de encaminhamento:

  • Libere todas as entradas de endereço MAC na tabela de encaminhamento:

  • Entradas de endereço MAC claras de uma VLAN específica (aqui, a VLAN é vlan-abc):

As diferentes maneiras de definir um limite MAC são descritas nas seguintes seções:

Limitando o número de endereços MAC que podem ser aprendidos em interfaces

Para configurar a limitação do MAC para a segurança da porta, estabelecendo um número máximo de endereços MAC que podem ser aprendidos em interfaces.

  • Aplique o limite MAC em uma única interface (aqui, a interface é ge-0/0/1):

    Quando nenhuma ação é especificada para configurar o limite MAC em uma interface, o dispositivo executa a queda de ação padrão se o limite for excedido.

  • Aplique o limite MAC em uma única interface de acesso, com base em sua associação em uma VLAN específica (aqui, a interface é ge-0/0/1 e a VLAN é v1.

    Com esse tipo de configuração, o dispositivo derruba quaisquer pacotes adicionais se o limite for excedido e também registra uma mensagem.

  • Aplique o limite para todas as interfaces de acesso:

    Quando nenhuma ação é especificada para configurar o limite MAC em todas as interfaces, o dispositivo executa a queda de ação padrão se o limite for excedido:

Especificação de endereços MAC permitidos

Você deve limpar as entradas existentes na tabela de encaminhamento de endereços MAC antes de alterar o limite de endereço MAC.

Para configurar a limitação de MAC para segurança de porta especificando endereços MAC permitidos:

  • Em uma única interface (aqui, a interface é ge-0/0/2):
  • Em todas as interfaces:

Configuração da limitação de MAC para VLANs

Você deve limpar as entradas existentes na tabela de encaminhamento de endereços MAC antes de alterar o limite de endereço MAC.

A limitação de MAC para uma VLAN restringe os endereços MAC que podem ser aprendidos para essa VLAN, mas não descartam o pacote. Portanto, definir o limite MAC em uma VLAN não é considerado um recurso de segurança de porta.

Nota:

A configuração de endereços MAC permitidos específicos não se aplica às VLANs.

Para configurar a limitação de MAC para uma VLAN usando a CLI:

Limite o número de endereços MAC dinâmicos em uma VLAN:

Se o limite MAC em um VLAN específico for excedido, o dispositivo registra os endereços MAC de pacotes que fazem com que o limite seja excedido. Nenhuma outra ação é possível.

Nota:

Quando você estiver aplicando um limite MAC em uma VLAN, não configure mac-limit para 1 para uma VLAN composta por interfaces de VLAN roteadas (RVIs) ou uma VLAN composta por pacotes Ethernet agregados usando LACP. Nesses casos, a configuração de mac-limit 1 impede que o dispositivo aprenda endereços MAC que não sejam os endereços automáticos:

  • Para RVIs, o primeiro endereço MAC inserido no banco de dados de encaminhamento é o endereço MAC do RVI.

  • Para pacotes Ethernet agregados usando LACP, o primeiro endereço MAC inserido no banco de dados de encaminhamento na tabela de encaminhamento é o endereço fonte do pacote de protocolo.

Se o VLAN for composto por interfaces de acesso ou tronco regulares, você pode definir o mac-limit 1 se preferir fazê-lo.

Veja também

Configuração da limitação mac em roteadores da Série MX

Este tópico descreve as diferentes maneiras de configurar uma limitação nos endereços MAC em pacotes que são recebidos e encaminhados pelos roteadores da Série MX.

Limitando o número de endereços MAC aprendidos por uma interface

Para proteger uma porta, você pode definir o número máximo de endereços MAC que podem ser aprendidos por uma interface.

Os roteadores da Série MX oferecem suporte apenas à ação de quedas . Se a ação não for especificada, o roteador executa a queda de ação padrão se o limite for excedido.

Defina o limite MAC em uma interface e especifique a ação que o roteador toma após o limite especificado ser excedido.
Se você quiser definir o limite MAC em uma interface que faz parte da instância de roteamento padrão:
Se você quiser definir o limite MAC em uma interface que faz parte de uma instância de roteamento:
Se você quiser definir o limite MAC em todas as interfaces que fazem parte da instância de roteamento padrão:
Se você quiser definir o limite MAC em todas as interfaces que fazem parte de uma instância de roteamento:

Depois de definir um novo limite MAC para a interface, o sistema libera as entradas existentes na tabela de encaminhamento de endereços MAC associada à interface.

Limitando o número de endereços MAC aprendidos por um domínio de ponte

Para limitar o número de endereços MAC aprendidos por um domínio de ponte, execute as seguintes etapas:

Defina o número máximo de endereços MAC que podem ser aprendidos por um domínio de ponte e especifique uma ação que o dispositivo toma após o limite especificado ser excedido:

Limitando o número de endereços MAC aprendidos por uma interface em um domínio de ponte

Para limitar o número de endereços MAC aprendidos por uma interface em um domínio de ponte, execute as seguintes etapas:

  1. Defina o número máximo de endereços MAC que podem ser aprendidos por uma interface em um domínio de ponte e especifique uma ação que o dispositivo toma após o limite especificado ser excedido:
  2. Defina o número máximo de endereços MAC que podem ser aprendidos por uma ou todas as interfaces no domínio da ponte, e especifique uma ação que o dispositivo toma após o limite especificado ser excedido:
    Nota:

    Se você especificar um limite MAC e uma ação de pacote para todas as interfaces no domínio da ponte e uma interface específica no domínio da ponte, o limite MAC e a ação de pacote especificados no nível de interface específico prevalece. Além disso, no nível de interface de domínio da ponte, apenas a opção drop é suportada.

Configuração do mac limiting (procedimento J-Web)

A limitação de MAC protege contra inundações da tabela de comutação Ethernet em um switch da Série EX. A limitação do MAC estabelece um limite no número de endereços MAC que podem ser aprendidos em uma única interface de acesso de Camada 2 (porta).

O Junos OS oferece dois métodos de limitação mac:

  • Número máximo de endereços MAC dinâmicos permitidos por interface — Se o limite for excedido, os pacotes de entrada com novos endereços MAC serão descartados.

  • Endereços MAC específicos "permitidos" para a interface de acesso — nenhum endereço MAC que não esteja na lista de endereços configurados não é aprendido.

Você configura a limitação de MAC para cada interface, não para cada VLAN. Você pode especificar o número máximo de endereços MAC dinâmicos que podem ser aprendidos em uma única interface de acesso de Camada 2 ou em todas as interfaces de acesso de Camada 2. A ação padrão que o switch tomará se esse número máximo for excedido é a queda — solte o pacote e gere um alarme, uma armadilha SNMP ou uma entrada de log do sistema.

Para permitir a limitação de MAC em uma ou mais interfaces usando a interface J-Web:

  1. Selecione Configure>Security>Port Security.
  2. Selecione uma ou mais interfaces da Lista de Interfaces.
  3. Clique no botão Editar . Se uma mensagem aparecer perguntando se você deseja habilitar a segurança da porta, clique em Sim.
  4. Para definir um limite MAC dinâmico:

    1. Digite um valor limite na caixa limite MAC .

    2. Selecione uma ação na caixa de ação limite MAC (opcional). O switch toma essa ação quando o limite MAC é excedido. Se você não selecionar uma ação, o switch aplica a ação padrão, deixe cair.

      • Log — Gere uma entrada de log do sistema.

      • Soltar — Solte os pacotes e gere uma entrada de log do sistema. (Padrão)

      • Desligamento — desativar a VLAN e gerar uma entrada de log do sistema. Você pode mitigar o efeito dessa opção configurando o switch para autorecovery a partir do estado desabilitado e especificando um valor de tempo limite de desativação .

      • Nenhuma— Nenhuma ação a ser tomada.

  5. Para adicionar endereços MAC permitidos:

    1. Clique em Adicionar.

    2. Digite o endereço MAC permitido e clique em OK.

    Repita esta etapa para adicionar mais endereços MAC permitidos.

  6. Clique em OK quando terminar de definir limites MAC.
  7. Clique em OK após a configuração ter sido entregue com sucesso.
Nota:

Você pode ativar ou desabilitar a segurança de porta no switch a qualquer momento clicando no botão Ativar ou desativar na página de configuração de segurança de portas. Se o status de segurança for mostrado como desativado quando você tentar editar configurações para quaisquer VLANs ou interfaces (portas), uma mensagem perguntando se você deseja habilitar a segurança da porta aparece.

Veja também