Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Entender e usar o aprendizado MAC persistente

Entendendo o aprendizado MAC persistente (Sticky MAC)

O aprendizado MAC persistente, também conhecido como MAC pegajoso, é um recurso de segurança de porta que permite que uma interface retenha endereços MAC aprendidos dinamicamente quando o switch é reiniciado ou se a interface cair e for trazida de volta on-line.

O aprendizado de endereço MAC persistente é desativado por padrão. Você pode habilitar o aprendizado de endereço MAC persistente em conjunto com o limite mac para restringir o número de endereços MAC persistentes. Você habilita esse recurso em interfaces.

Configure o aprendizado MAC persistente em uma interface para:

  • Evite perdas de tráfego para estações de trabalho e servidores confiáveis porque a interface não precisa reaprender os endereços do tráfego de entrada após uma reinicialização.

  • Proteja o switch contra ataques de segurança. Use o aprendizado MAC persistente em combinação com mac limiting para proteger contra ataques, como ataques de negação de serviço (DoS) de Camada 2, ataques de transbordamento na tabela de comutação Ethernet e ataques dhCP, limitando os endereços MAC permitidos enquanto ainda permite que a interface aprenda dinamicamente um número especificado de endereços MAC. A interface é protegida porque, após o alcance do limite, outros dispositivos não podem se conectar à porta.

Ao configurar o aprendizado MAC persistente junto com o limitamento MAC, você permite que interfaces aprendam endereços MAC de estações de trabalho e servidores confiáveis desde o momento em que você conecta a interface à sua rede até que o limite para endereços MAC seja alcançado e garanta que, após esse limite, novos dispositivos não poderão se conectar à interface mesmo que o switch reinicie. Como alternativa ao uso do aprendizado MAC persistente com limitação de MAC, você pode configurar estaticamente cada endereço MAC em cada porta ou permitir que a porta aprenda continuamente novos endereços MAC após reinícios ou eventos de interface para baixo. Permitir que a porta aprenda continuamente os endereços MAC representa um risco de segurança.

Nota:

  • Enquanto um switch está reiniciando ou uma interface está voltando, pode haver um pequeno atraso antes que a interface possa aprender mais endereços MAC. Esse atraso ocorre enquanto o sistema reinscreve endereços MAC persistentes aprendidos anteriormente no banco de dados de encaminhamento para a interface.

  • A partir do Junos OS Release 22.4R1 em diante, você pode permitir o aprendizado MAC persistente em interfaces de porta-malas (com tags VLAN) e acesso.

Considere as seguintes diretrizes de configuração ao configurar o aprendizado MAC persistente:

  • Você não pode permitir o aprendizado MAC persistente em uma interface na qual a autenticação 802.1x está configurada.

  • Você não pode permitir o aprendizado MAC persistente em uma interface que faz parte de um grupo de tronco redundante.

  • Você não pode habilitar o aprendizado MAC persistente em uma interface na qual o aprendizado sem mac está habilitado.

Ponta:

Se você mover um dispositivo dentro de sua rede que tenha uma entrada de endereço MAC persistente no switch, use o clear ethernet-switching table persistent-learning <interface | mac-address> comando para limpar a entrada de endereço MAC persistente da interface. Se você mover o dispositivo e não limpar o endereço MAC persistente da porta original em que foi aprendido, então a nova porta não aprenderá o endereço MAC do dispositivo e o dispositivo não será capaz de se conectar. Se a porta original estiver baixa quando você mover o dispositivo, a nova porta aprenderá o endereço MAC e o dispositivo poderá se conectar. No entanto, se você não limpar o endereço MAC persistente na porta original, então, quando a porta é reiniciada, o sistema reinstala o endereço MAC persistente na tabela de encaminhamento para essa porta. Se isso ocorrer, o endereço MAC persistente é removido da nova porta e o dispositivo perde a conectividade.

Configuração do aprendizado MAC persistente (ELS)

Nota:

Esta seção descreve o uso do Junos OS com suporte para o Software de Camada 2 Aprimorado (ELS). Para obter mais informações sobre ELS, veja Usando a CLI aprimorada de software de Camada 2

Para configurar o aprendizado MAC persistente em uma interface e limitar o número de endereços MAC permitidos:

  1. Habilite o aprendizado MAC persistente em uma interface:
  2. Configure o limite MAC em uma interface e especifique a ação que o switch toma após o limite especificado ser excedido:

    Depois de definir um novo limite MAC para a interface, o sistema libera as entradas existentes na tabela de encaminhamento de endereços MAC associada à interface.

Os valores são action :

drop

Solte pacotes com novos endereços MAC de origem e não aprenda os novos endereços MAC de origem.

drop-and-log

(somente switches da Série EX) Solte pacotes com novos endereços MAC de origem e gere um alarme, uma armadilha SNMP ou uma entrada de log do sistema.

log

(somente switches da Série EX) Segure pacotes com novos endereços MAC de origem e gere um alarme, uma armadilha SNMP ou uma entrada de log do sistema.
none

(somente switches da Série EX) Encaminhe pacotes com novos endereços MAC de origem e aprenda o novo endereço MAC de origem.

shutdown

(somente switches da Série EX) Desativar a interface especificada e gerar um alarme, uma armadilha SNMP ou uma entrada de log do sistema.
Ponta:

Se você mover um dispositivo dentro de sua rede que tenha uma entrada de endereço MAC persistente no switch, use o clear ethernet-switching table persistent-learning comando para limpar a entrada de endereço MAC persistente da interface. Se você mover o dispositivo e não limpar o endereço MAC persistente da porta original em que foi aprendido, então a nova porta não aprenderá o endereço MAC do dispositivo e o dispositivo não será capaz de se conectar.

Se a porta original estiver baixa quando você mover o dispositivo, a nova porta aprenderá o endereço MAC e o dispositivo poderá se conectar. No entanto, se você não limpar o endereço MAC persistente na porta original, então, quando a porta é reiniciada, o sistema reinstala o endereço MAC persistente na tabela de encaminhamento para essa porta. Se isso ocorrer, o endereço MAC persistente é removido da nova porta e o dispositivo perde a conectividade.

Configuração do aprendizado MAC persistente (não-ELS)

O aprendizado de endereço MAC persistente, também conhecido como MAC pegajoso, é desativado por padrão. Você pode habilitá-lo para permitir que endereços MAC aprendidos dinamicamente sejam retidos em uma interface em todas as reinicializações do switch.

Nota:

Esta seção descreve o uso do Junos OS sem suporte para o Software de Camada 2 Aprimorado (ELS). Para obter mais informações sobre ELS, veja Usando a CLI aprimorada de software de Camada 2

Use o aprendizado de endereço MAC persistente para:

  • Ajude a evitar perdas de tráfego para estações de trabalho e servidores confiáveis porque a interface não precisa reaprender os endereços do tráfego de entrada após uma reinicialização.

  • Proteja o switch contra ataques de segurança — use o aprendizado MAC persistente em combinação com a limitação do MAC para proteger contra ataques e, ao mesmo tempo, evitar a necessidade de configurar os endereços MAC de forma estatica. Quando o aprendizado inicial do MAC chegar ao número especificado pelo limite MAC for feito, novos endereços não serão permitidos mesmo após uma reinicialização. A porta é protegida porque, após o alcance do limite, outros dispositivos não podem se conectar à interface.

Os primeiros dispositivos que enviam tráfego após a conexão são aprendidos durante o período inicial de conexão. Você pode monitorar os endereços MAC e fornecer o mesmo nível de segurança que se tiver configurado estaticamente cada endereço MAC em cada interface, exceto com menos esforço manual. O aprendizado MAC persistente também ajuda a evitar a perda de tráfego para estações de trabalho e servidores confiáveis, pois a interface não precisa reaprender os endereços do tráfego de entrada.

Para configurar o aprendizado MAC persistente em uma interface e limitar o número de endereços MAC permitidos:

  1. Habilite o aprendizado MAC persistente em uma interface:
  2. Configure o limite MAC em uma interface e especifique a ação que o switch toma após o limite especificado ser excedido:

    Depois de definir um novo limite MAC para a interface, o sistema libera as entradas existentes na tabela de encaminhamento de endereços MAC associada à interface.

Verificar se o aprendizado MAC persistente está funcionando corretamente

Propósito

Verifique se o aprendizado MAC persistente, também conhecido como MAC pegajoso, está funcionando na interface. O aprendizado MAC persistente permite a retenção de endereços MAC aprendidos dinamicamente em uma interface em todas as reinicializações do switch (ou se a interface cair).

Ação

Exibir os endereços MAC que foram aprendidos. A saída de amostra a seguir mostra os resultados quando o aprendizado MAC persistente é habilitado na interface ge-0/0/42:

mostrar tabela de comutação de ethernet persistente-mac

Significado

A saída de amostra mostra que os endereços MAC aprendidos são armazenados na tabela de comutação Ethernet como entradas persistentes. Se o switch for reiniciado ou a interface cair e voltar para cima, esses endereços serão devolvidos à mesa.

Veja também