以太网接口上的 MAC 地址过滤和计费
要阻止来自特定 MAC 地址的所有传入数据包,可以启用 MAC 地址过滤。您可以配置以太网接口来动态学习源或目标 MAC 地址。本主题介绍如何启用 MAC 地址过滤以及如何配置 MAC 地址计费。
为以太网接口配置 MAC 地址过滤
启用源地址过滤
在聚合以太网接口、快速以太网、千兆以太网、千兆以太网 IQ 和带有 SFP 的千兆以太网 PIC(M7i 路由器上的 10 端口千兆以太网 PIC 和内置千兆以太网端口除外),您可以启用源地址过滤以阻止来自特定 MAC 地址的所有传入数据包。
要启用过滤,请将语句 source-filtering 包含在以下层级:
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]注:将独立 T640 路由器集成到路由矩阵中时,集成 T640 路由器的 PIC 媒体访问控制 (MAC) 地址将从 TX Matrix 路由器维护的 MAC 地址池派生。对于您在之前独立 T640 路由器的配置中指定的每个 MAC 地址,必须在 TX Matrix 路由器的配置中指定相同的 MAC 地址。
同样,将 T1600 或 T4000 路由器集成到路由矩阵中时,集成 T1600 或 T4000 路由器的 PIC MAC 地址将从 TX Matrix Plus 路由器维护的 MAC 地址池派生。对于您在之前独立 T1600 或 T4000 路由器的配置中指定的每个 MAC 地址,必须在 TX Matrix Plus 路由器的配置中指定相同的 MAC 地址。
启用源地址过滤后,您可以将接口配置为从特定 MAC 地址接收数据包。为此,请在以下层级的 source-address-filter mac-address 语句中指定 MAC 地址:
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]
您可以将 MAC 地址指定为 nn:nn:nn:nn:nn:nn 或 nnnn .nnnn.nnnn,其中 n 十六进制数字。您可以配置多达 64 个源地址。要指定多个地址,请多次包含语句 source-address-filter 。
语句 source-address-filter 在带有 SFP 的千兆以太网 IQ 和千兆以太网 PIC(M7i 路由器上的 10 端口千兆以太网 PIC 和内置千兆以太网端口除外)上不受支持;而是包括语句 accept-source-mac 。有关更多信息,请参阅 配置千兆以太网监管器。
如果更改了远程以太网卡,接口将无法从新卡接收数据包,因为它具有不同的 MAC 地址。
当启用链路聚合控制协议 (LACP) 时,源地址过滤不起作用。此行为不适用于 T 系列路由器和 PTX 系列数据包传输路由器。有关 LACP 的详细信息,请参阅 聚合以太网接口。
在未标记的千兆以太网接口上[edit interfaces ge-fpc/pic/port gigether-options],不应同时在层次结构级别配置source-address-filter语句和accept-source-mac在层次结构级别配置[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number]语句。如果同时为同一接口配置这些语句,则显示一条错误消息。
在标记的千兆以太网接口上,不应在 [编辑接口[edit interfaces ge-fpc/pic/port gigether-options]层次结构级别和层级使用accept-source-mac两个过滤器指定的相同 MAC 地址配置source-address-filter语句[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number]。如果为指定了相同 MAC 地址的相同接口配置这些语句,则将显示一条错误消息。
使用 MPC4E 的 MX 系列路由器不支持该 source-address-filter 语句(型号:MPC4E-3D-32XGE-SFPP 和 MPC4E-3D-2CGE-8XGE);而是将语句包含在内 accept-source-mac 。有关更多信息,请参阅 配置千兆以太网监管器。
在 PTX 系列数据包传输路由器上配置 MAC 地址过滤
本主题介绍如何在 PTX 系列数据包传输路由器上配置 MAC 过滤。MAC 过滤允许您指定以太网接口可以从中接收数据包的 MAC 地址。
PTX 系列数据包传输路由器上的 MAC 过滤支持包括:
每个端口的 MAC 源和目标地址过滤。
每个物理接口的 MAC 源地址过滤。
每个逻辑接口的 MAC 源地址过滤。
过滤逻辑接口和物理接口时,每个端口最多可指定 1000 个 MAC 源地址。
要为物理接口配置 MAC 源地址过滤,请在 source-filtering 层次结构级别添加和 source-address-filter 语句 [edit interfaces et-fpc/pic/port gigether-options] :
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
source-address-filter {
mac-address;
}
}
}
语句 source-address-filter 配置过滤了哪些 MAC 源地址。指定的物理接口将从您指定的 MAC 源地址丢弃所有数据包。您可以将 MAC 地址指定为nn:nn:nn:nn:nn:nnn十进制数字。要指定多个地址,请在语句中包含source-address-filter多个mac-address选项。
要为逻辑接口配置 MAC 源地址过滤,请在 accept-source-mac 层级添加语句 [edit interfaces et-fpc/pic/port unit logical-unit-number] :
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
}
unit logical-unit-number {
accept-source-mac {
mac-address mac-address;
}
}
}
该 accept-source-mac 语句配置在逻辑接口上接受哪些 MAC 源地址。您可以将 MAC 地址指定为nn:nn:nn:nn:nn:nnn十进制数字。要指定多个地址,请在语句中包含accept-source-mac多个mac-address mac-address选项。
配置接口过滤器后,会有一个与 MAC 地址过滤器关联的计费条目。如果有具有匹配 MAC 源地址的数据包,计数器会累积。您可以使用 show interfaces mac-database Junos OS CLI 命令查看地址计数。
另请参阅
配置 MAC 地址计费
对于带有 SFP 的千兆以太网 IQ 和千兆以太网 PIC(M7i 路由器上的 10 端口千兆以太网 PIC 和内置千兆以太网端口除外),对于 MX 系列路由器上的千兆以太网 DPC, 以及 MPC3E、MPC4E、MPC5E、MPC5E、MPC5E 和 MPC6E MPC6E MPC,您可以配置是否动态学习源和目标 MAC 地址。
要配置单个以太网接口上的 MAC 地址核算,请在 mac-learn-enable 层级添加语句 [edit interfaces interface-name gigether-options ethernet-switch-profile] :
[edit interfaces interface-name gigether-options ethernet-switch-profile] mac-learn-enable;
要配置聚合以太网接口上的 MAC 地址核算,请在 mac-learn-enable 层级添加语句 [edit interfaces aex aggregated-ether-options ethernet-switch-profile] :
[edit interfaces aex aggregated-ether-options ethernet-switch-profile] mac-learn-enable;
要禁止接口动态学习源和目标 MAC 地址, 请勿 包含语句 mac-learn-enable 。
要在配置后禁用源和目标 MAC 地址的动态学习,必须从配置中删除 mac-learn-enable 。
只有在接口从 MAC 源接收流量后,MPC 才支持对单个接口或聚合以太网接口成员链路进行 MAC 地址核算。如果流量仅退出接口,则不会学习 MAC 地址,也不会进行 MAC 地址核算。