Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

了解 MAC 限制和 MAC 移动限制

MAC 限制可防止以太网交换表泛洪,并在第 2 层接口(端口)上启用。MAC 移动限制可检测接入接口上的 MAC 移动和 MAC 欺骗。它在 VLAN 上启用。

  • MAC 限制 通过限制 VLAN 中可学习的 MAC 地址数量来增强端口安全性。限制 MAC 地址数量可防止交换机的以太网交换表(也称为 MAC 转发表或第 2 层转发表)泛洪。当学习的新 MAC 地址数量导致以太网交换表溢出,并且以前学习的 MAC 地址从表中清除时,就会发生泛洪。然后交换机会恢复为淹没之前学习的 MAC 地址,这可能会影响性能并引入安全漏洞。

  • MAC 移动限制 通过控制 VLAN 在一秒内允许的 MAC 地址移动次数来提供额外的安全性。当交换机收到的源 MAC 地址数据包已由交换机学习,但位于不同的接口上时,就会发生 MAC 地址移动。然后,以太网交换表将进行更新,以反映 MAC 地址与新接口的关联。由于必须针对每次 MAC 地址移动更新以太网交换表,因此频繁的移动事件可能会导致交换机的处理资源耗尽。这可能是由于 MAC 欺骗攻击或网络中的环路而发生的。

MAC 限制

使用 MAC 限制时,您可以通过限制 MAC 地址的数量或指定允许的 MAC 地址来限制第 2 层接入接口上可学习的 MAC 地址:

  • 限制 MAC 地址数量 — 您可以配置每个接口可动态学习(添加到以太网交换表中)的最大 MAC 地址数。您可以指定在超过限制时忽略、丢弃或记录具有新 MAC 地址的传入数据包。您还可以指定关闭或暂时禁用接口。

    注意:

    静态 MAC 地址不计入您为动态 MAC 地址指定的限制。

  • 指定允许的 MAC 地址 — 您可以为接口配置允许的 MAC 地址。系统不会学习任何不在配置地址列表中的 MAC 地址,并且交换机会记录相应的消息。允许的 MAC 地址绑定到 VLAN,因此该地址不会在 VLAN 之外注册。如果允许的 MAC 设置与动态 MAC 设置冲突,则允许的 MAC 设置优先。

MAC 限制配置在第 2 层接口上。您可以根据单个接口、所有接口或特定接口在 VLAN 中的成员身份,指定可在单个接口、所有接口或特定接口上学习的最大动态 MAC 地址数(VLAN 成员资格 MAC 限制)。

为接口配置最大 MAC 限制时,您可以选择当超过 MAC 限制时对传入数据包执行的作。您可以指定在超过限制时忽略、丢弃或记录传入数据包。您还可以指定关闭或暂时禁用接口。

默认情况下,MAC 限制未启用。配置的值在被替换或清除之前将保持活动状态,并在设备重新启动之前一直存在。有关在支持 ELS 的设备上配置接口的 MAC 限制的更多信息,请参阅配置 MAC 限制 (ELS)。有关在不支持增强型第 2 层软件 (ELS) 的设备上为接口配置 MAC 限制的更多信息,请参阅配置 MAC 限制(非 ELS)。

有关 ELS 的更多信息,请参阅 使用增强型第 2 层软件 CLI

MAC 移动限制

使用 MAC 移动限制时,您可以限制 MAC 地址在一秒钟内可以移动到新接口的次数。配置 MAC 移动限制后,交换机会跟踪 MAC 地址移动。MAC 地址首次移动始终被视为良好移动,不计入配置的 MAC 移动限制。对 MAC 地址移动的监控在第一次移动后生效,即使 MAC 移动限制配置为 1。

您可以基于每个 VLAN 配置 MAC 移动限制。虽然在 VLAN 上启用此功能,但 MAC 移动限制适用于每个 MAC 地址的移动次数,而不是 VLAN 中 MAC 地址移动的总数。例如,如果 MAC 移动限制设置为 1,则交换机允许在 VLAN 内无限次移动 MAC 地址,只要同一 MAC 地址在一秒钟内移动不超过一次即可。

您可以配置在超过 MAC 地址移动限制时要执行的作。您可以指定在超过限制时忽略、丢弃或记录传入数据包。您还可以指定关闭或暂时禁用接口。

默认情况下,MAC 移动限制未启用。有关在不支持 ELS 的设备上配置 MAC 移动限制的更多信息,请参阅配置 MAC 移动限制(非 ELS)。有关在支持 ELS 的设备上配置 MAC 移动限制的更多信息,请参阅配置 MAC 移动限制 (ELS)。

MAC 限制和 MAC 移动限制的作

您可以选择在超过 MAC 限制或 MAC 移动限制时执行以下作之一:

  • drop- 丢弃数据包,但不生成告警。

  • drop-and-log- 丢弃数据包并生成告警、SNMP 陷阱或系统日志条目。

  • log- 不要丢弃数据包,但会生成告警、SNMP 陷阱或系统日志条目。

  • none—转发具有新源 MAC 地址的数据包,并学习新的源 MAC 地址。

  • shutdown- 禁用 VLAN 中的接口并生成告警、SNMP 陷阱或系统日志条目。

  • vlan-member-shutdown—(仅限 EX9200)从适用于 EX9200 交换机上的 MAC 限制和 MAC 移动限制的 Junos OS 15.1 版开始, vlan-member-shutdown 该语句支持根据接口在特定 VLAN 中的成员资格来阻止接口,并生成告警、SNMP 陷阱或系统日志条目。

关机时,您可以将交换机配置为在指定时间段后自动将已禁用的接口恢复到服务状态。要在支持 ELS 的设备上配置自动恢复,请参阅 配置端口安全事件的自动恢复。要在不支持 ELS 的设备上配置自动恢复,请参阅 配置端口安全事件的自动恢复

注意:

要查看 mac 限制功能的系统日志条目,您需要将严重性配置为日志通知的系统日志记录。请参阅 系统日志记录概述
注意:

如果未将交换机配置为从禁用状态自动恢复,则可以通过运行以下命令之一来调出已禁用的接口:

注意:

对于现有的 dot1x 会话:

  • 当我们第一次设置 MAC 限制时,现有的 dot1x 会话将被清除,端口将移至连接状态。

  • 当我们增加 MAC 限制时,会话不会被清除,端口仍处于已身份验证状态。

  • 当我们降低 MAC 限制或删除交换机选项配置时,现有的 dot1x 会话将被清除,端口将移至连接状态。

总之,当配置的接口 MAC 限制低于获知的 MAC 数时,就会发生 MAC 刷新。当配置的接口 MAC 限制大于获知的 MAC 数时,不会产生影响
注意:

已引入提交检查以防止配置错误。只有为 L2 配置的接口才能在这些层次结构中的任何一个下进行配置。

  • 设置路由实例 <routing-instance-name> vlans <vlans-name> switch-options 接口 <interface-name>

  • 设置路由实例 <routing-instance-name> 桥接域 <bridge-domain-name> bridge-options 接口 <interface-name>

  • 设置 VLAN <vlans-name> switch-options interface <interface-name>

  • 设置 bridge-domains <bridge-domain-name> bridge-options interface <interface-name>

  • 设置 VLAN <vlans-name> switch-options mac-move-limit 接口 <interface-name>

相关主题

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。

释放
描述
15.1
从适用于 EX9200 交换机上的 MAC 限制和 MAC 移动限制的 Junos OS 15.1 版开始, vlan-member-shutdown 该语句支持根据接口在特定 VLAN 中的成员资格来阻止接口,并生成告警、SNMP 陷阱或系统日志条目。