了解第 3 层路由接口上的 MAC 限制
概述
MAC 限制功能提供了一种机制,用于限制连接到第 3 层路由千兆以太网 (GE)、快速以太网 (FE) 或 10 千兆以太网 (XE) 接口的设备上的 MAC 地址。使用 MAC 过滤器,您可以允许具有特定源 MAC 的流量。支持基于软件的 MAC 限制。MAC 限制仅适用于具有纯以太网或 VLAN 标记封装的接口。
SRX100、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340 和 SRX650 设备支持物理接口级别 source-address-filter 和 逻辑接口 级别 accept-source-mac 配置。(平台支持取决于安装中的 Junos OS 版本。配置 and source-address-filter accept-source-mac 语句时,应注意以下事项:
如果仅配置了逻辑级别
accept-source-mac语句,则逻辑接口上将仅允许来自那些已配置的 MAC 地址的流量。如果仅配置了物理接口级别
source-address-filter语句,则物理接口 允许 的 MAC 地址也会被视为属于物理接口的所有逻辑接口的 允许 地址。来自任何其他源 MAC 地址的传入数据包将被丢弃。如果物理接口级别
source-address-filter是在 (或fastether-options) 下gigether-options配置的,并且accept-source-mac是为其一个或多个逻辑接口或 VLAN 配置的,则允许的地址列表是两个语句中指定的 MAC 地址的组合。对于未配置语句的accept-source-mac逻辑接口和 VLAN,将考虑物理接口允许的地址列表。
您可以将接口配置为接收来自特定 MAC 地址的数据包。为此,请在 or accept-source-mac 语句中source-address-filter指定 MAC 地址:
Logical level MAC filter configuration on an untagged interfacege-0/0/10 { unit 0 { accept-source-mac { mac-address 00:22:33:44:55:66; mac-address 00:26:88:e9:a3:01; } family inet { address 60.60.60.1/24; } } }Physical level MAC filter configuration on an untagged interfacege-0/0/10 { gigether-options { source-address-filter { 00:55:55:55:55:66; 00:26:88:e9:a3:01; } } unit 0 { family inet { address 60.60.60.1/24; } } }Physical and logical level MAC filter configurations on a tagged interfacege-0/0/10 { vlan-tagging; gigether-options { source-address-filter { 00:26:88:e9:a3:01; } } unit 0 { vlan-id 40; accept-source-mac { mac-address 00:22:33:44:55:66; } family inet { address 40.40.40.1/24; } } unit 1 { vlan-id 60; accept-source-mac { mac-address 00:55:55:55:55:66; } family inet { address 60.60.60.1/24; } } }
在未标记的千兆以太网接口上,不得同时配置 和 source-address-filter accept-source-mac 语句。如果同时为相同的接口配置了这些语句,则会显示一条错误消息。但是,对于标记的 VLAN,如果未指定相同的 MAC 地址,则可以同时配置这两个语句。
局限性
以下限制适用于第 3 层路由 GE、AE、FE 或 XE 接口上的 MAC 限制支持:
每个设备只能配置 32 个 MAC 地址(聚合以太网接口除外,其中每个逻辑接口限制为 64 个地址)。
仅支持基于软件的 MAC 过滤。基于软件的 MAC 过滤会影响性能。性能影响与配置的 MAC 地址数量成正比。
不支持基于 MAC 的监管器或速率限制。
不能在
source-address-filter语句中配置广播或组播地址。聚合以太网 (AE) 接口不支持 MAC 过滤(某些 平台支持; 有关平台详细信息,请参阅 功能浏览器 );或者在交换矩阵以太网、以太网点对点协议 (PPPoE)、 路由 VLAN 接口 (RVI) 或 VLAN 接口上。
机箱群集不支持 MAC 过滤。
如果在 AE 接口上配置 MAC 过滤,则必须使用
accept-source-mac(即,不使用source-address-filter)和family ethernet-switching配置接口。