配置 MAC 移动限制 (ELS)
本主题使用支持增强型第 2 层软件 (ELS) 配置样式的适用于 EX 系列交换机的 Junos OS。有关 ELS 的详细信息,请参阅 使用增强型第 2 层软件 CLI。
配置 MAC 移动限制后,交换机会跟踪接入接口和中继接口上的 MAC 地址移动。当交换机收到的数据包具有交换机已获知的源 MAC 地址,但在不同的接口上时,就会发生 MAC 地址移动。如果 MAC 地址在一秒内更改的次数超过配置的次数,则对 MAC 地址的更改将被丢弃、记录或忽略,或者接口将被关闭,如配置中指定。
默认情况下不配置 MAC 移动限制。
您可以选择在超出 MAC 移动限制时执行以下操作之一:
drop—(EX2300、EX3400 和 EX4300)丢弃数据包,但不生成告警。drop-and-log—(仅限 EX2300、EX3400 和 EX4300)丢弃数据包并生成警报、SNMP 陷阱或系统日志条目。log—(EX4300 和 EX9200)请勿丢弃数据包,而是会生成警报、SNMP 陷阱或系统日志条目。none—(EX4300 和 EX9200)转发具有新源 MAC 地址的数据包,并了解新的源 MAC 地址。shutdown— 禁用 VLAN 中的接口并生成警报、SNMP 陷阱或系统日志条目。如果使用语句配置recovery-timeout接口,则禁用的接口会在指定的禁用超时到期时自动恢复。如果未将交换机配置为从禁用状态自动恢复,则可以通过运行clear ethernet-switching recovery-timeout命令来启动禁用的接口。vlan-member-shutdown—(仅限 EX9200)根据接口在特定 VLAN 中的成员身份阻止接口,并生成告警、SNMP 陷阱或系统日志条目。如果使用语句配置recovery-timeout接口,则禁用的接口会在指定的禁用超时到期时自动恢复。如果未配置recovery-timeout,则接口将保持阻塞状态 180 秒,之后会自动恢复。您可以通过运行clear ethernet-switching recovery-timeout命令恢复所有被阻止的接口,也可以使用set ethernet-switching recovery-timeout interface interface-name vlan vlan-name命令恢复特定接口。
要为特定 VLAN 内的 MAC 地址配置 MAC 移动限制,请执行以下操作:
要限制指定 VLAN 中单个 MAC 地址可以进行的 MAC 地址移动次数,请执行以下操作:
[edit edit vlans vlan-name switch-options] user@switch# set mac-move-limit limit
要限制单个 MAC 地址可以进行的 MAC 地址移动次数并指定达到限制时要执行的操作,请执行以下操作:
[edit edit vlans vlan-name switch-options] user@switch# set mac-move-limit limit packet-action action
如果交换机跟踪到指定 VLAN 中的单个 MAC 地址在一秒钟内移动次数超过指定次数,则交换机将执行指定的操作。
-
从配置了 MAC 移动限制操作的 EX9200 交换机的 Junos OS 15.1 版开始,您可以确定为操作选择的 MAC 移动中涉及的接口的优先级。要确定 MAC 移动中涉及的接口的优先级,请执行以下操作:
[edit edit vlans vlan-name switch-options] user@switch# set mac-move-limit interface interface-name action-priority value
配置为值
action-priority最低的接口具有最高优先级。注意:您可以使用操作优先级来降低阻止可信接口的可能性。如果配置的操作为
shutdown或 ,vlan-member-shutdown则可信接口的优先级应最低。要分配低优先级,请为 配置action-priority高值。注意:mac-move-limit配置不适用于经过 dot1x 身份验证的 MAC 地址。
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。