配置 MAC 限制
配置 MAC 限制 (ELS)
本主题介绍如何在设备接收和转发的数据包中配置 MAC 地址限制。
本节中提供的任务会将 Junos OS 用于 EX 系列交换机、QFX3500 和 QFX3600 交换机,以及支持增强型第 2 层软件 (ELS) 配置样式的 PTX 系列路由器。有关 ELS 配置的更多信息 ,请参阅使用增强型第 2 层软件 CLI 。
-
有关将接口配置为从 MAC 限制导致的关闭中自动恢复的信息,请参阅 配置端口安全事件自动恢复。如果未配置设备以从禁用条件自动恢复,可以通过运行命令来启动禁用的
clear ethernet-switching recovery-timeout
接口。
以下部分介绍了设置 MAC 限制的不同方法:
限制接口学习的 MAC 地址数量
在 PTX 系列路由器上,只能限制接口学习的 MAC 地址数量。
要保护端口安全,您可以设置接口可学习的最大 MAC 地址数。
[edit switch-options] user@switch# set interface interface-name interface-mac-limit limit packet-action action
[edit routing-instances] user@switch# set routing-instance-name switch-options interface interface-name interface-mac-limit limit
[edit switch-options] user@switch# set interface-mac-limit limit
[edit routing-instances] user@switch# set routing-instance-name switch-options interface-mac-limit limit
为接口设置新的 MAC 限制后,系统将清除与接口关联的 MAC 地址转发表中的现有条目。
限制 VLAN 学习的 MAC 地址数量
要限制 VLAN 学习的 MAC 地址数量,请执行以下步骤:
[edit vlans] user@switch# set vlan-name switch-options mac-table-size limit packet-action action
限制 VLAN 中的接口学习的 MAC 地址数量
要限制 VLAN 中的接口学习的 MAC 地址数量,请执行以下步骤:
配置 MAC 限制(非 ELS)
此任务使用适用于 EX 系列交换机的 Junos OS 以及不支持增强型第 2 层软件 (ELS) 配置样式的 QFX3500 和 QFX3600 交换机。
本主题介绍如何在交换机接收和转发的数据包中配置 MAC 地址限制。
在更改之前为接口或 VLAN 设置的 MAC 限制之前,必须先清除 MAC 地址转发表中与要进行更改对应的现有条目。因此,要更改接口上的限制,首先清除该接口的 MAC 地址转发表条目。要更改所有接口和 VLAN 上的限制,请清除所有 MAC 地址转发表条目。要更改 VLAN 上的限制,请清除该 VLAN 的 MAC 地址转发表条目。
要清除转发表中的 MAC 地址:
清除转发表表中特定接口(此处为 接口为 ge-0/0/1)的 MAC 地址条目:
user@switch> clear ethernet-switching-table interface ge-0/0/1
清除转发表中的所有 MAC 地址条目:
user@switch>clear ethernet-switching-table
清除特定 VLAN 中的 MAC 地址条目(此处为 VLAN-abc):
user@switch> clear ethernet-switching-table vlan vlan-abc
以下部分介绍了设置 MAC 限制的不同方法:
限制可在接口上学习的 MAC 地址数量
通过设置可在接口上学习的最大 MAC 地址数量来配置 MAC 限制,以实现端口安全。
指定允许的 MAC 地址
在更改 MAC 地址限制之前,必须清除 MAC 地址转发表表中的现有条目。
要通过指定允许的 MAC 地址来配置 MAC 限制以确保端口安全:
为 VLAN 配置 MAC 限制
必须先清除 MAC 地址转发表表中的现有条目,然后才能更改 MAC 地址限制。
VLAN 的 MAC 限制会限制可以为该 VLAN 学习的 MAC 地址,但 不会 丢弃数据包。因此,在 VLAN 上设置 MAC 限制不被视为端口安全功能。
特定允许的 MAC 地址配置不适用于 VLAN。
要使用 CLI 为 VLAN 配置 MAC 限制:
如果超过特定 VLAN 上的 MAC 限制,设备会记录导致超过限制的数据包的 MAC 地址。无法执行其他操作。
[edit vlans] user@switch# set vlan-abc mac-limit 20
对 VLAN 应用 MAC 限制时,请勿将由路由 VLAN 接口 (RVI) 组成的 VLAN 或由使用 LACP 的聚合以太网捆绑包组成的 VLAN 设置为 mac-limit
1。在这些情况下,将设置为 mac-limit
1 会阻止设备学习除自动地址以外的 MAC 地址:
对于 RVI,插入转发数据库中的第一个 MAC 地址是 RVI 的 MAC 地址。
对于使用 LACP 的聚合以太网捆绑包,转发表中插入转发数据库中的第一个 MAC 地址是协议数据包的源地址。
如果 VLAN 由常规接入接口或中继接口组成,则可以将 mac-limit
VLAN 设置为 1(如果您选择这样做)。
在 MX 系列路由器上配置 MAC 限制
本主题介绍如何配置 MX 系列路由器接收和转发的数据包中的 MAC 地址限制。
限制接口学习的 MAC 地址数量
要保护端口安全,您可以设置接口可学习的最大 MAC 地址数。
MX 系列路由器仅支持 丢弃 操作。如果未指定操作,则当超过限制时,路由器将执行默认操作 丢弃 。
[edit switch-options] user@switch# set interface interface-name interface-mac-limit limit packet-action action
[edit routing-instances] user@switch# set routing-instance-name switch-options interface interface-name interface-mac-limit limit
[edit switch-options] user@switch# set interface-mac-limit limit
[edit routing-instances] user@switch# set routing-instance-name switch-options interface-mac-limit limit
为接口设置新的 MAC 限制后,系统将清除与接口关联的 MAC 地址转发表中的现有条目。
限制网桥域学习的 MAC 地址数量
要限制网桥域学习的 MAC 地址数量,请执行以下步骤:
[edit bridge-domains] user@switch# set bridge-domain-name bridge-options mac-table-size limit packet-action action
限制网桥域中接口学习的 MAC 地址数量
要限制网桥域中接口学习的 MAC 地址数量,请执行以下步骤:
配置 MAC 限制(J-Web 过程)
MAC 限制可防止 EX 系列交换机上的以太网交换表泛洪。MAC 限制针对可在单个第 2 层接入接口(端口)上学习的 MAC 地址数量设置限制。
Junos OS 提供两种 MAC 限制方法:
每个接口允许的最大动态 MAC 地址数 — 如果超出限制,将丢弃包含新 MAC 地址的传入数据包。
接入接口的特定“允许”MAC 地址 — 不会学习不在配置地址列表中的任何 MAC 地址。
您可以为每个接口配置 MAC 限制,而不是为每个 VLAN 配置 MAC 限制。您可以指定可在单个第 2 层接入接口或所有第 2 层接入接口上学习的最大动态 MAC 地址数。如果超过该最大数量,交换机将采取的默认操作是 丢弃数据包并生成告警、SNMP 陷阱或系统日志条目。
要使用 J-Web 界面在一个或多个接口上启用 MAC 限制:
您可以通过单击端口安全配置页面上的 激活 或 停用 按钮,随时在交换机上启用或禁用端口安全。如果在您尝试编辑任何 VLAN 或接口(端口)的设置时安全状态显示为 “已禁用 ”,将显示一条消息,询问是否要启用端口安全性。