Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置 MAC 限制

配置 MAC 限制 (ELS)

本主题介绍如何在设备接收和转发的数据包中配置 MAC 地址限制。

注意:

本节中提供的任务会将 Junos OS 用于 EX 系列交换机、QFX3500 和 QFX3600 交换机,以及支持增强型第 2 层软件 (ELS) 配置样式的 PTX 系列路由器。有关 ELS 配置的更多信息 ,请参阅使用增强型第 2 层软件 CLI

以下部分介绍了设置 MAC 限制的不同方法:

限制接口学习的 MAC 地址数量

注意:

在 PTX 系列路由器上,只能限制接口学习的 MAC 地址数量。

要保护端口安全,您可以设置接口可学习的最大 MAC 地址数。

设置接口上的 MAC 限制,并指定超出指定限制后设备采取的操作。
如果要在属于默认路由实例的接口上设置 MAC 限制:
如果要在属于路由实例的接口上设置 MAC 限制:
如果要在属于默认路由实例的所有接口上设置 MAC 限制:
如果要在作为路由实例一部分的所有接口上设置 MAC 限制:

为接口设置新的 MAC 限制后,系统将清除与接口关联的 MAC 地址转发表中的现有条目。

限制 VLAN 学习的 MAC 地址数量

要限制 VLAN 学习的 MAC 地址数量,请执行以下步骤:

设置 VLAN 可学习的最大 MAC 地址数,并指定设备在超过指定限制后采取的操作:

限制 VLAN 中的接口学习的 MAC 地址数量

要限制 VLAN 中的接口学习的 MAC 地址数量,请执行以下步骤:

  1. 设置 VLAN 中的接口可学习的最大 MAC 地址数,并指定超出指定限制后设备采取的操作:
  2. 设置由 VLAN 中的一个所有接口可学习的最大 MAC 地址数,并指定超出指定限制后设备采取的操作:
    注意:

    如果为 VLAN 中的所有接口和 VLAN 中的特定接口指定 MAC 限制 数据包操作,则在特定接口级别指定的 MAC 限制和数据包操作将优先。此外,在 VLAN 接口级别,仅 drop 支持和 drop-and-log 选项。

    通过使用语句为 VLAN 设置新的 MAC 限制之后,或者通过使用mac-table-sizeinterface-mac-limit语句为与 VLAN 关联的接口设置新的 MAC 限制,系统将清除 MAC 地址转发表表中的相应现有条目。

    注意:

    在 QFX 系列虚拟机箱上,如果在层次结构级别包含shutdown选项[edit vlans vlan-name switch-options interface interface-name interface-mac-limit packet-action]并发出commit操作,系统将生成提交错误。如果在层次结构级别包含选项[edit switch-options interface interface-name interface-mac-limit packet-action]shutdown则系统不会生成错误。

配置 MAC 限制(非 ELS)

此任务使用适用于 EX 系列交换机的 Junos OS 以及不支持增强型第 2 层软件 (ELS) 配置样式的 QFX3500 和 QFX3600 交换机。

本主题介绍如何在交换机接收和转发的数据包中配置 MAC 地址限制。

在更改之前为接口或 VLAN 设置的 MAC 限制之前,必须先清除 MAC 地址转发表中与要进行更改对应的现有条目。因此,要更改接口上的限制,首先清除该接口的 MAC 地址转发表条目。要更改所有接口和 VLAN 上的限制,请清除所有 MAC 地址转发表条目。要更改 VLAN 上的限制,请清除该 VLAN 的 MAC 地址转发表条目。

要清除转发表中的 MAC 地址:

  • 清除转发表表中特定接口(此处为 接口为 ge-0/0/1)的 MAC 地址条目:

  • 清除转发表中的所有 MAC 地址条目:

  • 清除特定 VLAN 中的 MAC 地址条目(此处为 VLAN-abc):

以下部分介绍了设置 MAC 限制的不同方法:

限制可在接口上学习的 MAC 地址数量

通过设置可在接口上学习的最大 MAC 地址数量来配置 MAC 限制,以实现端口安全。

  • 在单个接口上应用 MAC 限制(此处的接口为 ge-0/0/1):

    如果未为接口上的 MAC 限制配置指定任何操作,则如果超过限制,设备将执行默认操作 丢弃

  • 根据单个接入接口在特定 VLAN 中的成员资格,应用 MAC 限制(此处,接口为 ge-0/0/1,VLAN 为 v1)。

    使用此类型的配置,如果超过限制,设备将丢弃任何其他数据包,并会记录消息。

  • 将限制应用于所有接入接口:

    如果未指定用于配置所有接口上的 MAC 限制的操作,则如果超过限制,设备将执行默认操作 丢弃

指定允许的 MAC 地址

在更改 MAC 地址限制之前,必须清除 MAC 地址转发表表中的现有条目。

要通过指定允许的 MAC 地址来配置 MAC 限制以确保端口安全:

  • 在单个接口上(此处的接口为 ge-0/0/2):
  • 在所有接口上:

为 VLAN 配置 MAC 限制

必须先清除 MAC 地址转发表表中的现有条目,然后才能更改 MAC 地址限制。

VLAN 的 MAC 限制会限制可以为该 VLAN 学习的 MAC 地址,但 不会 丢弃数据包。因此,在 VLAN 上设置 MAC 限制不被视为端口安全功能。

注意:

特定允许的 MAC 地址配置不适用于 VLAN。

要使用 CLI 为 VLAN 配置 MAC 限制:

限制 VLAN 上的动态 MAC 地址数量:

如果超过特定 VLAN 上的 MAC 限制,设备会记录导致超过限制的数据包的 MAC 地址。无法执行其他操作。

注意:

对 VLAN 应用 MAC 限制时,请勿将由路由 VLAN 接口 (RVI) 组成的 VLAN 或由使用 LACP 的聚合以太网捆绑包组成的 VLAN 设置为 mac-limit 1。在这些情况下,将设置为 mac-limit 1 会阻止设备学习除自动地址以外的 MAC 地址:

  • 对于 RVI,插入转发数据库中的第一个 MAC 地址是 RVI 的 MAC 地址。

  • 对于使用 LACP 的聚合以太网捆绑包,转发表中插入转发数据库中的第一个 MAC 地址是协议数据包的源地址。

如果 VLAN 由常规接入接口或中继接口组成,则可以将 mac-limit VLAN 设置为 1(如果您选择这样做)。

在 MX 系列路由器上配置 MAC 限制

本主题介绍如何配置 MX 系列路由器接收和转发的数据包中的 MAC 地址限制。

限制接口学习的 MAC 地址数量

要保护端口安全,您可以设置接口可学习的最大 MAC 地址数。

MX 系列路由器仅支持 丢弃 操作。如果未指定操作,则当超过限制时,路由器将执行默认操作 丢弃

设置接口上的 MAC 限制,并指定超出指定限制后路由器采取的操作。
如果要在属于默认路由实例的接口上设置 MAC 限制:
如果要在属于路由实例的接口上设置 MAC 限制:
如果要在属于默认路由实例的所有接口上设置 MAC 限制:
如果要在作为路由实例一部分的所有接口上设置 MAC 限制:

为接口设置新的 MAC 限制后,系统将清除与接口关联的 MAC 地址转发表中的现有条目。

限制网桥域学习的 MAC 地址数量

要限制网桥域学习的 MAC 地址数量,请执行以下步骤:

设置网桥域可学习的最大 MAC 地址数,并指定设备在超过指定限制后采取的操作:

限制网桥域中接口学习的 MAC 地址数量

要限制网桥域中接口学习的 MAC 地址数量,请执行以下步骤:

  1. 设置桥接域中的接口可学习的最大 MAC 地址数,并指定超出指定限制后设备采取的操作:
  2. 设置桥接域中的一个所有接口可学习的最大 MAC 地址数,并指定设备在超过指定限制后采取的操作:
    注意:

    如果为网 桥域中的所有 接口和桥接域中的特定接口指定 MAC 限制和数据包操作,则在特定接口级别指定的 MAC 限制和数据包操作优先。此外,在桥接域接口级别, drop 仅支持选项。

配置 MAC 限制(J-Web 过程)

MAC 限制可防止 EX 系列交换机上的以太网交换表泛洪。MAC 限制针对可在单个第 2 层接入接口(端口)上学习的 MAC 地址数量设置限制。

Junos OS 提供两种 MAC 限制方法:

  • 每个接口允许的最大动态 MAC 地址数 — 如果超出限制,将丢弃包含新 MAC 地址的传入数据包。

  • 接入接口的特定“允许”MAC 地址 — 不会学习不在配置地址列表中的任何 MAC 地址。

您可以为每个接口配置 MAC 限制,而不是为每个 VLAN 配置 MAC 限制。您可以指定可在单个第 2 层接入接口或所有第 2 层接入接口上学习的最大动态 MAC 地址数。如果超过该最大数量,交换机将采取的默认操作是 丢弃数据包并生成告警、SNMP 陷阱或系统日志条目。

要使用 J-Web 界面在一个或多个接口上启用 MAC 限制:

  1. 选择 配置>安全性>Port Security
  2. 从接口列表中选择一个或多个 接口
  3. 单击 编辑 按钮。如果出现询问是否要启用端口安全性的消息,请单击“ ”。
  4. 要设置动态 MAC 限制:
    1. 在 MAC 限制框中键入 一个限制 值。

    2. MAC 限制 操作框中选择操作(可选)。超过 MAC 限制时,交换机将执行此操作。如果未选择操作,交换机将应用默认操作, drop

      • 日志 — 生成系统日志条目。

      • 丢弃 — 丢弃数据包并生成系统日志条目。(默认)

      • 关闭 — 关闭 VLAN 并生成系统日志条目。您可以通过配置交换机以从禁用状态自动恢复并指定 禁用超时 值来减轻此选项的影响。

      • 无 — 不采取任何措施。

  5. 要添加允许的 MAC 地址:
    1. 单击 Add

    2. 键入允许的 MAC 地址,然后单击 OK

    重复这一步以添加更多允许的 MAC 地址。

  6. 完成 MAC 限制设置后单击 OK
  7. 成功交付配置后单击 OK
注意:

您可以通过单击端口安全配置页面上的 激活停用 按钮,随时在交换机上启用或禁用端口安全。如果在您尝试编辑任何 VLAN 或接口(端口)的设置时安全状态显示为 “已禁用 ”,将显示一条消息,询问是否要启用端口安全性。