配置 MAC 限制
配置 MAC 限制 (ELS)
本主题介绍配置设备接收和转发的数据包中的 MAC 地址限制的不同方法。
本节中介绍的任务使用适用于 EX 系列交换机的 Junos OS、QFX3500 和 QFX3600 交换机以及支持增强型第 2 层软件 (ELS) 配置样式的 PTX 系列路由器。有关 ELS 配置的更多信息,请参阅 使用增强型第 2 层软件 CLI 。
-
有关将接口配置为从 MAC 限制导致的关闭中自动恢复的信息,请参阅 配置端口安全事件的自动恢复。如果未将设备配置为从禁用状态自动恢复,则可以通过运行
clear ethernet-switching recovery-timeout命令来启动禁用的接口。
以下各节介绍了设置 MAC 限制的不同方法:
限制接口获知的 MAC 地址数
在 PTX 系列路由器上,您只能限制接口获知的 MAC 地址数。
要保护端口,您可以设置接口可获知的最大 MAC 地址数。
[edit switch-options] user@switch# set interface interface-name interface-mac-limit limit packet-action action
[edit routing-instances] user@switch# set routing-instance-name switch-options interface interface-name interface-mac-limit limit
[edit switch-options] user@switch# set interface-mac-limit limit
[edit routing-instances] user@switch# set routing-instance-name switch-options interface-mac-limit limit
为接口设置新的 MAC 限制后,系统会清除与接口关联的 MAC 地址转发表中的现有条目。
限制 VLAN 获知的 MAC 地址数
要限制VLAN获知的MAC地址数量,请执行以下步骤:
[edit vlans] user@switch# set vlan-name switch-options mac-table-size limit packet-action action
限制 VLAN 中的接口获知的 MAC 地址数
要限制VLAN中某个接口获知的MAC地址数量,请执行以下步骤:
配置 MAC 限制(非 ELS)
此任务将 Junos OS 用于 EX 系列交换机以及不支持增强型第 2 层软件 (ELS) 配置样式的QFX3500和QFX3600交换机。
本主题介绍配置交换机接收和转发的数据包中 MAC 地址限制的各种方法。
在更改之前为接口或 VLAN 设置的 MAC 限制之前,必须先清除 MAC 地址转发表中与要进行的更改相对应的现有条目。因此,要更改接口的限制,请首先清除该接口的 MAC 地址转发表条目。要更改所有接口和 VLAN 上的限制,请清除所有 MAC 地址转发表条目。要更改 VLAN 上的限制,请清除该 VLAN 的 MAC 地址转发表条目。
要从转发表中清除 MAC 地址,请执行以下操作:
清除转发表中特定接口(此处接口为 ge-0/0/1)的 MAC 地址条目:
user@switch> clear ethernet-switching-table interface ge-0/0/1
清除转发表中的所有 MAC 地址条目:
user@switch>clear ethernet-switching-table
清除来自特定 VLAN 的 MAC 地址条目(此处的 VLAN 为 vlan-abc):
user@switch> clear ethernet-switching-table vlan vlan-abc
以下各节介绍了设置 MAC 限制的不同方法:
限制可在接口上获知的 MAC 地址数
要通过设置可在接口上获知的最大 MAC 地址数来配置 MAC 限制以确保端口安全。
指定允许的 MAC 地址
在更改 MAC 地址限制之前,必须清除 MAC 地址转发表中的现有条目。
要通过指定允许的 MAC 地址来配置端口安全的 MAC 限制,请执行以下操作:
为 VLAN 配置 MAC 限制
您必须先清除 MAC 地址转发表中的现有条目,然后才能更改 MAC 地址限制。
VLAN 的 MAC 限制会限制可为该 VLAN 获知的 MAC 地址,但 不会 丢弃数据包。因此,在 VLAN 上设置 MAC 限制不被视为端口安全功能。
特定允许的 MAC 地址的配置不适用于 VLAN。
要使用 CLI 为 VLAN 配置 MAC 限制,请执行以下操作:
如果超出特定 VLAN 上的 MAC 限制,设备将记录导致超出限制的数据包的 MAC 地址。无法执行其他操作。
[edit vlans] user@switch# set vlan-abc mac-limit 20
在 VLAN 上应用 MAC 限制时,请勿 mac-limit 将路由 VLAN 接口 (RVI) 组成的 VLAN 或使用 LACP 的聚合以太网束组成的 VLAN 设置为 1。在这些情况下,将 设置为 mac-limit 1 可防止设备学习自动地址以外的 MAC 地址:
对于 RVI,插入转发数据库的第一个 MAC 地址是 RVI 的 MAC 地址。
对于使用 LACP 的聚合以太网捆绑包,插入转发表转发数据库的第一个 MAC 地址是协议数据包的源地址。
如果 VLAN 由常规接入接口或中继接口组成,则可以选择将 设置为 mac-limit 1。
在 MX 系列路由器上配置 MAC 限制
本主题介绍在 MX 系列路由器接收和转发的数据包中配置 MAC 地址限制的不同方法。
限制接口获知的 MAC 地址数
要保护端口,您可以设置接口可获知的最大 MAC 地址数。
MX 系列路由器仅支持 丢弃 操作。如果未指定操作,路由器将在超出限制时执行默认操作 丢弃 。
[edit switch-options] user@switch# set interface interface-name interface-mac-limit limit packet-action action
[edit routing-instances] user@switch# set routing-instance-name switch-options interface interface-name interface-mac-limit limit
[edit switch-options] user@switch# set interface-mac-limit limit
[edit routing-instances] user@switch# set routing-instance-name switch-options interface-mac-limit limit
为接口设置新的 MAC 限制后,系统会清除与接口关联的 MAC 地址转发表中的现有条目。
限制桥接域获知的 MAC 地址数
要限制桥接域获知的MAC地址数,请执行以下步骤:
[edit bridge-domains] user@switch# set bridge-domain-name bridge-options mac-table-size limit packet-action action
限制桥接域中的接口获知的 MAC 地址数
要限制桥接域中接口获知的MAC地址数,请执行以下步骤:
配置 MAC 限制(J-Web 过程)
MAC 限制可防止 EX 系列交换机上的以太网交换表泛洪。MAC 限制对可在单个第 2 层接入接口(端口)上获知的 MAC 地址数量设置限制。
Junos OS 提供两种 MAC 限制方法:
每个接口允许的最大动态 MAC 地址数 — 如果超过限制,将丢弃具有新 MAC 地址的传入数据包。
接入接口的特定“允许”MAC 地址 — 不会学习不在已配置地址列表中的任何 MAC 地址。
您可以为每个接口配置 MAC 限制,而不是为每个 VLAN 配置 MAC 限制。您可以指定可在单个第 2 层接入接口或所有第 2 层接入接口上获知的最大动态 MAC 地址数。如果超过该最大数量,交换机将采取的默认操作是 丢弃 — 丢弃数据包并生成警报、SNMP 陷阱或系统日志条目。
要使用 J-Web 界面在一个或多个接口上启用 MAC 限制,请执行以下操作:
您可以随时启用或禁用交换机上的端口安全,方法是单击端口安全配置页面上的 激活 或 停用 按钮。如果在尝试编辑任何 VLAN 或接口(端口)的设置时安全状态显示为 “已禁用” ,则会显示一条消息,询问您是否要启用端口安全性。