Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

配置 MAC 限制

配置 MAC 限制 (ELS)

本主题介绍在设备接收和转发的数据包中配置 MAC 地址限制的不同方法。

注意:

本节中介绍的任务将 Junos OS 用于支持增强型第 2 层软件 (ELS) 配置样式的EX 系列交换机、QFX3500 和 QFX3600 交换机以及PTX 系列路由器。有关 ELS 配置的更多信息,请参阅 使用增强型第 2 层软件 CLI

以下部分介绍了设置 MAC 限制的不同方法:

特定于平台的 配置全局 MAC 限制 行为

表 1:特定于平台的行为

平台

差异

Junos Evolved ACX7000 系列

ACX7000 目前不支持分组作

默认 MAC 编号不适用于ACX7000

限制接口获知的 MAC 地址数

注意:

在 PTX 系列路由器上,您只能限制接口获知的 MAC 地址数。

要保护端口,可以设置接口可获知的最大 MAC 地址数。

设置接口的 MAC 限制,并指定设备在超过指定限制后执行的作。
如果要在属于默认路由实例的接口上设置 MAC 限制:
如果要在属于路由实例的接口上设置 MAC 限制:
如果要在属于默认路由实例的所有接口上设置 MAC 限制:
如果要在属于路由实例的所有接口上设置 MAC 限制:

为接口设置新的 MAC 限制后,系统将清除与接口关联的 MAC 地址转发表中的现有条目。

限制 VLAN 获知的 MAC 地址数

要限制 VLAN 获知的 MAC 地址数,请执行以下步骤:

特定于平台的 配置 MAC 限制 行为

表 2:特定于平台的行为

平台

差异

Junos Evolved ACX7000 系列

ACX7000 目前不支持分组作

默认 MAC 编号不适用于ACX7000
设置 VLAN 可获知的最大 MAC 地址数,并指定设备在超过指定限制后执行的作:

限制 VLAN 中的接口获知的 MAC 地址数

要限制 VLAN 中的接口获知的 MAC 地址数,请执行以下步骤:

  1. 设置 VLAN 中的接口可获知的最大 MAC 地址数,并指定设备在超过指定限制后要执行的作:
  2. 设置 VLAN 中的一个所有接口可获知的最大 MAC 地址数,并指定设备在超过指定限制后执行的作:
    注意:

    如果为 VLAN 中的所有接口 VLAN 中的特定接口指定 MAC 限制和数据包作,则以在特定接口级别指定的 MAC 限制和数据包作为准。此外,在 VLAN 接口级别,仅 drop 支持和 drop-and-log 选项。

    使用语 mac-table-size 句为 VLAN 或使用语 interface-mac-limit 句为 VLAN 关联的接口设置新的 MAC 限制后,系统将清除 MAC 地址转发表中相应的现有条目。

    注意:

    在 QFX 系列虚拟机箱上,如果在[edit vlans vlan-name switch-options interface interface-name interface-mac-limit packet-action]层次结构级别包含选项shutdown并发出commit作,系统将生成提交错误。如果在[edit switch-options interface interface-name interface-mac-limit packet-action]层次结构级别包含选项shutdown,系统不会生成错误。

配置 MAC 限制(非 ELS)

此任务对不支持增强型第 2 层软件 (ELS) 配置样式的EX 系列交换机以及QFX3500和QFX3600交换机使用 Junos OS。

本主题介绍在交换机接收和转发的数据包中配置 MAC 地址限制的各种方法。

必须先清除 MAC 地址转发表中与要进行的更改相对应的现有条目,然后才能更改之前为接口或 VLAN 设置的 MAC 限制。因此,要更改接口的限制,请先清除该接口的 MAC 地址转发表条目。要更改所有接口和 VLAN 的限制,请清除所有 MAC 地址转发表条目。要更改 VLAN 的限制,请清除该 VLAN 的 MAC 地址转发表条目。

要从转转发表中清除 MAC 地址:

  • 清除转转发表中特定接口(此处接口为 ge-0/0/1)的 MAC 地址条目:

  • 清除转转发表中的所有 MAC 地址条目:

  • 清除来自特定 VLAN 的 MAC 地址条目(此处的 VLAN 为 vlan-abc):

以下部分介绍了设置 MAC 限制的不同方法:

限制可在接口上学习的 MAC 地址数量

通过设置可在接口上学习的最大 MAC 地址数来配置端口安全 MAC 限制。

  • 在单个接口上应用 MAC 限制(此处的接口为 ge-0/0/1):

    如果未指定在接口上配置 MAC 限制的作,则如果超过限制,设备将执行默认作 丢弃

  • 根据单个接入接口在特定 VLAN 中的成员身份对其应用 MAC 限制(此处,接口为 ge-0/0/1,VLAN 为 v1。

    使用这种类型的配置,如果超过限制,设备会丢弃任何其他数据包,并记录一条消息。

  • 将限制应用于所有接入接口:

    如果未指定在所有接口上配置 MAC 限制的作,则如果超过限制,设备将执行默认作 丢弃

指定允许的 MAC 地址

在更改 MAC 地址限制之前,必须清除 MAC 地址转发表中的现有条目。

要通过指定允许的 MAC 地址来配置端口安全性的 MAC 限制:

  • 在单个接口上(此处的接口为 ge-0/0/2):
  • 在所有接口上:

配置 VLAN 的 MAC 限制

必须先清除 MAC 地址转发表中的现有条目,然后才能更改 MAC 地址限制。

VLAN 的 MAC 限制会限制可以为该 VLAN 学习的 MAC 地址,但 不会 丢弃数据包。因此,在 VLAN 上设置 MAC 限制不被视为端口安全功能。

注意:

特定允许的 MAC 地址的配置不适用于 VLAN。

要使用 CLI 为 VLAN 配置 MAC 限制:

限制 VLAN 上的动态 MAC 地址数量:

如果超过特定 VLAN 上的 MAC 限制,设备将记录导致超过限制的数据包的 MAC 地址。无法执行其他作。

注意:

对 VLAN 应用 MAC 限制时,对于由路由 VLAN 接口 (RVI) 组成的 VLAN,或由使用 LACP 的聚合以太网捆绑包组成的 VLAN,请勿设置为 mac-limit 1。在这些情况下,将 mac-limit 设置为 1 将防止设备学习自动地址以外的 MAC 地址:

  • 对于 RVI,插入转发数据库的第一个 MAC 地址即为 RVI 的 MAC 地址。

  • 对于使用 LACP 的聚合以太网捆绑包,插入转发表中转发数据库的第一个 MAC 地址即为协议数据包的源地址。

如果 VLAN 由常规接入接口或中继接口组成,则可以选择将 设置为 mac-limit 1。

另见

在 MX 系列路由器上配置 MAC 限制

本主题介绍在 MX 系列路由器接收和转发的数据包中配置 MAC 地址限制的不同方法。

限制接口获知的 MAC 地址数

要保护端口,可以设置接口可获知的最大 MAC 地址数。

MX 系列路由器仅支持 丢弃 作。如果未指定作,则路由器将在超过限制时执行默认作 丢弃

设置接口上的 MAC 限制,并指定路由器在超过指定限制后执行的作。
如果要在属于默认路由实例的接口上设置 MAC 限制:
如果要在属于路由实例的接口上设置 MAC 限制:
如果要在属于默认路由实例的所有接口上设置 MAC 限制:
如果要在属于路由实例的所有接口上设置 MAC 限制:

为接口设置新的 MAC 限制后,系统将清除与接口关联的 MAC 地址转发表中的现有条目。

限制桥接域获知的 MAC 地址数量

要限制桥接域获知的 MAC 地址数,请执行以下步骤:

设置桥接域可获知的最大 MAC 地址数,并指定设备在超过指定限制后执行的作:

限制桥接域中接口获知的 MAC 地址数

要限制桥接域中接口获知的 MAC 地址数,请执行以下步骤:

  1. 设置桥接域中的接口可获知的最大 MAC 地址数,并指定设备在超过指定限制后要执行的作:
  2. 设置桥接域中的一个 所有接口可获知的最大 MAC 地址数,并指定设备在超过指定限制后执行的作:
    注意:

    如果为网桥域中的所有接口 网桥域中的特定接口指定 MAC 限制和数据包作,则以在特定接口级别指定的 MAC 限制和数据包作为准。此外,在桥接域接口级别,仅 drop 支持选项。

配置 MAC 限制(J-Web 过程)

MAC 限制可防止 EX 系列交换机上的以太网交换表泛洪。MAC 限制对单个第 2 层接入接口(端口)上可获知的 MAC 地址数量设置了限制。

Junos OS 提供了两种 MAC 限制方法:

  • 每个接口允许的最大动态 MAC 地址数 — 如果超过限制,则带有新 MAC 地址的传入数据包将被丢弃。

  • 接入接口的特定“允许”MAC 地址 — 不会学习未在配置地址列表中的任何 MAC 地址。

您可以为每个接口配置 MAC 限制,而非每个 VLAN。您可以指定在单个第 2 层接入接口或所有第 2 层接入接口上可学习的最大动态 MAC 地址数。如果超过该最大数量,交换机将采取的默认作是 丢弃 — 丢弃数据包并生成告警、SNMP 陷阱或系统日志条目。

要使用 J-Web 界面在一个或多个接口上启用 MAC 限制:

  1. 选择 Configure>Security>Port Security。
  2. 接口列表中选择一个或多个接口。
  3. 单击 “编辑 ”按钮。如果出现一条消息,询问您是否要启用端口安全性,请单击 “是”。
  4. 要设置动态 MAC 限制:

    1. 在“ MAC 限制 ”框中键入一个限制值。

    2. 从“ MAC 限制作 ”框(可选)中选择一个作。当超过 MAC 限制时,交换机会执行此作。如果未选择作,交换机将应用默认作 drop

      • 日志 - 生成系统日志条目。

      • 丢弃 — 丢弃数据包并生成系统日志条目。(默认)

      • 关机 — 关闭 VLAN 并生成系统日志条目。您可以通过配置交换机以从禁用状态自动恢复并指定 禁用超时 值来减轻此选项的影响。

      • 无 — 无需执行任何作。

  5. 要添加允许的 MAC 地址:

    1. 单击 “添加”

    2. 键入允许的 MAC 地址,然后单击 确定

    重复此步骤以添加更多允许的 MAC 地址。

  6. 完成 MAC 限制设置后,单击“ 确定 ”。
  7. 成功传递配置后,单击“ 确定 ”。
注意:

您可以随时通过单击端口安全配置页面上的 激活停用 按钮来启用或禁用交换机上的端口安全。如果尝试编辑任何 VLAN 或接口(端口)的设置时安全状态显示为 “已禁用 ”,则将显示一条消息,询问您是否要启用端口安全性。

另见