Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置 MAC 限制

配置 MAC 限制 (ELS)

本主题介绍在交换机接收和转发的数据包中配置 MAC 地址限制的不同方法。

注意:

第一节中显示的任务使用 Junos OS 用于 EX 系列交换机以及 QFX3500 和 QFX3600 交换机,支持增强型第 2 层软件 (ELS) 配置样式。请参阅 使用增强型第 2 层软件 CLI 了解有关 ELS 配置的详细信息。

以下部分介绍了设置 MAC 限制的不同方式:

限制通过接口学习的 MAC 地址数量

要保护端口,您可以设置可通过接口学习的最大 MAC 地址数:

在接口上设置 MAC 限制,然后指定交换机在超过指定限制后采取的操作:

为接口设置新的 MAC 限制后,系统将清除与接口关联的 MAC 地址转发表中的现有条目。

限制通过 VLAN 学习的 MAC 地址数量

要限制由 VLAN 学习的 MAC 地址数量,请执行以下两个步骤:

  1. 设置可由 VLAN 学习的最大 MAC 地址数,并指定交换机在超出指定限制后采取的操作:
  2. 设置可由 VLAN 中一个 所有接口学习的最大 MAC 地址数,并指定交换机在超出指定限制后采取的操作:
    注意:

    如果为 VLAN 中的所有接口和 VLAN 中的特定接口指定 MAC 限制 数据包操作,则特定接口级别中指定的 MAC 限制和数据包操作优先。此外,在 VLAN 接口级别,仅 drop 支持和 drop-and-log 选项。

    使用 mac-table-size 语句为 VLAN 设置新的 MAC 限制,或者使用 interface-mac-limit 语句为与 VLAN 关联的接口设置新的 MAC 限制后,系统将清除 MAC 地址转发表中的相应现有条目。

    注意:

    在 QFX 系列虚拟机箱上,如果在层次结构级别中[edit vlans vlan-name switch-options interface interface-name interface-mac-limit packet-action]包含shutdown选项并发出commit操作,系统将生成提交错误。如果在层次结构级别中[edit switch-options interface interface-name interface-mac-limit packet-action]包含选项,shutdown系统不会生成错误。

配置 MAC 限制(非 ELS)

此任务使用不支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机以及 QFX3500 和 QFX3600 交换机的 Junos OS。如果您的交换机运行支持 ELS 的软件,请参阅 配置 MAC 限制 (ELS)。有关 ELS 详细信息,请参阅 使用增强型第 2 层软件 CLI

本主题介绍在交换机接收和转发的数据包中配置 MAC 地址限制的各种方法。

更改以前为接口或 VLAN 设置的 MAC 限制之前,必须首先清除 MAC 地址转发表中与您想要做出的更改对应的现有条目。因此,要更改接口上的限制,请先为该接口清除 MAC 地址转发表条目。要更改所有接口和 VLAN 的限制,请清除所有 MAC 地址转发表条目。要更改 VLAN 限制,请为该 VLAN 清除 MAC 地址转发表条目。

要从转发表中清除 MAC 地址:

  • 转发表中来自特定接口(此处的接口为 ge-0/0/1)的清除 MAC 地址条目:

  • 清除转发表中的所有 MAC 地址条目:

  • 来自特定 VLAN 的清除 MAC 地址条目(此处的 VLAN 为 vlan-abc):

以下部分介绍了设置 MAC 限制的不同方式:

限制可在接口上学习的 MAC 地址数量

要为端口安全配置 MAC 限制,请设置可在接口上学习的最大 MAC 地址数。

  • 在单个接口上应用 MAC 限制(此处接口为 ge-0/0/1):

    如果未指定用于在接口上配置 MAC 限制的操作,交换机将执行超出限制的默认操作 丢弃

  • 将 MAC 限制应用于单个接入接口,基于其在特定 VLAN 中的成员资格(此处接口为 ge-0/0/1,VLAN 为 v1。

    使用此类型的配置时,交换机会在超出限制时丢弃任何附加数据包,同时记录消息。

  • 将限制应用于所有接入接口:

    如果未指定用于在所有接口上配置 MAC 限制的操作,交换机将执行超出限制的默认操作 丢弃

指定允许的 MAC 地址

在更改 MAC 地址限制之前,您必须清除 MAC 地址转发表中的现有条目。

要为端口安全配置 MAC 限制,请指定允许的 MAC 地址:

  • 在单个接口上(此处为 ge-0/0/2):
  • 在所有接口上:

为 VLAN 配置 MAC 限制

您必须先清除 MAC 地址转发表中的现有条目,然后才能更改 MAC 地址限制。

VLAN 的 MAC 限制限制了可为该 VLAN 学习但 不会 丢弃数据包的 MAC 地址。因此,不将 VLAN 的 MAC 限制设置为端口安全功能。

注意:

特定允许的 MAC 地址配置不适用于 VLAN。

要使用 CLI 为 VLAN 配置 MAC 限制:

限制 VLAN 上的动态 MAC 地址数量:

如果超过了特定 VLAN 的 MAC 限制,交换机将记录导致超出限制的数据包的 MAC 地址。无法采取其他操作。

注意:

在 VLAN 上应用 MAC 限制时,对于由路由 VLAN 接口 (RVI) 组成的 VLAN 或由使用 LACP 的聚合以太网捆绑包组成的 VLAN,不要设置 mac-limit 为 1。在这些情况下,将设置 mac-limit 为 1 会阻止交换机学习 MAC 地址,而非自动地址:

  • 对于 RVI,插入转发数据库的第一个 MAC 地址是 RVI 的 MAC 地址。

  • 对于使用 LACP 的聚合以太网捆绑包,转发表中转发数据库中插入的第一个 MAC 地址是协议数据包的源地址。

如果 VLAN 由常规接入接口或中继接口组成,则如果愿意,可以将设置 mac-limit 为 1。

配置 MAC 限制(QFX 交换机)

要在特定接口或所有接口上配置 MAC 限制:

  1. 要限制动态 MAC 地址的数量,请将 MAC 限制设置为 5

    未指定操作,因此交换机在超出限制时执行默认操作 丢弃

    • 在单个接口上(此处,接口为 xe-0/0/1):

    • 在所有接口上:

    谨慎:

    不要将 MAC 限制设置为 1。学习的第一个 MAC 地址通常会自动插入转发数据库中。(例如,插入路由 VLAN 接口转发数据库中的第一个 MAC 地址是 RVI 的 MAC 地址。对于使用 LACP 的聚合以太网捆绑包,转发表中转发数据库中插入的第一个 MAC 地址是协议数据包的源地址。)因此,当 MAC 限制设置为 1 时,交换机无法学习 MAC 地址,而非自动地址,这会导致 MAC 学习和转发出现问题。

  2. 要指定允许的 MAC 地址:
    • 在单个接口上(此处,接口为 xe-0/0/2):

    • 在所有接口上:

配置 MAC 限制(J-Web 过程)

MAC 限制可防止 EX 系列交换机上的以太网交换表泛滥。MAC 限制设置可在单个第 2 层接入接口(端口)上学习的 MAC 地址数量限制。

Junos OS 提供了两种 MAC 限制方法:

  • 每个接口允许的最大动态 MAC 地址数 — 如果超出限制,将丢弃带有新 MAC 地址的传入数据包。

  • 接入接口的特定“允许”MAC 地址 — 未学习未在已配置地址列表中的任何 MAC 地址。

您为每个接口配置 MAC 限制,而不是为每个 VLAN 配置 MAC 限制。您可以指定可在单个第 2 层接入接口或所有第 2 层接入接口上学习的动态 MAC 地址的最大数量。如果超过最大编号,交换机将采取的默认操作是 丢弃 — 丢弃数据包并生成报警、SNMP 陷阱或系统日志条目。

要在一个或多个接口上使用 J-Web 界面启用 MAC 限制:

  1. 选择 Configure>Security>Port Security
  2. 接口列表中选择一个或多个接口。
  3. 单击 “编辑” 按钮。如果出现一条消息,询问是否要启用端口安全,请单击 Yes
  4. 要设置动态 MAC 限制:
    1. MAC 限制 框中键入限制值。

    2. MAC 限制操作 框中选择操作(可选)。当超出 MAC 限制时,交换机将执行此操作。如果不选择操作,交换机将应用默认操作, 丢弃

      • 日志 — 生成系统日志条目。

      • 丢弃 — 丢弃数据包并生成系统日志条目。(默认)

      • 关闭 — 关闭 VLAN 并生成系统日志条目。您可以通过配置交换机从禁用状态自动恢复并指定 禁用超时 值来缓解此选项的影响。

      • 无 — 无需采取任何措施。

  5. 要添加允许的 MAC 地址:
    1. 单击 Add

    2. 键入允许的 MAC 地址并单击 OK

    重复此步骤以添加更多允许使用的 MAC 地址。

  6. 完成 MAC 限制设置后,单击 OK
  7. 成功交付配置后,单击 OK
注意:

您可以通过单击端口安全配置页面上的 “激活 ”或 “停用” 按钮,随时启用或禁用交换机上的端口安全。如果在尝试编辑任何 VLAN 或接口(端口)的设置时,安全状态显示为 用状态,则会显示一条消息,询问是否要启用端口安全。