Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

端口安全概述

端口安全功能

以太网 VPN 容易遭受网络设备上地址欺骗(伪造)和 2 层拒绝服务 (DoS) 攻击。端口安全功能有助于保护您设备的接入端口,避免此类攻击可能导致的信息丢失和生产力丧失。

Junos OS通过分离控制转发和服务平面来强化,每个功能都运行在受保护的内存内。控制平面 CPU 受到速率限制、路由策略和防火墙过滤器的保护,即便在遭受严重攻击时也可确保交换机正常运行时间。

Junos OS提供的功能可帮助保护设备上端口的安全。端口可以分类为可信或不可信。您可以应用适合每个类别的策略,以保护端口免遭不同类型的攻击。

接入端口安全功能(如动态地址解析协议 (ARP) 检测、DHCP 窥探和 MAC 限制等通过单个 Junos OS CLI 控制。设备默认配置中会启用基本端口安全功能。您可使用最少的配置步骤配置附加功能。根据特定功能,您可以在 V VPN 或网桥域接口上配置该功能。

从Junos OS版本 18.4R1开始,DHCP 会针对以下 瞻博网络 系列交换机、EX2300、EX4600 和 QFX5K 的可信端口进行 DHCP 窥探。在Junos OS版本18.4R1,对于这些设备,这仅适用于 DHCPv6 窥探。此外,DHCP 在运行 EX9200 及更高版本的 Fusion Enterprises 的可信端口上Junos OS DHCP 19.1R1。

瞻博网络 EX 系列以太网交换机提供以下硬件和软件安全功能:

Console Port— 允许使用控制台端口通过 RJ-45 路由引擎连接到交换机。然后使用 命令行界面 (CLI) 配置交换机。

Out-of-Band Management— 后面板上的专用管理以太网端口支持带外管理。

Software Images—所有Junos OS映像都由 瞻博网络基础架构 (PKI) 证书颁发机构 (证书颁发机构) 签署。

User Authentication, Authorization, and Accounting (AAA)— 功能包括:

  • 使用密码加密和身份验证的用户和组帐户。

  • 为登录类和用户模板配置的访问权限级别。

  • RADIUS认证、TACACS+ 认证,用于验证尝试访问交换机的用户。

  • 通过系统日志记录或 RADIUS/TACACS+ 审核配置更改。

802.1X Authentication— 提供网络接入控制。请求方(主机)最初连接到 LAN 时,会经过身份验证。在请求方从 DHCP 服务器接收 IP 地址之前对请求方进行身份验证,可防止未经授权的请求方获得对 LAN 的访问。EX 系列交换机支持可扩展身份验证协议 (EAP) 方法,包括 EAP-MD5、EAP-TLS、EAP-TTLS 和 EAP-PEAP。

Port Security—交换设备支持的接入端口安全功能包括:

  • DHCP 窥探 — 过滤并阻止不受信任的端口上的入口动态主机配置协议 (DHCP) 服务器消息,并构建并维护一个 DHCP 租用信息数据库,称为 DHCP 窥探数据库。

    注意:

    在交换设备的默认配置中,DHCP 窥探不会启用。在 VLAN 或网桥域上启用 DHCP 窥探。启用 DHCP 窥探的详细信息取决于特定设备。

  • 可信 DHCP 服务器 — 在可信端口上配置 DHCP 服务器可抵御恶意 DHCP 服务器发送租用。您可以在接口(端口)上启用此功能。默认情况下,接入端口不可信,中继端口受信任。(接入端口是连接到以太网端点(例如用户 PC 和笔记本电脑、服务器和打印机)的交换机端口。中继端口是将以太网交换机连接到其他交换机或路由器的交换机端口。)

  • DHCPv6 窥探 — IPv6 的 DHCP 窥探。

  • DHCP option 82 — 又称为 DHCP 中继代理信息选项。此 DHCPv4 功能有助于保护交换设备免遭攻击,例如 IP 地址和 MAC 地址欺骗以及 DHCP IP 地址不足。Option 82 提供 DHCP 客户端的网络位置信息,DHCP 服务器则使用此信息来为客户端实施 IP 地址或其他参数。

  • DHCPv6 选项 37— Option 37 是 DHCPv6 的远程 ID 选项,用于将有关远程主机网络位置的信息插入 DHCPv6 数据包中。在 VLAN 上启用 option 37。

    注意:

    MX 系列不支持使用选项 37 的 DHCPv6 窥探。

  • DHCPv6 选项 18 — 选项 18 是 DHCPv6 的电路 ID 选项,用于将有关客户端端口的信息插入 DHCPv6 数据包中。此选项包括可选择性配置的其他详细信息,例如前缀和接口说明。

  • DHCPv6 选项 16— Option 16 是 DHCPv6 的供应商 ID 选项,用于将有关客户端硬件供应商的信息插入 DHCPv6 数据包中。

  • 动态 ARP 检查 (DAI) — 防止地址解析协议 (ARP) 欺骗攻击。将 ARP 请求和回复与 DHCP 窥探数据库中的条目进行比较,并基于这些比较的结果做出过滤决策。在 VLAN 上启用 DAI。

  • IPv6 邻居发现检测 — 防止 IPv6 地址欺骗攻击。将邻接方发现请求和回复与 DHCPv6 窥探数据库中的条目进行比较,并基于这些比较的结果做出过滤决策。您可以在 VLAN 上启用邻居发现检测。

  • IP 源保护 — 缓解 IP 地址欺骗攻击对以太网 LAN 的影响。启用 IP 源保护后,来自不可信接入接口的数据包中的源 IP 地址根据 DHCP 窥探数据库进行验证。如果数据包无法验证,则将其丢弃。您可以在 VLAN 或网桥域上启用 IP 源保护。

    注意:

    此服务器不支持 IP 源QFX 系列。

  • IPv6 源保护 — 适用于 IPv6 的 IP 源保护。

    注意:

    此设备不支持 IPv6 源QFX 系列。

  • MAC 限制 — 防止以太网交换表(又称为 MAC 转转表或 2 层转用表)泛洪。您可以在接口上启用 MAC 限制。

  • MAC 移动限制 — 跟踪 MAC 移动并检测接入端口上的 MAC 欺骗。您可以在 VLAN 或网桥域中启用此功能。

  • 永久 MAC 学习 - 又称为 粘性 MAC。永久 MAC 学习使接口能够跨交换机重新启动保留动态学习的 MAC 地址。您可以在接口上启用此功能。

  • 无限制代理 ARP — 交换机会使用自己的地址对所有 ARP 消息MAC 地址。连接到交换机接口的主机不能与其他主机直接通信。主机之间的所有通信都通过交换机进行。

  • 受限代理 ARP — 如果 ARP 请求的来源和目标物理网络相同,交换机不响应 ARP 请求。无论目标主机拥有与传入接口相同的 IP 地址,还是不同的(远程)IP 地址,都不重要。ARP 请求广播地址不会引起回复。

Device Security—风暴控制允许交换机监控未知单播和广播流量并丢弃数据包,或者关闭或在超过指定流量级别时临时禁用接口,从而防止数据包激增和降级 LAN。您可以在接入接口或中继接口上启用风暴控制。

Encryption Standards— 支持的标准包括:

  • 128 位、192 位和 256 位高级加密标准 (AES)

  • 56 位数据加密标准 (DES) 和 168 位 3DES

了解如何保护接入端口免遭常见攻击

端口安全功能可保护 ex 瞻博网络 系列QFX10000 以太网交换机抵御各种类型的攻击。针对一些常见攻击的防护方法包括:

缓解以太网交换表溢流攻击

在以太网交换表上的溢流攻击中,入侵者会从新的 MAC 地址发送许多请求,使表无法了解所有地址。当交换机无法再使用表中的信息来转发信息流时,迫使它广播消息。交换机上的流量信息流中断,数据包将发送至网络上的所有主机。除了使网络与流量过载之外,攻击者还可能会探测到广播流量。

为了缓解此类攻击,请为学习的 MAC 地址和某些允许的特定 MAC 地址配置 MAC 限制。使用 MAC 限制功能控制可添加至以太网交换表中指定接口的 MAC 地址总数。通过设置明确允许的 MAC 地址,可确保以太网交换表中包含其网络访问至关重要的网络设备的地址。请参阅 示例:防范以太网交换表溢流攻击

注意:

您也可将学习的 MAC 地址配置为在每个接口上保留。这种永久 MAC 学习与配置的 MAC 限制结合使用,有助于防止重新启动或接口关闭事件后出现流量丢失,还可通过限制接口上允许的 MAC 地址提高端口安全性。

减少恶意 DHCP 服务器攻击

如果攻击者设置恶意 DHCP 服务器来假扮 LAN 上的合法 DHCP 服务器,恶意服务器可以开始为网络的 DHCP 客户端签发租用证。此恶意服务器提供给客户端的信息可能会中断其网络访问,从而DoS。恶意服务器可能也会将自身分配为网络的默认网关设备。随后,攻击者会探测到网络流量并实施中间人攻击—即,将合法网络设备的流量误发至其选择的设备。

为了缓解恶意 DHCP 服务器攻击,请设置恶意服务器作为不可信服务器连接到的接口。此操作将阻止该接口的所有入口 DHCP 服务器消息。请参阅 示例:防范恶意 DHCP 服务器攻击

注意:

交换机记录在不受信任端口上接收的所有 DHCP 服务器数据包,例如:

收到 5 个不可信 DHCPOFFER,接口 ge-0/0/0.0[65], vlan v1[10] 服务器 ip/mac 12.12.12.1/00:00:00:00:01:12 提供 ip/客户端 mac 12.12.12.253/00:AA:BB:CC:DD:01

您可以使用这些消息来检测网络上恶意的 DHCP 服务器。

注意:

对于QFX 系列交换机(包括 QFX10000),如果将 DHCP 服务器连接到访问端口,则必须将端口配置为可信端口。

ARP 欺骗攻击防护(不适用于QFX10000交换机)

在 ARP 欺骗中,攻击者会网络上发送假 ARP 消息。攻击者将自己的MAC 地址与连接到交换机的网络设备的 IP 地址关联。发送到该 IP 地址的任何流量都发送给攻击者。现在,攻击者可以创建各种恶作剧,包括探测用来另一个主机的数据包并实施中间人攻击。(在中间人攻击中,攻击者会拦截两个主机之间的消息,读取它们,并且可能更改它们,而原始主机知道他们的通信已遭到入侵)。

要防止交换机上的 ARP 欺骗,请启用 DHCP 窥探和动态 ARP 检查 (DAI)。DHCP 窥探构建并维护 DHCP 窥探表。该表包含交换机上不可信接口的 MAC 地址、IP 地址、租用时间、绑定类型、VLAN 信息和接口信息。DAI 使用 DHCP 窥探表中的信息验证 ARP 数据包。无效的 ARP 数据包将被阻止,并且当它们被阻止时,系统会记录一条系统日志消息,其中包括 ARP 数据包的类型以及发送方的 IP 地址和MAC 地址。

请参阅 示例:防范 ARP 欺骗攻击

防范 DHCP 窥探数据库变更攻击(不适用于QFX10000交换机)

在旨在修改 DHCP 窥探数据库的攻击中,入侵者在交换机的一个不可信接入接口上引入 DHCP 客户端,该接口具有与另一个不可信端口上的客户端相同的 MAC 地址。入侵者会获取 DHCP 租用,从而更改 DHCP 窥探表中的条目。随后,来自合法客户端的一直有效的 ARP 请求将被阻止。

为了防范此类 DHCP 窥探数据库变更,请配置接口上明确允许的 MAC 地址。请参阅 示例:防范 DHCP 窥探数据库攻击

针对 DHCP 不足攻击的防护

在 DHCP 资源不足攻击中,攻击者通过欺骗(伪装)MAC 地址发送 DHCP 请求,使交换机的可信 DHCP 服务器无法与交换机上合法 DHCP 客户端的请求保持一起。这些服务器的地址空间将被完全占用,因此它们不能再为客户端分配 IP 地址和租用时间。来自这些客户端的 DHCP 请求要么丢弃,要么产生一个 拒绝服务 (DoS) 请求,要么被攻击者设置到一个恶意 DHCP 服务器,用于假扮 LAN 上合法 DHCP 服务器。

要防止交换机遭受 DHCP 资源不足攻击,请使用 MAC 限制功能。指定交换机可在这些客户端连接的接入接口上学习的最大 MAC 地址数。然后,交换机的 DHCP 服务器将能够为这些客户端提供指定数量的 IP 地址和租用空间,而不再提供。如果分配了最大 IP 地址数之后发生 DHCP 资源不足攻击,则攻击将失败。请参阅 示例:防范 DHCP 不足攻击

注意:

为了在 EX 系列交换机上实现额外保护,可通过启用永久 MAC 学习在每个接口上配置学习的 MAC 地址,以在交换机重新启动时保持连接。这种永久 MAC 学习有助于防止重新启动后的信息流丢失,并确保即使在重新启动或接口关闭事件后,永久 MAC 地址也重新输入转发数据库中,而不是交换机学习新的 MAC 地址。

配置端口安全 (ELS)

注意:

在支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机上支持上述功能。如果交换机运行的软件不支持 ELS,请参阅 配置端口安全 (非 ELS)。有关 ELS 的详细信息,请参阅 使用增强型第 2 层软件CLI

以太网 VPN 容易遭受网络设备上地址欺骗和 2 层拒绝服务 (DoS) 攻击。DHCP 端口安全功能有助于保护交换机上的接入端口免遭此类攻击造成的信息和生产力损失。

DHCPv4 支持以下端口安全功能:

  • DHCP 窥探

  • 动态 ARP 检查 (DAI)

  • IP 源保护

  • DHCP option 82

DHCPv6 支持以下端口安全功能:

  • DHCPv6 窥探

  • IPv6 邻居发现检测

  • IPv6 源保护

  • DHCPv6 选项 37、选项 18 和选项 16

默认情况下,任何 VLAN 均禁用 DHCP 窥探和 DHCPv6 窥探。没有显式CLI配置用于启用 DHCP 窥探或 DHCPv6 窥探。在层次结构级别配置 VLAN 的任何端口安全功能时,DHCP 窥探和 DHCPv6 窥探自动在 [edit vlans vlan-name forwarding-options dhcp-security] VLAN 上启用。

注意:

从 Junos OS 版 14.1X53-D47 和 15.1R6 开始,您可以在 VLAN 上启用 DHCP 窥探或 DHCPv6 窥探,而无需配置其他端口安全功能,方式为 [ ] 层次结构级别配置 CLI 语句。 dhcp-security edit vlans vlan-name forwarding-options

DAI、IPv6 邻居发现检测、IP 源保护、IPv6 源保护、DHCP option 82 和 DHCPv6 选项均按 VLAN 配置。配置这些 DHCP 端口安全功能之前,必须先配置 VLAN。请参阅 为支持 ELS 的 EX 系列交换机配置 VLAN(CLI过程)

您为 VLAN 指定的 DHCP 端口安全功能适用于该 VLAN 中包含的所有接口。但是,您可以将不同的属性分配给 VLAN 中的访问接口或一组访问接口。必须先使用 层级的 语句将接入接口 group 或接口配置为 [edit vlans vlan-name forwarding-options dhcp-security] 组。一个组必须至少具有一个接口。

注意:

在层级的 VLAN 上配置一组接入接口将自动为 VLAN 中所有接口启用 [edit vlans vlan-name forwarding-options dhcp-security] DHCP 窥探。

可以使用 语句为接入接口指定 group 属性包括:

注意:

默认情况下,中继接口是可信的。但是,您可以覆盖此默认行为,将中继接口设置为 untrusted

有关更多详细信息,请参阅:

您可以在该 VLAN 中配置一组访问接口,来覆盖 VLAN 的常规端口安全设置。有关详细信息,请参阅:

配置端口安全(非 ELS)

以太网 VPN 容易遭受网络设备上地址欺骗和 2 层拒绝服务 (DoS) 攻击。端口安全功能,如 DHCP 窥探、DAI(动态 ARP 检查)、MAC 限制、MAC 移动限制、永久 MAC 学习以及可信的 DHCP 服务器,有助于保护交换机上的接入端口免遭此类攻击可能导致的信息丢失和生产力损失。

根据特定功能,您可以在以下任一项上配置端口安全功能:

  • VLAN — 特定 VLAN 或所有 VLAN

  • 接口 — 特定接口或所有接口

注意:

如果您在所有 VLAN 或所有接口上配置其中一个端口安全功能,交换机软件在所有 VLAN 上启用该端口安全功能,并且未显式配置其他端口安全功能的所有接口。

但是,如果明确配置特定 VLAN 或特定接口上的端口安全功能之一,则必须显式配置要应用到该 VLAN 或接口的任何附加端口安全功能。否则,交换机软件会自动应用该功能的默认值。

例如,如果禁用所有 VLAN 上的 DHCP 窥探,并决定仅在特定 VLAN 上显式启用 IP 源保护,则还必须明确启用特定 VLAN 上的 DHCP 窥探。否则,任何 DHCP 窥探的默认值也适用于该 VLAN。

要配置端口安全功能,请CLI:

启用 DHCP 窥探

您可以配置 DHCP 窥探以允许设备监控收到的 DHCP 消息,确保主机仅使用分配给它们 IP 地址,并且仅允许访问授权 DHCP 服务器。

要启用 DHCP 窥探:

  • 在特定的 VLAN 上:

  • 在所有 VLAN 上:

要启用 DHCPv6 窥探:

  • 在特定的 VLAN 上:

  • 在所有 V VPN 上:

启用动态 ARP 检查 (DAI)

您可以启用 DAI 以防范 ARP 窥探。要启用 DAI:

  • 在单个 VLAN 上:

  • 在所有 VLAN 上:

启用 IPv6 邻居发现检测

您可以启用邻接设备发现检测,以防范 IPv6 地址欺骗。

  • 要启用单个 VLAN 上的邻接设备发现:

  • 要在所有 V VPN 上启用邻接设备发现:

限制接口上的动态 MAC 地址

限制接口上允许的动态 MAC 地址数量,并指定在超出限制时要采取的操作:

  • 在单个接口上:

  • 在所有接口上:

在接口上启用永久 MAC 学习

您可以配置学习的 MAC 地址,以在交换机重新启动时始终在接口上:

限制 MAC 地址移动

您可以限制网络在 1 秒MAC 地址其原始接口移动次数:

  • 在单个 VLAN 上:

  • 在所有 VLAN 上:

限制 VoIP VLAN 中的 VoIP 客户端 MAC 地址

要限制 VoIP 客户端MAC 地址在配置的 VoIP VLAN 中学习:

对于MAC 地址同一接口的数据 VLAN,无法学习该接口上学习的任何 VLAN 信息。如果在数据 VLAN 接口上学习了MAC 地址,然后在具有相同接口的 VoIP VLAN 上学习 MAC 地址,则从数据 VLAN 接口中移除 MAC 地址。

在接口上配置可信 DHCP 服务器

在接口上配置受信任的 DHCP 服务器:

示例:配置端口安全(非 ELS)

您可以在不受信任的交换机端口上配置 DHCP 窥探、动态 ARP 检查 (DAI)、MAC 限制、永久 MAC 学习和 MAC 移动限制,以保护交换机和以太网 LAN 免遭地址欺骗以及第 2 层 拒绝服务 (DoS) 攻击。您也可配置受信任的 DHCP 服务器以及交换机接口的特定(允许)MAC 地址。

注意:

此示例中使用的交换机不支持 ELS 配置样式。有关在 ELS 交换机上配置端口安全的信息,请参阅 配置端口安全 (ELS)

此示例介绍如何在交换机上配置基本端口安全功能:

要求

此示例使用以下硬件和软件组件:

  • 一个 EX 系列或 QFX 系列。

  • Junos OS EX 系列交换机的 11.4 或Junos OS版本 12.1 或更高版本QFX 系列

  • 一台 DHCP 服务器,用于向交换机上的网络设备提供 IP 地址

配置基本端口安全功能之前,请确保已:

注意:

此示例将说明 DHCP 服务器及其客户端是交换机上单个 VLAN 的成员。

概述和拓扑

以太网 VPN 容易在网络设备上解决欺骗DoS攻击。为了保护设备免受此类攻击,您可以配置:

  • DHCP 窥探以验证 DHCP 服务器消息

  • DAI,抵御 MAC 欺骗

  • 限制交换机添加到其网络缓存中的 MAC 地址MAC 地址限制

  • MAC 移动限制,以帮助防止 MAC 欺骗

  • 永久 MAC 学习(粘性 MAC),用于将接口上可以学习的 MAC 地址约束到学习的第一个,即使在交换机重新启动之后

  • 在可信端口上配置可信 DHCP 服务器,抵御恶意 DHCP 服务器发送租用

此示例说明了如何在连接到 DHCP 服务器的交换机上配置这些安全功能。

此示例的设置包括交换机上的 VLAN员工 vlan。图 1说明了此示例的拓扑。

拓扑

图 1:基本端口安全的网络拓扑 Network Topology for Basic Port Security

此示例的拓扑组件如表 1 所示

表 1:端口安全拓扑结构的组件
属性 设置

交换机硬件

一台 EX 系列或 QFX 系列交换机

VLAN 名称和 ID

employee-vlan, 标记 20

VLAN 子网

192.0.2.16/28 192.0.2.17192.0.2.30 192.0.2.31是子网的广播地址

员工 vlan 中的接口

ge-0/0/1 、ge-0/0/2 、ge-0/0/3 、ge-0/0/8

DHCP 服务器的接口

ge-0/0/8

此示例将首先为交换机配置默认端口安全策略。在默认交换机配置中:

  • 安全端口访问在交换机上已激活。

  • 所有 VLAN 上均禁用 DHCP 窥探和 DAI。

  • 所有接入端口都是不可信的,所有中继端口都受信 DHCP 窥探。

在此例的配置任务中,将 DHCP 服务器设置为可信服务器;如果配置任务中没有安装,则说明该服务器是受信任服务器。在 VLAN 上启用 DHCP 窥探、DAI 和 MAC 移动限制;为某些接口上的 MAC 限制设置值;您可以在接口上配置一些特定(允许)MAC 地址;您可以在一个接口上配置永久 MAC 学习

配置

要配置 DHCP 服务器和客户端端口在单个 VLAN 中的交换机的基本端口安全:

程序

CLI快速配置

要快速配置交换机上的基本端口安全,请复制以下命令并将其粘贴到交换机终端窗口中:

逐步过程

在交换机上配置基本端口安全:

  1. 在 VLAN 上启用 DHCP 窥探:

  2. 指定允许 DHCP 响应的接口(端口):

  3. 在 VLAN 上启用动态 ARP 检查 (DAI):

  4. 配置一个 4 的 MAC 限制并使用默认操作 drop。(如果接口上超出了 MAC 限制,MAC 地址数据包不会添加到以太网交换表中:

  5. 通过启用永久 MAC 学习,允许特定接口的已学习 MAC 地址在交换机重新启动和接口关闭事件之间保持存在:

  6. 配置一个 5 的 MAC 移动限制并使用默认操作 drop。(如果数据包数超过 MAC 移动MAC 地址,则系统不会将数据包MAC 地址添加到以太网交换表中:

  7. 配置允许的 MAC 地址:

结果

检查配置结果:

验证

要确认配置工作正常:

验证 DHCP 窥探在交换机上是否正常工作

目的

验证 DHCP 窥探是否正在交换机上工作。

行动

从连接到交换机的网络设备(此处为 DHCP 客户端)发送一些 DHCP 请求。

当 DHCP 服务器连接到交换机的接口可信时,显示 DHCP 窥探信息。当从 MAC 地址发送请求并且服务器提供 IP 地址和租用时,以下输出结果:

意义

将 DHCP 服务器连接到交换机的接口设置为可信时,输出(请参阅前面的示例)显示为每个 MAC 地址 分配的 IP 地址和租用时间,即租用到期之前剩余的时间(以秒计)。

如果 DHCP 服务器配置为不可信,不会将任何条目添加到 DHCP 窥探数据库中,并且命令的输出中不会 show dhcp snooping binding 显示任何内容。

验证 DAI 是否正确在交换机上工作

目的

验证 DAI 是否正在交换机上工作。

行动

从连接到交换机的网络设备发送一些 ARP 请求。

显示 DAI 信息:

意义

示例输出显示每个接口接收和检查的 ARP 数据包数,其中列出了每个接口上经过的数据包数和未通过检测的数据包数。交换机将比较 ARP 请求,并回复 DHCP 窥探数据库中的条目。如果 ARP MAC 地址的路由或 IP 地址与数据库中的有效条目不匹配,数据包将丢弃。

验证 MAC 限制、MAC 移动限制和永久 MAC 学习在交换机上是否正常工作

目的

验证 MAC 限制、MAC 移动限制和永久 MAC 学习是否正在交换机上工作。

行动

假设两个数据包从ge-0/0/1上的主机发送,5 个数据包来自ge-0/0/2上的主机,两个接口均设置为 MAC 限制4,同时默认操作丢弃和ge-0/0/1支持永久 MAC 学习。

显示学习的 MAC 地址:

现在,假设数据包在 1 秒后从ge-0/0/2上的两个主机发送至其他接口 1 秒以上,员工vlan设置为 MAC 移动限制5,同时默认操作丢弃。

显示表中的 MAC 地址:

意义

第一个样本输出显示,由于每个接口的 MAC 限制为 4, 因此无法学习 ge-0/0/2 MAC 地址第五个接口,因为它超出了 MAC 限制。第二个样本输出显示 ,ge-/0/0/2 上的三个主机的 MAC 地址未学习,因为主机在 1 秒内已返回 5 次以上。

接口 ge-0/0/1.0 支持永久 MAC 学习,因此与此接口关联的 MAC 地址 为永久类型

验证允许的 MAC 地址在交换机上是否正常工作

目的

验证允许的 MAC 地址是否正在交换机上工作。

行动

在接口 ge-0/0/2上配置了五个允许的 MAC 地址之后,显示 MAC 缓存信息:

意义

由于此接口的 MAC 限制值已设置为 4,因此仅学习了五个已配置允许的地址中的四个。