Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

在以太网连接的终端系统上配置第 2 层端口安全功能

本节介绍如何配置以下第 2 层端口安全功能。有关这些功能的概述信息,请参阅数据中心交换矩阵蓝图架构组件以太网连接终端系统的第 2 层端口安全功能

配置风暴控制

在此示例配置中,风暴控制速率限制面向服务器的聚合以太网接口上的 BUM 流量。如果 BUM 流量超过接口上可用带宽的 6%,风暴控制会将其丢弃以防止广播风暴。

要启用风暴控制,请执行以下操作:

  1. 创建风暴控制配置文件并指定可用于 BUM 流量的带宽百分比。
  2. 将风暴控制配置文件应用于入口第 2 层接口。将配置文件应用于某个接口后,该接口将驻留在默认交换机接口中。

验证风暴控制

要验证风暴控制活动,请过滤与风暴控制相关的系统日志消息:

使用 MAC 过滤配置端口安全性

要配置 MAC 过滤,请创建防火墙过滤器,并在其中指定一个或多个受支持的匹配条件。有关 QFX5110 交换机和 QFX10000 交换机支持的匹配条件列表,请参阅 EVPN-VXLAN 环境中的 MAC 过滤、风暴控制和端口镜像支持 。然后,将防火墙过滤器应用于第 2 层接口。

要配置 MAC 过滤:

  1. 为入口接口创建防火墙过滤器。
  2. 将防火墙过滤器应用于接入接口/第 2 层接口的入口。
  3. 为出口接口创建防火墙过滤器。
  4. 将防火墙过滤器应用于出口接口。

验证 MAC 过滤

  1. 验证入口接口上的 MAC 过滤。
  2. 验证出口接口上的 MAC 过滤。

配置基于分析器的端口镜像

本节介绍如何将底层接口上的入口流量镜像到其他物理端口。

镜像流量的源端口和目标端口位于同一叶端口或同一主干端口上。

  1. 配置分析器以镜像接口 ae1.0 上的入口流量。
  2. 为镜像数据包配置目标接口。
  3. 连接到另一台交换机的接口(上行链路接口)配置为中继模式,并将其与相应的 VLAN 关联。

验证端口镜像

  • 要验证端口镜像,请执行以下操作:

2 层端口安全功能 — 版本历史记录

表 1 提供了本节中所有功能的历史记录及其在此参考设计中的支持。

表 1:第 2 层端口安全版本历史记录

释放

描述

19.1R2

  • 在同一版本系列中运行Junos OS版本 19.1R2 及更高版本的 QFX5120-32C 交换机支持 MAC 过滤、风暴控制以及端口镜像和分析。

  • 在同一版本系列中运行Junos OS版本 19.1R2 及更高版本的 QFX10002-60C 交换机支持 MAC 过滤。这些交换机不支持风暴控制以及端口镜像和分析。

18.4R2

在同一版本中运行 Junos OS 18.4R2 版及更高版本的 QFX5120-48Y 交换机支持本节中介绍的所有功能。

18.1R3-S3

参考设计中支持 Junos OS 18.1R3-S3 版及同一版本系列中更高版本的所有设备也支持本节中介绍的所有功能。