Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

在以太网连接的终端系统上配置第 2 层端口安全功能

本节介绍如何配置以下第 2 层端口安全功能。有关这些功能的概述信息,请参阅数据中心交换矩阵蓝图架构组件以太网连接终端系统上的第 2 层端口安全功能

配置风暴控制

在此示例配置中,风暴控制速率会限制面向服务器的聚合以太网接口上的 BUM 流量。如果 BUM 流量超过接口上可用带宽的 6%,风暴控制将丢弃该流量以防止广播风暴。

要启用风暴控制:

  1. 创建风暴控制配置文件并指定 BUM 流量的可用带宽百分比。
  2. 将风暴控制配置文件应用于入口第 2 层接口。将配置文件应用于接口后,接口将驻留在默认交换机接口中。

验证风暴控制

要验证风暴控制活动,请过滤与风暴控制相关的系统日志消息:

使用 MAC 过滤配置端口安全

要配置 MAC 过滤,请创建防火墙过滤器,在其中指定一个或多个受支持的匹配条件。有关 QFX5110 交换机和 QFX10000 交换机支持的匹配条件列表,请参阅 https://www.juniper.net/documentation/en_US/junos/topics/concept/evpn-vxlan-security-monitor.html 。然后,将防火墙过滤器应用于第 2 层接口。

要配置 MAC 过滤:

  1. 为入口接口创建防火墙过滤器。
  2. 将防火墙过滤器应用于接入接口/第 2 层接口的入口。
  3. 为出口接口创建防火墙过滤器。
  4. 将防火墙过滤器应用于出口接口。

验证 MAC 过滤

  1. 验证入口接口上的 MAC 过滤。
  2. 验证出口接口上的 MAC 过滤。

配置基于分析器的端口镜像

本节介绍如何将底层接口上的入口流量镜像到其他物理端口。

镜像流量的源端口和目标端口位于同一叶或同一主干上。

  1. 配置分析器以镜像接口 ae1.0 上的入口流量。
  2. 为镜像的数据包配置目标接口。
  3. 将连接到另一台交换机(上行链路接口)的接口配置为中继模式,并将其与相应的 VLAN 相关联。

验证端口镜像

  • 要验证端口镜像:

2 层端口安全功能 — 版本历史记录

表 1 提供了本部分所有功能的历史记录及其在此参考设计中支持的功能。

表 1:第 2 层端口安全发布历史记录

释放

描述

19.1R2

  • 运行 Junos OS 19.1R2 及更高版本的 QFX5120-32C 交换机支持 MAC 过滤、风暴控制以及端口镜像和分析。

  • 运行 Junos OS 19.1R2 及更高版本的 QFX10002-60C 交换机支持 MAC 过滤。这些交换机不支持风暴控制以及端口镜像和分析。

18.4R2

运行 Junos OS 18.4R2 版和同一版本列的更高版本的 QFX5120-48Y 交换机支持本节中记录的所有功能。

18.1R3-S3

参考设计中支持 Junos OS 18.1R3-S3 版本及同一版本列更高版本的设备也支持本部分记录的所有功能。

相关文档