MAC-Adressenfilterung und -abrechnung an Ethernet-Schnittstellen
Um alle eingehenden Pakete von einer bestimmten MAC-Adresse zu blockieren, können Sie die MAC-Adressfilterung aktivieren. Sie können eine Ethernet-Schnittstelle konfigurieren, um die Quell- oder Ziel-MAC-Adressen dynamisch zu erlernen. In diesem Thema wird beschrieben, wie MAC-Adressfilterung aktiviert wird und wie MAC-Adressabrechnung konfiguriert wird.
Konfigurieren der MAC-Adressfilterung für Ethernet-Schnittstellen
Aktivieren der Quelladressfilterung
Auf aggregierten Ethernet-Schnittstellen, Fast Ethernet, Gigabit Ethernet, Gigabit Ethernet IQ und Gigabit Ethernet-PICs mit SFPs (außer der 10-Port-Gigabit Ethernet-PIC und dem integrierten Gigabit Ethernet-Port des M7i-Routers) können Sie die Quelladressfilterung aktivieren, um alle eingehenden Pakete von einer bestimmten MAC-Adresse zu blockieren.
Um die Filterung zu aktivieren, fügen Sie die source-filtering Anweisung auf den folgenden Hierarchieebenen ein:
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]Anmerkung:Wenn Sie einen eigenständigen T640-Router in eine Routingmatrix integrieren, werden die MAC-Adressen (Media Access Control) für den integrierten T640-Router aus einem Pool von MAC-Adressen abgeleitet, die vom TX Matrix-Router verwaltet werden. Für jede MAC-Adresse, die Sie in der Konfiguration eines früher eigenständigen T640-Routers angeben, müssen Sie dieselbe MAC-Adresse in der Konfiguration des TX Matrix-Routers angeben.
Wenn Sie einen T1600- oder T4000-Router in eine Routingmatrix integrieren, werden die PIC-MAC-Adressen für den integrierten T1600- oder T4000-Router aus einem Pool von MAC-Adressen abgeleitet, die vom TX Matrix Plus-Router verwaltet werden. Für jede MAC-Adresse, die Sie in der Konfiguration eines früher eigenständigen T1600- oder T4000-Routers angeben, müssen Sie dieselbe MAC-Adresse in der Konfiguration des TX Matrix Plus-Routers angeben.
Wenn die Quelladressfilterung aktiviert ist, können Sie die Schnittstelle so konfigurieren, dass Pakete von bestimmten MAC-Adressen empfangen werden. Geben Sie dazu die MAC-Adressen in der source-address-filter mac-address Anweisung auf den folgenden Hierarchieebenen an:
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]
Sie können die MAC-Adresse als nn:nn:nn:nn:nn:nn oder nnnn .nnnn.nnnn, wobei n eine Hexadezimalnummer ist, angeben. Sie können bis zu 64 Quelladressen konfigurieren. Um mehr als eine Adresse anzugeben, fügen Sie die source-address-filter Anweisung mehrmals ein.
Die source-address-filter Anweisung wird auf Gigabit Ethernet IQ- und Gigabit Ethernet-PICs mit SFPs (außer der 10-Port-Gigabit Ethernet-PIC und dem integrierten Gigabit Ethernet-Port des M7i-Routers) nicht unterstützt, sondern enthält die accept-source-mac Anweisung. Weitere Informationen finden Sie unter Konfigurieren von Gigabit Ethernet-Policern.
Wenn die Remote-Ethernet-Karte geändert wird, kann die Schnittstelle keine Pakete von der neuen Karte empfangen, da sie eine andere MAC-Adresse hat.
Die Quelladressfilterung funktioniert nicht, wenn das Link Aggregation Control Protocol (LACP) aktiviert ist. Dieses Verhalten gilt nicht für Router der T-Serie und Paketübertragungs-Router der PTX-Serie. Weitere Informationen zu LACP finden Sie unter Aggregierte Ethernet-Schnittstellen.
An nicht vertagten Gigabit Ethernet-Schnittstellen sollten Sie die source-address-filter Anweisung auf [edit interfaces ge-fpc/pic/port gigether-options] Hierarchieebene und die accept-source-mac Anweisung auf [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] Hierarchieebene nicht gleichzeitig konfigurieren. Wenn diese Anweisungen gleichzeitig für die gleichen Schnittstellen konfiguriert sind, wird eine Fehlermeldung angezeigt.
An tagged Gigabit Ethernet-Schnittstellen sollten Sie die Anweisung nicht auf der source-address-filter [Schnittstellenhierarchieebene bearbeiten [edit interfaces ge-fpc/pic/port gigether-options] und die accept-source-mac Anweisung auf Hierarchieebene mit einer identischen MAC-Adresse konfigurieren, die [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] in beiden Filtern angegeben ist. Wenn diese Anweisungen für dieselben Schnittstellen mit einer angegebenen identischen MAC-Adresse konfiguriert sind, wird eine Fehlermeldung angezeigt.
Die source-address-filter Anweisung wird auf Routern der MX-Serie mit MPC4E (Modellnummern: MPC4E-3D-32XGE-SFPP und MPC4E-3D-2CGE-8XGE); fügen Sie stattdessen die accept-source-mac Anweisung ein. Weitere Informationen finden Sie unter Konfigurieren von Gigabit Ethernet-Policern.
Konfigurieren der MAC-Adressfilterung auf Paketübertragungs-Routern der PTX-Serie
In diesem Thema wird die Konfiguration der MAC-Filterung auf Paketübertragungs-Routern der PTX-Serie beschrieben. Mit der MAC-Filterung können Sie die MAC-Adressen angeben, von denen die Ethernet-Schnittstelle Pakete empfangen kann.
Die MAC-Filterungsunterstützung für Paketübertragungs-Router der PTX-Serie umfasst:
MAC-Quell- und Zieladressfilterung für jeden Port.
MAC-Quelladressfilterung für jede physische Schnittstelle.
MAC-Quelladressfilterung für jede logische Schnittstelle.
Wenn Sie logische und physische Schnittstellen filtern, können Sie bis zu 1000 MAC-Quelladressen pro Port angeben.
Um das Filtern von MAC-Quelladressen für eine physische Schnittstelle zu konfigurieren, fügen Sie die anweisungen und source-address-filter die source-filtering anweisungen auf Hierarchieebene [edit interfaces et-fpc/pic/port gigether-options] ein:
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
source-address-filter {
mac-address;
}
}
}
Die source-address-filter Anweisung konfiguriert, welche MAC-Quelladressen gefiltert werden. Die angegebene physische Schnittstelle löscht alle Pakete von den von Ihnen angegebenen MAC-Quelladressen. Sie können die MAC-Adresse als nn:nn:nn:nn:nn:nnn dezimale Ziffer angeben. Um mehr als eine Adresse anzugeben, fügen Sie mehrere mac-address Optionen in die source-address-filter Anweisung ein.
Zum Konfigurieren der MAC-Quelladressfilterung für eine logische Schnittstelle fügen Sie die accept-source-mac Anweisung auf Hierarchieebene [edit interfaces et-fpc/pic/port unit logical-unit-number] ein:
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
}
unit logical-unit-number {
accept-source-mac {
mac-address mac-address;
}
}
}
Die accept-source-mac Anweisung konfiguriert, welche MAC-Quelladressen an der logischen Schnittstelle akzeptiert werden. Sie können die MAC-Adresse als nn:nn:nn:nn:nn:nnn dezimale Ziffer angeben. Um mehr als eine Adresse anzugeben, fügen Sie mehrere mac-address mac-address Optionen in die accept-source-mac Anweisung ein.
Nach der Konfiguration eines Schnittstellenfilters gibt es einen Accounting-Eintrag, der dem MAC-Adressfilter zugeordnet ist. Zähler sammeln sich, wenn Pakete mit übereinstimmenden MAC-Quelladressen vorhanden sind. Sie können den show interfaces mac-database Junos OS CLI-Befehl verwenden, um die Adressanzahl anzuzeigen.
Siehe auch
Konfigurieren von MAC-Adressabrechnung
Für Gigabit Ethernet IQ- und Gigabit Ethernet-PICs mit SFPs (mit Ausnahme der 10-Port-Gigabit Ethernet-PIC und des integrierten Gigabit Ethernet-Ports des M7i-Routers) für Gigabit Ethernet-DPCs auf Routern der MX-Serie Für 100-Gigabit Ethernet Typ 5 PIC mit CFP und für MPC3E, MPC4E, MPC5E, MPC5EQ und MPC6E MPCs können Sie konfigurieren, ob Quell- und Ziel-MAC-Adressen dynamisch erlernt werden.
Zum Konfigurieren von MAC-Adressenabrechnung auf einer einzelnen Ethernet-Schnittstelle fügen Sie die mac-learn-enable Anweisung auf Hierarchieebene [edit interfaces interface-name gigether-options ethernet-switch-profile] ein:
[edit interfaces interface-name gigether-options ethernet-switch-profile] mac-learn-enable;
Zum Konfigurieren von MAC-Adressenabrechnung auf einer aggregierten Ethernet-Schnittstelle fügen Sie die mac-learn-enable Anweisung auf Hierarchieebene [edit interfaces aex aggregated-ether-options ethernet-switch-profile] ein:
[edit interfaces aex aggregated-ether-options ethernet-switch-profile] mac-learn-enable;
Um eine Schnittstelle von dynamisch lernende Quell- und Ziel-MAC-Adressen zu untersagen, fügen Sie die mac-learn-enable Anweisung nicht ein.
Um das dynamische Lernen der Quell- und Ziel-MAC-Adressen nach der Konfiguration zu deaktivieren, müssen Sie sie aus der Konfiguration löschen mac-learn-enable .
MPCs unterstützen die MAC-Adressabrechnung für eine einzelne Schnittstelle oder einen aggregierten Ethernet-Schnittstellenmitglied-Link nur, nachdem die Schnittstelle Datenverkehr von der MAC-Quelle empfangen hat. Wenn der Datenverkehr nur eine Schnittstelle verlässt, wird die MAC-Adresse nicht erlernt und die MAC-Adressabrechnung erfolgt nicht.