MAC-Adressenfilterung und -Abrechnung auf Ethernet-Schnittstellen
Erfahren Sie, wie Sie die Filterung von MAC-Adressen aktivieren und die MAC-Adressenabrechnung auf Ethernet-Schnittstellen konfigurieren.
Die MAC-Adressenfilterung ist eine Sicherheitsfunktion, die den Netzwerkzugriff durch Filtern von MAC-Adressen steuert. Um alle eingehenden Pakete von einer bestimmten MAC-Adresse zu blockieren, können Sie die MAC-Adressfilterung aktivieren. Sie können eine Ethernet-Schnittstelle so konfigurieren, dass sie Quell- oder Ziel-MAC-Adressen dynamisch lernt.
Konfigurieren der MAC-Adressfilterung für Ethernet-Schnittstellen
Aktivieren der Filterung von Quelladressen
Auf aggregierten Ethernet-Schnittstellen, Fast Ethernet, Gigabit Ethernet, Gigabit Ethernet IQ und Gigabit Ethernet PICs mit SFPs (mit Ausnahme des Gigabit-Ethernet-PIC mit 10 Ports und des integrierten Gigabit-Ethernet-Ports des M7i-Routers) können Sie die Quelladressfilterung aktivieren, um alle eingehenden Pakete von einer bestimmten MAC-Adresse zu blockieren.
Um die Filterung zu aktivieren, schließen Sie die source-filtering Anweisung auf den folgenden Hierarchieebenen ein:
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]HINWEIS:Wenn Sie einen eigenständigen T640-Router in eine Routing-Matrix integrieren, werden die PIC-MAC-Adressen (Media Access Control) für den integrierten T640-Router aus einem Pool von MAC-Adressen abgeleitet, die vom TX-Matrix-Router verwaltet werden. Für jede MAC-Adresse, die Sie in der Konfiguration eines ehemals eigenständigen T640-Routers angeben, müssen Sie dieselbe MAC-Adresse in der Konfiguration des TX-Matrix-Routers angeben.
Wenn Sie einen T1600- oder T4000-Router in eine Routing-Matrix integrieren, werden die PIC-MAC-Adressen für den integrierten T1600- oder T4000-Router aus einem Pool von MAC-Adressen abgeleitet, die vom TX Matrix Plus-Router verwaltet werden. Für jede MAC-Adresse, die Sie in der Konfiguration eines ehemals eigenständigen T1600- oder T4000-Routers angeben, müssen Sie dieselbe MAC-Adresse in der Konfiguration des TX Matrix Plus-Routers angeben.
Wenn die Filterung von Quelladressen aktiviert ist, können Sie die Schnittstelle so konfigurieren, dass Pakete von bestimmten MAC-Adressen empfangen werden. Geben Sie dazu die MAC-Adressen in der source-address-filter mac-address Anweisung auf den folgenden Hierarchieebenen an:
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]
Sie können die MAC-Adresse als nn:nn:nn:nn:nn:nn oder nnnn .nnnn.nnnnangeben, wobei n eine Hexadezimalzahl ist. Sie können bis zu 64 Quelladressen konfigurieren. Wenn Sie mehr als eine Adresse angeben möchten, fügen Sie die source-address-filter Anweisung mehrmals ein.
Die source-address-filter Anweisung wird auf Gigabit Ethernet IQ- und Gigabit-Ethernet-PICs mit SFPs nicht unterstützt (mit Ausnahme des Gigabit-Ethernet-PIC mit 10 Ports und des integrierten Gigabit-Ethernet-Ports des M7i-Routers). Fügen Sie stattdessen die accept-source-mac Anweisung ein. Weitere Informationen finden Sie unter Gigabit-Ethernet-Policer konfigurieren.
Wenn die Remote-Ethernet-Karte geändert wird, kann die Schnittstelle keine Pakete von der neuen Karte empfangen, da sie eine andere MAC-Adresse hat.
Das Filtern von Quelladressen funktioniert nicht, wenn LACP (Link Aggregation Control Protocol) aktiviert ist. Dieses Verhalten gilt nicht für Router der T-Serie und Paketübertragungs-Router der PTX-Serie. Weitere Informationen zu LACP finden Sie unter Aggregierte Ethernet-Schnittstellen.
Bei nicht getaggten Gigabit-Ethernet-Schnittstellen sollten Sie die source-address-filter Anweisung auf der [edit interfaces ge-fpc/pic/port gigether-options] Hierarchieebene und die accept-source-mac Anweisung auf der [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] Hierarchieebene nicht gleichzeitig konfigurieren. Wenn diese Anweisungen gleichzeitig für dieselben Schnittstellen konfiguriert sind, wird eine Fehlermeldung angezeigt.
Bei getaggten Gigabit-Ethernet-Schnittstellen sollten Sie die source-address-filter Anweisung nicht auf der Hierarchieebene [Schnittstellen bearbeiten [edit interfaces ge-fpc/pic/port gigether-options] ] und die accept-source-mac Anweisung auf der [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] Hierarchieebene mit einer identischen MAC-Adresse konfigurieren, die in beiden Filtern angegeben ist. Wenn diese Anweisungen für dieselben Schnittstellen mit einer identischen MAC-Adresse konfiguriert sind, wird eine Fehlermeldung angezeigt.
Die source-address-filter Anweisung wird auf Routern der MX-Serie mit MPC4E (Modellnummern: MPC4E-3D-32XGE-SFPP und MPC4E-3D-2CGE-8XGE); Fügen Sie stattdessen die accept-source-mac Anweisung ein. Weitere Informationen finden Sie unter Gigabit-Ethernet-Policer konfigurieren.
MAC-Adressenabrechnung konfigurieren
Für Gigabit Ethernet IQ- und Gigabit-Ethernet-PICs mit SFPs (mit Ausnahme des Gigabit-Ethernet-PIC mit 10 Ports und des integrierten Gigabit-Ethernet-Ports des M7i-Routers), für Gigabit-Ethernet-DPCs auf Routern der MX-Serie, für 100-Gigabit-Ethernet Typ 5 PIC mit CFP und für MPC3E-, MPC4E-, MPC5E-, MPC5EQ- und MPC6E-MPCs können Sie konfigurieren, ob Quell- und Ziel-MAC-Adressen dynamisch gelernt werden.
Um die MAC-Adressabrechnung auf einer einzelnen Ethernet-Schnittstelle zu konfigurieren, fügen Sie die mac-learn-enable folgende Anweisung auf Hierarchieebene [edit interfaces interface-name gigether-options ethernet-switch-profile] ein:
[edit interfaces interface-name gigether-options ethernet-switch-profile] mac-learn-enable;
Um die MAC-Adressabrechnung auf einer aggregierten Ethernet-Schnittstelle zu konfigurieren, fügen Sie die mac-learn-enable folgende Anweisung auf Hierarchieebene [edit interfaces aex aggregated-ether-options ethernet-switch-profile] ein:
[edit interfaces aex aggregated-ether-options ethernet-switch-profile] mac-learn-enable;
Um zu verhindern, dass eine Schnittstelle Quell- und Ziel-MAC-Adressen dynamisch lernt, schließen Sie die mac-learn-enable Anweisung nicht ein.
Um das dynamische Lernen der Quell- und Ziel-MAC-Adressen zu deaktivieren, nachdem es konfiguriert wurde, müssen Sie es aus der Konfiguration löschen mac-learn-enable .
MPCs unterstützen die MAC-Adressabrechnung für eine einzelne Schnittstelle oder eine aggregierte Ethernet-Schnittstellenverbindung erst, nachdem die Schnittstelle Datenverkehr von der MAC-Quelle empfangen hat. Wenn der Datenverkehr nur eine Schnittstelle verlässt, wird die MAC-Adresse nicht gelernt und die MAC-Adressabrechnung findet nicht statt.