Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Grundlegendes zur MAC-Begrenzung und zur Begrenzung von MAC-Bewegungen

Die MAC-Begrenzung schützt vor Überflutung der Ethernet-Switching-Tabelle und ist auf Layer-2-Schnittstellen (Ports) aktiviert. Die MAC-Verschiebungsbegrenzung erkennt MAC-Bewegungen und MAC-Spoofing auf Zugriffsschnittstellen. Sie ist in VLANs aktiviert.

  • Die MAC-Begrenzung verbessert die Portsicherheit, indem die Anzahl der MAC-Adressen, die in einem VLAN gelernt werden können, begrenzt wird. Durch die Begrenzung der Anzahl der MAC-Adressen wird der Switch vor einer Überflutung der Ethernet-Switching-Tabelle (auch bekannt als MAC-Weiterleitungstabelle oder Layer-2-Weiterleitungstabelle) geschützt. Flooding tritt auf, wenn die Anzahl der neu gelernten MAC-Adressen dazu führt, dass die Ethernet-Switching-Tabelle überläuft und zuvor gelernte MAC-Adressen aus der Tabelle geleert werden. Der Switch überflutet dann wieder die zuvor erlernten MAC-Adressen, was sich auf die Leistung auswirken und Sicherheitslücken einleiten kann.

  • Die Begrenzung von MAC-Verschiebungen bietet zusätzliche Sicherheit, indem die Anzahl der MAC-Adressenverschiebungen gesteuert wird, die in einem VLAN innerhalb einer Sekunde zulässig sind. Eine Verschiebung der MAC-Adresse findet statt, wenn der Switch ein Paket mit einer Quell-MAC-Adresse empfängt, die bereits vom Switch gelernt wurde, sich jedoch auf einer anderen Schnittstelle befindet. Die Ethernet-Switching-Tabelle wird dann aktualisiert, um die Zuordnung der MAC-Adresse zur neuen Schnittstelle widerzuspiegeln. Da die Ethernet-Switching-Tabelle bei jedem Verschieben der MAC-Adresse aktualisiert werden muss, können häufige Verschiebungsereignisse zur Erschöpfung der Verarbeitungsressourcen des Switches führen. Dies kann als Folge eines MAC-Spoofing-Angriffs oder einer Schleife im Netzwerk auftreten.

MAC-Begrenzung

Bei der MAC-Begrenzung begrenzen Sie die MAC-Adressen, die auf Layer 2-Zugriffsschnittstellen gelernt werden können, indem Sie entweder die Anzahl der MAC-Adressen begrenzen oder zulässige MAC-Adressen angeben:

  • Begrenzen der Anzahl von MAC-Adressen: Sie konfigurieren die maximale Anzahl von MAC-Adressen, die pro Schnittstelle dynamisch erlernt (zur Ethernet-Switching-Tabelle) hinzugefügt werden können. Sie können festlegen, dass eingehende Pakete mit neuen MAC-Adressen ignoriert, verworfen oder protokolliert werden, wenn der Grenzwert überschritten wird. Sie können auch angeben, dass die Schnittstelle heruntergefahren oder vorübergehend deaktiviert werden soll.

    Anmerkung:

    Statische MAC-Adressen werden nicht auf den Grenzwert angerechnet, den Sie für dynamische MAC-Adressen angeben.

  • Angeben zulässiger MAC-Adressen: Sie konfigurieren die zulässigen MAC-Adressen für eine Schnittstelle. Jede MAC-Adresse, die nicht in der Liste der konfigurierten Adressen enthalten ist, wird nicht gelernt, und der Switch protokolliert eine entsprechende Meldung. Eine zulässige MAC-Adresse ist an ein VLAN gebunden, sodass die Adresse nicht außerhalb des VLANs registriert wird. Wenn eine zulässige MAC-Einstellung mit einer dynamischen MAC-Einstellung in Konflikt steht, hat die zulässige MAC-Einstellung Vorrang.

Die MAC-Begrenzung ist auf Layer-2-Schnittstellen konfiguriert. Sie können die maximale Anzahl dynamischer MAC-Adressen, die auf einer einzelnen Schnittstelle, allen Schnittstellen oder einer bestimmten Schnittstelle auf der Grundlage ihrer Zugehörigkeit zu einem VLAN gelernt werden können (MAC-Limit für die VLAN-Mitgliedschaft).

Wenn Sie den maximalen MAC-Grenzwert für eine Schnittstelle konfigurieren, können Sie die Aktion auswählen, die bei eingehenden Paketen ausgeführt wird, wenn der MAC-Grenzwert überschritten wird. Sie können festlegen, dass eingehende Pakete ignoriert, verworfen oder protokolliert werden, wenn der Grenzwert überschritten wird. Sie können auch angeben, dass die Schnittstelle heruntergefahren oder vorübergehend deaktiviert werden soll.

Die MAC-Begrenzung ist standardmäßig nicht aktiviert. Der konfigurierte Wert bleibt aktiv, bis er ersetzt oder gelöscht wird, und bleibt auch nach einem Neustart des Geräts erhalten. Weitere Informationen zum Konfigurieren der MAC-Begrenzung für eine Schnittstelle auf einem Gerät, das ELS unterstützt, finden Sie unter Konfigurieren der MAC-Begrenzung (ELS). Weitere Informationen zum Konfigurieren des MAC-Limits für eine Schnittstelle auf einem Gerät, das keine Enhanced Layer 2-Software (ELS) unterstützt, finden Sie unter Konfigurieren der MAC-Begrenzung (Nicht-ELS).

Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer 2-Software-CLI .

Begrenzung von MAC-Verschiebungen

Mit der MAC-Verschiebungsbegrenzung begrenzen Sie, wie oft eine MAC-Adresse innerhalb einer Sekunde zu einer neuen Schnittstelle verschoben werden kann. Wenn die Begrenzung der MAC-Verschiebung konfiguriert ist, werden die Bewegungen der MAC-Adresse vom Switch verfolgt. Das erste Verschieben einer MAC-Adresse wird immer als guter Zug gewertet und wird nicht auf das konfigurierte MAC-Verschiebungslimit angerechnet. Die Überwachung von MAC-Adressenverschiebungen wird nach der ersten Verschiebung wirksam, auch wenn das MAC-Verschiebungslimit auf 1 festgelegt ist.

Sie konfigurieren die Begrenzung der MAC-Verschiebung auf VLAN-Basis. Obwohl Sie diese Funktion auf VLANs aktivieren, gilt das MAC-Verschiebungslimit für die Anzahl der Bewegungen für jede einzelne MAC-Adresse und nicht für die Gesamtzahl der MAC-Adressen-Verschiebungen im VLAN. Wenn beispielsweise das MAC-Verschiebungslimit auf 1 gesetzt ist, lässt der Switch eine unbegrenzte Anzahl von MAC-Adressenbewegungen innerhalb des VLANs zu, solange sich dieselbe MAC-Adresse innerhalb einer Sekunde nicht mehr als einmal bewegt.

Sie können eine Aktion konfigurieren, die ausgeführt werden soll, wenn das Limit für das Verschieben von MAC-Adressen überschritten wird. Sie können festlegen, dass eingehende Pakete ignoriert, verworfen oder protokolliert werden, wenn der Grenzwert überschritten wird. Sie können auch angeben, dass die Schnittstelle heruntergefahren oder vorübergehend deaktiviert werden soll.

Die Begrenzung von MAC-Verschiebungen ist standardmäßig nicht aktiviert. Weitere Informationen zum Konfigurieren der MAC-Verschiebungsbegrenzung auf einem Gerät, das ELS nicht unterstützt, finden Sie unter Konfigurieren der MAC-Verschiebungsbegrenzung (Nicht-ELS). Weitere Informationen zum Konfigurieren der MAC-Verschiebungsbegrenzung auf einem Gerät, das ELS unterstützt, finden Sie unter Konfigurieren der MAC-Verschiebungsbegrenzung (ELS).

Aktionen für MAC-Begrenzung und MAC-Verschiebungsbegrenzung

Sie können wählen, ob eine der folgenden Aktionen ausgeführt werden soll, wenn das MAC-Limit oder das MAC-Move-Limit überschritten wird:

  • drop—Das Paket verwerfen, aber keinen Alarm erzeugen.

  • drop-and-log– Das Paket wird verworfen und ein Alarm, ein SNMP-Trap oder ein Systemprotokolleintrag generiert.

  • logDas Paket darf nicht verworfen werden, sondern ein Alarm, ein SNMP-Trap oder ein Systemprotokolleintrag generiert werden.

  • none– Leiten Sie Pakete mit neuen Quell-MAC-Adressen weiter und lernen Sie die neue Quell-MAC-Adresse.

  • shutdownDeaktivieren Sie die Schnittstelle im VLAN und generieren Sie einen Alarm, einen SNMP-Trap oder einen Systemprotokolleintrag.

  • vlan-member-shutdown—(Nur EX9200) Ab Junos OS Version 15.1 für MAC Limiting und MAC Move Limiting auf EX9200-Switches wird die vlan-member-shutdown Anweisung unterstützt, um eine Schnittstelle basierend auf ihrer Zugehörigkeit zu einem bestimmten VLAN zu blockieren und einen Alarm, einen SNMP-Trap oder einen Systemprotokolleintrag zu generieren.

Im Falle eines Herunterfahrens können Sie den Switch so konfigurieren, dass die deaktivierten Schnittstellen nach einem bestimmten Zeitraum automatisch wiederhergestellt werden. Informationen zum Konfigurieren der automatischen Wiederherstellung auf einem Gerät, das ELS unterstützt, finden Sie unter Konfigurieren der automatischen Wiederherstellung für Portsicherheitsereignisse. Informationen zum Konfigurieren der automatischen Wiederherstellung auf einem Gerät, das ELS nicht unterstützt, finden Sie unter Konfigurieren der automatischen Wiederherstellung für Portsicherheitsereignisse.

Anmerkung:

Um Systemprotokolleinträge für MAC-Grenzwertfunktionen anzuzeigen, müssen Sie die Systemprotokollierung mit dem Schweregrad als Protokollhinweis konfigurieren. Weitere Informationen finden Sie unter Übersicht über die Systemprotokollierung.
Anmerkung:

Wenn Sie den Switch nicht für die automatische Wiederherstellung aus dem deaktivierten Zustand konfigurieren, können Sie die deaktivierten Schnittstellen aufrufen, indem Sie einen der folgenden Befehle ausführen:

Anmerkung:

Mit vorhandenen dot1x-Sitzungen:

  • Wenn wir das MAC-Limit zum ersten Mal festlegen, werden vorhandene dot1x-Sitzungen gelöscht und der Port wechselt in den Verbindungsstatus.

  • Wenn wir das MAC-Limit erhöhen, werden die Sitzungen nicht gelöscht und der Port verbleibt im authentifizierten Status.

  • Wenn wir das MAC-Limit verringern oder die switch-options-Konfigurationen löschen, werden vorhandene dot1x-Sitzungen gelöscht und der Port wechselt in den Status Connecting (Verbindung).

Zusammenfassend lässt sich sagen, dass es zu einer MAC-Leerung kommt, wenn der konfigurierte MAC-Grenzwert niedriger ist als die Anzahl der erlernten MACs. Wenn das konfigurierte MAC-Limit der Schnittstelle größer ist als die Anzahl der erlernten MACs, gibt es keine Auswirkungen
Anmerkung:

Commit-Prüfungen wurden eingeführt, um Fehlkonfigurationen zu verhindern. Nur Schnittstellen, die für L2 konfiguriert sind, dürfen unter einer dieser Hierarchien konfiguriert werden.

  • set routing-instances <routing-instance-name> vlans <vlans-name> switch-options-schnittstelle <interface-name>

  • set routing-instances <routing-instance-name> bridge-domains <bridge-domain-name> bridge-options-interface <interface-name>

  • VLANs <vlans-name> switch-options-interface <interface-name> festlegen

  • set bridge-domains <bridge-domain-name> bridge-options-interface <interface-name>

  • vlans <vlans-name> switch-options mac-move-limit interface <interface-name>

Zugehörige Dokumentation

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
15.1
Ab Junos OS Version 15.1 für MAC Limiting und MAC Move Limiting auf EX9200-Switches wird die vlan-member-shutdown Anweisung unterstützt, um eine Schnittstelle basierend auf ihrer Zugehörigkeit zu einem bestimmten VLAN zu blockieren und einen Alarm, einen SNMP-Trap oder einen Systemprotokolleintrag zu generieren.