AUF DIESER SEITE
Grundlegendes zur MAC-Begrenzung auf Layer-3-Routing-Schnittstellen
Überblick
Die MAC-Begrenzungsfunktion bietet einen Mechanismus zum Begrenzen von MAC-Adressen auf Geräten, die mit einer Layer 3-gerouteten Gigabit Ethernet (GE), Fast Ethernet (FE) oder 10 Gigabit Ethernet (XE)-Schnittstelle verbunden sind. Mit MAC-Filtern können Sie Datenverkehr mit einer bestimmten Quell-MAC zulassen. Softwarebasierte MAC-Begrenzung wird unterstützt. Die MAC-Begrenzung gilt nur für Schnittstellen mit reiner Ethernet- oder VLAN-Tagged-Kapselung.
Sowohl die Konfigurationen auf physischer als source-address-filter auch auf logischer Schnittstellenebene accept-source-mac werden auf Geräten der Serien SRX100, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340 und SRX650 unterstützt. (Die Plattformunterstützung hängt von der Junos OS-Version in Ihrer Installation ab.) Die folgenden Überlegungen gelten beim Konfigurieren der source-address-filter and-Anweisungen accept-source-mac :
Wenn nur die Anweisung auf logischer Ebene
accept-source-mackonfiguriert ist, wird Datenverkehr nur von diesen konfigurierten MAC-Adressen auf der logischen Schnittstelle zugelassen.Wenn nur die Anweisung auf Ebene
source-address-filterder physischen Schnittstelle konfiguriert ist, werden die zulässigen MAC-Adressen der physischen Schnittstelle auch als zulässige Adressen für alle logischen Schnittstellen betrachtet, die zur physischen Schnittstelle gehören. Eingehende Pakete von anderen Quell-MAC-Adressen werden verworfen.Wenn die physische Schnittstellenebene
source-address-filteruntergigether-options(oderfastether-options) konfiguriert ist undaccept-source-macfür eine oder mehrere ihrer logischen Schnittstellen oder VLANs konfiguriert ist, ist die zulässige Liste der Adressen eine Kombination von MAC-Adressen, die in beiden Anweisungen angegeben sind. Für logische Schnittstellen und VLANs, bei denen dieaccept-source-macAnweisung nicht konfiguriert ist, wird die zulässige Adressliste der physischen Schnittstelle berücksichtigt.
Sie können eine Schnittstelle so konfigurieren, dass Pakete von bestimmten MAC-Adressen empfangen werden. Geben Sie dazu die MAC-Adressen in den source-address-filter oder-Anweisungen accept-source-mac an:
Logical level MAC filter configuration on an untagged interfacege-0/0/10 { unit 0 { accept-source-mac { mac-address 00:22:33:44:55:66; mac-address 00:26:88:e9:a3:01; } family inet { address 60.60.60.1/24; } } }Physical level MAC filter configuration on an untagged interfacege-0/0/10 { gigether-options { source-address-filter { 00:55:55:55:55:66; 00:26:88:e9:a3:01; } } unit 0 { family inet { address 60.60.60.1/24; } } }Physical and logical level MAC filter configurations on a tagged interfacege-0/0/10 { vlan-tagging; gigether-options { source-address-filter { 00:26:88:e9:a3:01; } } unit 0 { vlan-id 40; accept-source-mac { mac-address 00:22:33:44:55:66; } family inet { address 40.40.40.1/24; } } unit 1 { vlan-id 60; accept-source-mac { mac-address 00:55:55:55:55:66; } family inet { address 60.60.60.1/24; } } }
Bei nicht getaggten Gigabit-Ethernet-Schnittstellen dürfen Sie die source-address-filter Anweisungen und accept-source-mac nicht gleichzeitig konfigurieren. Wenn diese Anweisungen gleichzeitig für dieselben Schnittstellen konfiguriert sind, wird eine Fehlermeldung angezeigt. Im Falle von getaggten VLANs können diese beiden Anweisungen jedoch gleichzeitig konfiguriert werden, wenn keine identischen MAC-Adressen angegeben sind.
Begrenzungen
Die folgenden Einschränkungen gelten für die MAC-Begrenzungsunterstützung auf Layer 3-ge-, ae-, fe- oder XE-Schnittstellen:
Sie können nur 32 MAC-Adressen pro Gerät konfigurieren (außer bei aggregierten Ethernet-Schnittstellen, bei denen der Grenzwert bei 64 Adressen pro logischer Schnittstelle liegt).
Es wird nur softwarebasierte MAC-Filterung unterstützt. Softwarebasierte MAC-Filterung wirkt sich auf die Leistung aus. Die Auswirkungen auf die Leistung sind proportional zur Anzahl der konfigurierten MAC-Adressen.
MAC-basierter Policer oder Ratenbegrenzung wird nicht unterstützt.
Sie können die Broadcast- oder Multicastadresse in der
source-address-filterAnweisung nicht konfigurieren.Die MAC-Filterung wird auf aggregierten Ethernet-Schnittstellen (AE) nicht unterstützt (sie wird auf einigen Plattformen unterstützt; Plattformdetails finden Sie im Funktions-Explorer ). oder auf Fabric Ethernet, Point-to-Point Protocol over Ethernet (PPPoE), Routed VLAN Interface (RVI) oder VLAN-Schnittstellen.
Die MAC-Filterung wird auf Gehäuse-Clustern nicht unterstützt.
Wenn Sie die MAC-Filterung auf der AE-Schnittstelle konfigurieren, müssen Sie die Schnittstelle mit
accept-source-mac(d. h. nicht mitsource-address-filter) und mitfamily ethernet-switchingkonfigurieren.