Überprüfen, ob die MAC-Begrenzung ordnungsgemäß funktioniert
Die MAC-Begrenzung schützt vor einer Überflutung der Ethernet-Switching-Tabelle, indem sie die Anzahl der MAC-Adressen begrenzt, die auf einer einzelnen Layer-2-Zugriffsschnittstelle (Port) gelernt werden können.
Junos OS bietet zwei Methoden für die MAC-Begrenzung für die Portsicherheit:
-
Maximale Anzahl von MAC-Adressen: Sie konfigurieren die maximale Anzahl dynamischer MAC-Adressen, die pro Schnittstelle zulässig sind. Wenn das Limit überschritten wird, können eingehende Pakete mit neuen MAC-Adressen ignoriert, verworfen oder protokolliert werden. Sie können auch angeben, dass die Schnittstelle heruntergefahren oder vorübergehend deaktiviert werden soll.
-
Zulässige MAC-Adressen: Sie konfigurieren bestimmte "zulässige" MAC-Adressen für die Zugriffsschnittstelle. MAC-Adressen, die nicht in der Liste der konfigurierten Adressen enthalten sind, werden nicht gelernt, und der Switch protokolliert eine entsprechende Meldung. Die zulässige MAC-Methode bindet MAC-Adressen an ein VLAN, sodass die Adresse nicht außerhalb des VLANs registriert wird. Wenn eine zulässige MAC-Einstellung mit einer dynamischen MAC-Einstellung in Konflikt steht, hat die zulässige MAC-Einstellung Vorrang.
Mit Junos OS können Sie auch ein MAC-Limit für VLANs festlegen. Das Festlegen eines MAC-Limits für VLANs wird jedoch nicht als Portsicherheitsfunktion betrachtet, da der Switch die Weiterleitung eingehender Pakete, die zu einer Überschreitung des MAC-Limits führen, nicht verhindert. Es protokolliert nur die MAC-Adressen dieser Pakete.
Die Informationen in diesem Thema beziehen sich auf Nicht-ELS-Plattformen. Informationen zu ELS-Plattformen finden Sie unter Konfigurieren der MAC-Begrenzung (ELS), um die MAC-Begrenzung zu lesen.
Überprüfen, ob die MAC-Begrenzung für dynamische MAC-Adressen ordnungsgemäß funktioniert
Zweck
Stellen Sie sicher, dass die MAC-Begrenzung für dynamische MAC-Adressen auf dem Switch funktioniert.
Aktion
Zeigen Sie die gelernten MAC-Adressen an. Die folgende Beispielausgabe zeigt die Ergebnisse, wenn zwei Pakete von Hosts auf ge-0/0/1 und fünf Paketanforderungen von Hosts auf ge-0/0/2 gesendet wurden, wobei beide Schnittstellen auf ein MAC-Limit von 4 mit der Standardaktion drop gesetzt wurden:
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 6 learned VLAN MAC address Type Age Interfaces employee-vlan * Flood - ge-0/0/2.0 employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
Bedeutung
Die Beispielausgabe zeigt, dass bei einem MAC-Limit von 4 für jede Schnittstelle das Paket für eine fünfte MAC-Adresse auf ge-0/0/2 verworfen wurde, weil es das MAC-Limit überschritten hat. Die Adresse wurde nicht gelernt, und daher wird in der Spalte MAC-Adresse in der ersten Zeile der Beispielausgabe ein Sternchen (*) anstelle einer Adresse angezeigt.
Überprüfen, ob die MAC-Begrenzung für eine bestimmte Schnittstelle innerhalb eines bestimmten VLAN ordnungsgemäß funktioniert
Zweck
Stellen Sie sicher, dass die MAC-Begrenzung für eine bestimmte Schnittstelle basierend auf ihrer Mitgliedschaft in einem bestimmten VLAN auf dem Switch funktioniert.
Aktion
Zeigen Sie die detaillierten Statistiken für gelernte MAC-Adressen an:
user@switch> show ethernet-switching statistics mac-learning interface ge-0/0/28 detail
Interface: ge-0/0/28.0
Learning message from local packets: 0
Learning message from transit packets: 5
Learning message with error: 0
Invalid VLAN: 0 Invalid MAC: 0
Security violation: 0 Interface down: 0
Incorrect membership: 0 Interface limit: 0
MAC move limit: 0 VLAN limit: 0
VLAN membership limit: 20
Invalid VLAN index: 0 Interface not learning: 0
No nexthop: 0 MAC learning disabled: 0
Others: 0
Bedeutung
Zeigt VLAN membership limit die Anzahl der Pakete an, die aufgrund der Überschreitung des MAC-Limits für die VLAN-Mitgliedschaft für die Schnittstelle ge-0/0/28.0 verworfen wurden. In diesem Fall wurden 20 Pakete verworfen.
Überprüfen, ob zulässige MAC-Adressen ordnungsgemäß funktionieren
Zweck
Stellen Sie sicher, dass die zulässigen MAC-Adressen auf dem Switch funktionieren.
Aktion
Zeigen Sie die MAC-Adress-Cache-Informationen an, nachdem zulässige MAC-Adressen auf einer Schnittstelle konfiguriert wurden. Das folgende Beispiel zeigt den MAC-Adresscache, nachdem sich 5 zulässige MAC-Adressen auf der Schnittstelle ge-0/0/2 befanden. In diesem Fall wurde die Schnittstelle auch auf ein dynamisches MAC-Limit von 4 mit der Standardaktion drop festgelegt.
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Bedeutung
Da der MAC-Grenzwert für diese Schnittstelle auf 4 gesetzt wurde, wurden nur vier der fünf konfigurierten zulässigen Adressen gelernt und somit dem MAC-Adress-Cache hinzugefügt. Da die fünfte Adresse nicht gelernt wurde, wird in der Spalte MAC-Adresse in der letzten Zeile der Beispielausgabe ein Sternchen (*) anstelle einer Adresse angezeigt.
Überprüfen der Ergebnisse verschiedener Aktionseinstellungen bei Überschreitung des MAC-Limits
Zweck
Überprüfen Sie die Ergebnisse, die von den verschiedenen Aktionseinstellungen für MAC-Grenzwerte (Löschen, Protokoll, Herunterfahren und Keine) bereitgestellt werden, wenn die Grenzwerte überschritten werden.
Aktion
Zeigen Sie die Ergebnisse der verschiedenen Aktionseinstellungen an.
Sie können Protokollmeldungen anzeigen, indem Sie den show log messages Befehl verwenden. Sie können die Protokollmeldungen auch anzeigen lassen, indem Sie die Startmeldungen des Monitors mit dem monitor start messages Befehl konfigurieren.
-
drop-Aktion – Für MAC-Beschränkungen, die mit einer Drop-Aktion konfiguriert sind und bei denen das MAC-Limit auf 5 festgelegt ist:
user@switch> show ethernet-switching table Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee—vlan * Flood - ge-0/0/2.0 employee—vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0
-
log action – Für MAC-Beschränkungen, die mit einer Protokollaktion konfiguriert sind und bei denen das MAC-Limit auf 5 festgelegt ist:
user@switch> show ethernet-switching table Ethernet-switching table: 74 entries, 73 learned VLAN MAC address Type Age Interfaces employee—vlan * Flood - ge-0/0/2.0 employee—vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:82 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:84 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:87 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0 . . .
-
shutdown action: Für MAC-Begrenzungen, die mit einer Shutdown-Aktion konfiguriert sind und bei denen das MAC-Limit auf 3 festgelegt ist:
user@switch> show ethernet-switching table Ethernet-switching table: 4 entries, 3 learned VLAN MAC address Type Age Interfaces employee—vlan * Flood - ge-0/0/2.0 employee—vlan 00:05:85:3A:82:82 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:84 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:87 Learn 0 ge-0/0/2.0
-
none action: Wenn Sie ein MAC-Limit festlegen, das für alle Schnittstellen auf dem Switch gilt, können Sie diese Einstellung für eine bestimmte Schnittstelle überschreiben, indem Sie diese Aktion für diese Schnittstelle angeben. Weitere Informationen finden Sie unter Überschreiben eines MAC-Limits, das auf alle Schnittstellen angewendet wird.
Bedeutung
Für die Ergebnisse der Drop-Aktion : Die sechste MAC-Adresse hat das MAC-Limit überschritten. Das Anforderungspaket für diese Adresse wurde verworfen. Nur fünf MAC-Adressen wurden auf ge-0/0/2 gelernt.
Für die Ergebnisse der Protokollaktion : Die sechste MAC-Adresse hat das MAC-Limit überschritten. Es wurden keine MAC-Adressen blockiert.
Für die Ergebnisse der Aktion zum Herunterfahren : Die vierte MAC-Adresse hat das MAC-Limit überschritten. Nur drei MAC-Adressen wurden auf ge-0/0/2 gelernt. Das Interface ge-0/0/1 wird heruntergefahren.
Weitere Informationen zu Schnittstellen, die heruntergefahren wurden, erhalten Sie mit dem show ethernet-switching interfaces Befehl.
user@switch> show ethernet-switching interfaces Interface State VLAN members Tag Tagging Blocking bme0.32770 down mgmt untagged unblocked ge-1/0/0.0 down v1 untagged MAC limit exceeded ge-1/0/1.0 up v1 untagged unblocked ge-1/0/2.0 up v1 untagged unblocked me0.0 up mgmt untagged unblocked
Sie können den Switch so konfigurieren, dass er automatisch nach dieser Art von Fehlerbedingung wiederhergestellt wird, indem Sie die port-error-disable Anweisung mit einem Disable-Timeout-Wert angeben. Der Switch stellt die deaktivierte Schnittstelle automatisch wieder in Betrieb, wenn das Deaktivierungs-Timeout abläuft. Die Konfiguration port-error-disable gilt nicht für bereits vorhandene Fehlerbedingungen. Sie wirkt sich nur auf Fehlerbedingungen aus, die erkannt werden, nachdem port-error-disable aktiviert und festgeschrieben wurde. Verwenden Sie den clear ethernet-switching port-error Befehl, um eine bereits vorhandene Fehlerbedingung zu löschen und die Schnittstelle wieder in Betrieb zu nehmen.
Überprüfen, ob Schnittstellen heruntergefahren sind
Zweck
Stellen Sie sicher, dass eine Schnittstelle heruntergefahren wird, wenn der MAC-Grenzwert überschritten wird.
Aktion
Weitere Informationen zu Schnittstellen, die heruntergefahren wurden, weil der MAC-Grenzwert überschritten wurde, erhalten Sie mit dem show ethernet-switching interfaces Befehl.
user@switch> show ethernet-switching interfaces Interface State VLAN members Tag Tagging Blocking bme0.32770 down mgmt untagged unblocked xe-0/0/0.0 down v1 untagged MAC limit exceeded xe- 0/0/1.0 up v1 untagged unblocked xe-0/0/2.0 up v1 untagged unblocked me0.0 up mgmt untagged unblocked
Sie können Schnittstellen so konfigurieren, dass sie automatisch wiederhergestellt werden, wenn der MAC-Grenzwert überschritten wurde, indem Sie die port-error-disable Anweisung mit einem Disable-Timeout-Wert angeben. Der Switch stellt die deaktivierte Schnittstelle automatisch wieder in Betrieb, wenn das Deaktivierungs-Timeout abläuft. Die Port-Error-Disable-Konfiguration gilt nicht für bereits vorhandene Fehlerbedingungen – sie wirkt sich nur auf Fehlerbedingungen aus, die erkannt werden, nachdem die port-error-disable Anweisung aktiviert und die Konfiguration festgeschrieben wurde. Verwenden Sie den clear ethernet-switching port-error Befehl, um eine bereits vorhandene Fehlerbedingung zu löschen und den Dienst der Schnittstelle wiederherzustellen.
Anpassen der Anzeige der Ethernet-Switching-Tabelle, um Informationen für eine bestimmte Schnittstelle anzuzeigen
Zweck
Sie können den show ethernet-switching table Befehl verwenden, um Informationen zu den MAC-Adressen anzuzeigen, die auf einer bestimmten Schnittstelle gelernt wurden.
Aktion
Geben Sie beispielsweise Folgendes ein, um die MAC-Adressen anzuzeigen, die auf der Schnittstelle ge-0/0/2 gelernt wurden:
user@switch> show ethernet-switching table interface ge-0/0/2.0 Ethernet-switching table: 1 unicast entries VLAN MAC address Type Age Interfaces v1 * Flood - All-members v1 00:00:06:00:00:00 Learn 0 ge-2/0/0.0
Bedeutung
Der MAC-Grenzwert für ge-0/0/2 wurde auf 1 gesetzt, und die Ausgabe zeigt, dass nur eine MAC-Adresse gelernt und somit dem MAC-Adress-Cache hinzugefügt wurde. In der Spalte MAC-Adresse in der ersten Zeile der Beispielausgabe wird ein Sternchen (*) anstelle einer Adresse angezeigt.