Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren der MAC-Begrenzung

Konfigurieren der MAC-Begrenzung (ELS)

In diesem Thema werden die verschiedenen Möglichkeiten zum Konfigurieren einer Begrenzung von MAC-Adressen in Paketen beschrieben, die vom Gerät empfangen und weitergeleitet werden.

Anmerkung:

Die in diesem Abschnitt beschriebenen Aufgaben verwenden Junos OS für EX-Serie-Switches, QFX3500- und QFX3600-Switches sowie PTX-Serie Router, die den Konfigurationsstil Enhanced Layer 2 Software (ELS) unterstützen. Weitere Informationen zu ELS-Konfigurationen finden Sie unter Verwenden der erweiterten Layer 2-Software-CLI .

Die verschiedenen Möglichkeiten zum Festlegen eines MAC-Limits werden in den folgenden Abschnitten beschrieben:

Plattformspezifische Konfiguration des globalen MAC-Grenzwertverhaltens

Tabelle 1: Plattformspezifisches Verhalten

Bahnsteig

Unterschied

Junos weiterentwickelt ACX7000 Serie

ACX7000 derzeit keine Paketaktion unterstützt

Standard-MAC-Nummern gelten nicht für ACX7000

Begrenzen der Anzahl der MAC-Adressen, die von einer Schnittstelle erlernt werden

Anmerkung:

Bei Routern der PTX-Serie können Sie die Anzahl der MAC-Adressen, die nur von einer Schnittstelle erlernt werden, begrenzen.

Um einen Port zu sichern, können Sie die maximale Anzahl von MAC-Adressen festlegen, die von einer Schnittstelle gelernt werden können.

Legen Sie den MAC-Grenzwert für eine Schnittstelle fest, und geben Sie eine Aktion an, die das Gerät ausführt, nachdem der angegebene Grenzwert überschritten wurde.
Gehen Sie wie folgt vor, wenn Sie das MAC-Limit für eine Schnittstelle festlegen möchten, die Teil der Standard-Routing-Instanz ist:
Gehen Sie wie folgt vor, wenn Sie das MAC-Limit für eine Schnittstelle festlegen möchten, die Teil einer Routing-Instanz ist:
Gehen Sie wie folgt vor, wenn Sie das MAC-Limit für alle Schnittstellen festlegen möchten, die Teil der Standard-Routing-Instanz sind:
Gehen Sie wie folgt vor, wenn Sie das MAC-Limit für alle Schnittstellen festlegen möchten, die Teil einer Routing-Instanz sind:

Nachdem Sie einen neuen MAC-Grenzwert für die Schnittstelle festgelegt haben, löscht das System vorhandene Einträge in der Weiterleitungstabelle MAC-Adresse, die der Schnittstelle zugeordnet ist.

Begrenzen der Anzahl der MAC-Adressen, die von einem VLAN erlernt werden

Führen Sie die folgenden Schritte aus, um die Anzahl der von einem VLAN erlernten MAC-Adressen zu begrenzen:

Plattformspezifische Konfiguration des MAC-Begrenzungsverhaltens

Tabelle 2: Plattformspezifisches Verhalten

Bahnsteig

Unterschied

Junos weiterentwickelt ACX7000 Serie

ACX7000 derzeit keine Paketaktion unterstützt

Standard-MAC-Nummern gelten nicht für ACX7000
Legen Sie die maximale Anzahl von MAC-Adressen fest, die von einem VLAN gelernt werden können, und geben Sie eine Aktion an, die das Gerät ausführt, nachdem der angegebene Grenzwert überschritten wurde:

Begrenzen der Anzahl der MAC-Adressen, die von einer Schnittstelle in einem VLAN erlernt werden

Führen Sie die folgenden Schritte aus, um die Anzahl der MAC-Adressen zu begrenzen, die von einer Schnittstelle in einem VLAN gelernt werden:

  1. Legen Sie die maximale Anzahl von MAC-Adressen fest, die von einer Schnittstelle in einem VLAN gelernt werden können, und geben Sie eine Aktion an, die das Gerät ausführt, nachdem der angegebene Grenzwert überschritten wurde:
  2. Legen Sie die maximale Anzahl von MAC-Adressen fest, die von einer oder allen Schnittstellen im VLAN gelernt werden können, und geben Sie eine Aktion an, die das Gerät ausführt, nachdem der angegebene Grenzwert überschritten wurde:
    Anmerkung:

    Wenn Sie ein MAC-Limit und eine Paketaktion für alle Schnittstellen im VLAN und eine bestimmte Schnittstelle im VLAN angeben, haben das MAC-Limit und die Paketaktion, die auf der jeweiligen Schnittstellenebene angegeben sind, Vorrang. Außerdem werden auf der Ebene der VLAN-Schnittstelle nur die Optionen und drop drop-and-log unterstützt.

    Nachdem Sie neue MAC-Limits für ein VLAN mithilfe der mac-table-size Anweisung oder für Schnittstellen, die einem VLAN zugeordnet sind, mithilfe der interface-mac-limit Anweisung festgelegt haben, löscht das System die entsprechenden vorhandenen Einträge in der Weiterleitungstabelle MAC-Adresse.

    Anmerkung:

    Wenn Sie auf einem Virtual Chassis der QFX-Serie die shutdown Option auf Hierarchieebene [edit vlans vlan-name switch-options interface interface-name interface-mac-limit packet-action] einschließen und den commit Vorgang ausführen, generiert das System einen Commit-Fehler. Das System erzeugt keinen Fehler, wenn Sie die shutdown Option auf Hierarchieebene [edit switch-options interface interface-name interface-mac-limit packet-action] einbinden.

Konfigurieren der MAC-Begrenzung (Nicht-ELS)

Bei dieser Aufgabe wird Junos OS für EX-Serie-Switches sowie QFX3500- und QFX3600-Switches verwendet, die den Konfigurationsstil "Enhanced Layer 2 Software" (ELS) nicht unterstützen.

In diesem Thema werden verschiedene Möglichkeiten zum Konfigurieren einer Begrenzung von MAC-Adressen in Paketen beschrieben, die vom Switch empfangen und weitergeleitet werden.

Bevor Sie ein MAC-Limit ändern können, das zuvor für eine Schnittstelle oder ein VLAN festgelegt wurde, müssen Sie zunächst vorhandene Einträge in der Weiterleitungstabelle MAC-Adresse löschen, die der gewünschten Änderung entsprechen. Um also den Grenzwert für eine Schnittstelle zu ändern, löschen Sie zunächst die Einträge in der MAC-Adresse-Weiterleitungstabelle für diese Schnittstelle. Um den Grenzwert für alle Schnittstellen und VLANs zu ändern, löschen Sie alle Einträge in der Weiterleitungstabelle für MAC-Adressen. Um das Limit für ein VLAN zu ändern, löschen Sie die Einträge in der Weiterleitungstabelle MAC-Adresse für dieses VLAN.

So löschen Sie MAC-Adressen aus der Weiterleitungstabelle:

  • Löschen Sie MAC-Adresse-Einträge von einer bestimmten Schnittstelle (hier ist die Schnittstelle ge-0/0/1) in der Weiterleitungstabelle:

  • Löschen Sie alle MAC-Adresse-Einträge in der Weiterleitungstabelle:

  • Löschen Sie MAC-Adresseseinträge aus einem bestimmten VLAN (in diesem Fall ist das VLAN vlan-abc):

Die verschiedenen Möglichkeiten zum Festlegen eines MAC-Limits werden in den folgenden Abschnitten beschrieben:

Begrenzung der Anzahl von MAC-Adressen, die auf Schnittstellen gelernt werden können

So konfigurieren Sie die MAC-Begrenzung für die Portsicherheit durch Festlegen einer maximalen Anzahl von MAC-Adressen, die auf Schnittstellen gelernt werden können.

  • Wenden Sie das MAC-Limit auf eine einzelne Schnittstelle an (hier ist die Schnittstelle ge-0/0/1):

    Wenn keine Aktion für die Konfiguration des MAC-Limits auf einer Schnittstelle angegeben ist, führt das Gerät die Standardaktion drop aus, wenn der Limit überschritten wird.

  • Wenden Sie das MAC-Limit auf eine einzelne Zugriffsschnittstelle auf der Grundlage ihrer Zugehörigkeit zu einem bestimmten VLAN an (hier ist die Schnittstelle ge-0/0/1 und das VLAN ist v1.

    Bei dieser Art der Konfiguration verwirft das Gerät alle zusätzlichen Pakete, wenn der Grenzwert überschritten wird, und protokolliert auch eine Meldung.

  • Wenden Sie den Grenzwert auf alle Zugriffsschnittstellen an:

    Wenn keine Aktion für die Konfiguration des MAC-Limits auf allen Schnittstellen angegeben ist, führt das Gerät die Standardaktion drop aus, wenn der Limit überschritten wird:

Angeben zulässiger MAC-Adressen

Sie müssen vorhandene Einträge in der Weiterleitungstabelle für MAC-Adressen löschen, bevor Sie das Limit für MAC-Adressen ändern.

So konfigurieren Sie die MAC-Begrenzung für die Portsicherheit durch Angabe zulässiger MAC-Adressen:

  • Auf einer einzelnen Schnittstelle (hier ist die Schnittstelle ge-0/0/2):
  • Auf allen Schnittstellen:

Konfigurieren der MAC-Begrenzung für VLANs

Sie müssen vorhandene Einträge in der Weiterleitungstabelle für MAC-Adressen löschen, bevor Sie den Grenzwert für MAC-Adressen ändern können.

Die MAC-Begrenzung für ein VLAN schränkt die MAC-Adressen ein, die für dieses VLAN gelernt werden können, verwirft jedoch nicht das Paket. Daher wird das Festlegen des MAC-Limits für ein VLAN nicht als Portsicherheitsfunktion betrachtet.

Anmerkung:

Die Konfiguration bestimmter zulässiger MAC-Adressen gilt nicht für VLANs.

So konfigurieren Sie die MAC-Begrenzung für ein VLAN mithilfe der CLI:

Begrenzen Sie die Anzahl dynamischer MAC-Adressen in einem VLAN:

Wenn das MAC-Limit für ein bestimmtes VLAN überschritten wird, protokolliert das Gerät die MAC-Adressen von Paketen, die zu einer Überschreitung des Limits führen. Eine andere Aktion ist nicht möglich.

Anmerkung:

Wenn Sie ein MAC-Limit auf ein VLAN anwenden, legen Sie den Wert mac-limit nicht auf 1 für ein VLAN fest, das aus gerouteten VLAN-Schnittstellen (RVIs) besteht, oder für ein VLAN, das aus aggregierten Ethernet-Paketen mithilfe von LACP besteht. In diesen Fällen verhindert das Festlegen von auf mac-limit 1, dass das Gerät andere MAC-Adressen als die automatischen Adressen lernt:

  • Bei RVIs ist die erste MAC-Adresse, die in die Weiterleitungsdatenbank eingefügt wird, die MAC-Adresse des RVI.

  • Bei aggregierten Ethernet-Bundles, die LACP verwenden, ist die erste MAC-Adresse, die in der Weiterleitungstabelle in die Weiterleitungsdatenbank eingefügt wird, die Quelladresse des Protokollpakets.

Wenn das VLAN aus regulären Zugriffs- oder Trunk-Schnittstellen besteht, können Sie den Wert mac-limit auf 1 setzen, wenn Sie dies wünschen.

Siehe auch

Konfigurieren der MAC-Begrenzung auf Routern der MX-Serie

In diesem Thema werden die verschiedenen Möglichkeiten zum Konfigurieren einer Begrenzung für MAC-Adressen in Paketen beschrieben, die von Routern der MX-Serie empfangen und weitergeleitet werden.

Begrenzen der Anzahl der MAC-Adressen, die von einer Schnittstelle erlernt werden

Um einen Port zu sichern, können Sie die maximale Anzahl von MAC-Adressen festlegen, die von einer Schnittstelle gelernt werden können.

Router der MX-Serie unterstützen nur die Drop-Aktion . Wenn die Aktion nicht angegeben ist, führt der Router die Standardaktion drop aus, wenn der Grenzwert überschritten wird.

Legen Sie den MAC-Grenzwert für eine Schnittstelle fest, und geben Sie die Aktion an, die der Router ausführt, nachdem der angegebene Grenzwert überschritten wurde.
Gehen Sie wie folgt vor, wenn Sie das MAC-Limit für eine Schnittstelle festlegen möchten, die Teil der Standard-Routing-Instanz ist:
Gehen Sie wie folgt vor, wenn Sie das MAC-Limit für eine Schnittstelle festlegen möchten, die Teil einer Routing-Instanz ist:
Gehen Sie wie folgt vor, wenn Sie das MAC-Limit für alle Schnittstellen festlegen möchten, die Teil der Standard-Routing-Instanz sind:
Gehen Sie wie folgt vor, wenn Sie das MAC-Limit für alle Schnittstellen festlegen möchten, die Teil einer Routing-Instanz sind:

Nachdem Sie einen neuen MAC-Grenzwert für die Schnittstelle festgelegt haben, löscht das System vorhandene Einträge in der Weiterleitungstabelle MAC-Adresse, die der Schnittstelle zugeordnet ist.

Begrenzen der Anzahl der MAC-Adressen, die von einer Bridge-Domäne erlernt werden

Führen Sie die folgenden Schritte aus, um die Anzahl der MAC-Adressen zu begrenzen, die von einer Bridge-Domäne erlernt werden:

Legen Sie die maximale Anzahl von MAC-Adressen fest, die von einer Bridge-Domäne gelernt werden können, und geben Sie eine Aktion an, die das Gerät ausführt, nachdem der angegebene Grenzwert überschritten wurde:

Begrenzen der Anzahl der MAC-Adressen, die von einer Schnittstelle in einer Bridge-Domäne gelernt werden

Führen Sie die folgenden Schritte aus, um die Anzahl der MAC-Adressen zu begrenzen, die von einer Schnittstelle in einer Bridge-Domäne erlernt werden:

  1. Legen Sie die maximale Anzahl von MAC-Adressen fest, die von einer Schnittstelle in einer Bridge-Domäne gelernt werden können, und geben Sie eine Aktion an, die das Gerät ausführt, nachdem der angegebene Grenzwert überschritten wurde:
  2. Legen Sie die maximale Anzahl von MAC-Adressen fest, die von einer oder allen Schnittstellen in der Bridge-Domäne erlernt werden können, und geben Sie eine Aktion an, die das Gerät ausführt, nachdem der angegebene Grenzwert überschritten wurde:
    Anmerkung:

    Wenn Sie ein MAC-Limit und eine Paketaktion für alle Schnittstellen in der Bridge-Domäne und eine bestimmte Schnittstelle in der Bridge-Domäne angeben, haben die MAC-Begrenzung und die Paketaktion, die auf der jeweiligen Schnittstellenebene angegeben sind, Vorrang. Außerdem wird auf der Ebene der Bridge-Domänenschnittstelle nur die drop Option unterstützt.

Konfigurieren der MAC-Begrenzung (J-Web-Verfahren)

Die MAC-Begrenzung schützt vor Überflutung der Ethernet-Switching-Tabelle eines Switches der EX-Serie. Die MAC-Begrenzung legt eine Grenze für die Anzahl der MAC-Adressen fest, die auf einer einzelnen Layer-2-Zugriffsschnittstelle (Port) gelernt werden können.

Junos OS bietet zwei Methoden zur MAC-Begrenzung:

  • Maximal zulässige Anzahl dynamischer MAC-Adressen pro Schnittstelle: Wenn der Grenzwert überschritten wird, werden eingehende Pakete mit neuen MAC-Adressen verworfen.

  • Spezifische "zulässige" MAC-Adressen für die Zugriffsschnittstelle: Jede MAC-Adresse, die nicht in der Liste der konfigurierten Adressen enthalten ist, wird nicht gelernt.

Sie konfigurieren die MAC-Begrenzung für jede Schnittstelle, nicht für jedes VLAN. Sie können die maximale Anzahl dynamischer MAC-Adressen angeben, die auf einer einzelnen Layer-2-Zugriffsschnittstelle oder auf allen Layer-2-Zugriffsschnittstellen erlernt werden können. Die Standardaktion, die der Switch ausführt, wenn diese maximale Anzahl überschritten wird, ist "Verwerfen" – das Paket wird verworfen und ein Alarm, ein SNMP-Trap oder ein Systemprotokolleintrag generiert.

So aktivieren Sie die MAC-Begrenzung auf einer oder mehreren Schnittstellen über die J-Web-Schnittstelle:

  1. Wählen Sie Configure>Security>Port Security (KonfigurationSicherheitPortsicherheit) aus.
  2. Wählen Sie eine oder mehrere Schnittstellen aus der Schnittstellenliste aus.
  3. Klicken Sie auf die Schaltfläche Bearbeiten . Wenn eine Meldung angezeigt wird, in der Sie gefragt werden, ob Sie die Portsicherheit aktivieren möchten, klicken Sie auf Ja.
  4. So legen Sie ein dynamisches MAC-Limit fest:

    1. Geben Sie einen Grenzwert in das Feld MAC-Limit ein.

    2. Wählen Sie im Feld MAC-Limit-Aktion (optional) eine Aktion aus. Der Switch führt diese Aktion aus, wenn der MAC-Grenzwert überschritten wird. Wenn Sie keine Aktion auswählen, wendet der Schalter die Standardaktion drop an.

      • Protokoll: Generiert einen Systemprotokolleintrag.

      • Drop: Die Pakete werden verworfen und ein Systemprotokolleintrag generiert. (Standard)

      • Herunterfahren: Fahren Sie das VLAN herunter und generieren Sie einen Systemprotokolleintrag. Sie können die Auswirkungen dieser Option abschwächen, indem Sie den Schalter für die automatische Wiederherstellung aus dem deaktivierten Zustand konfigurieren und einen Wert für die Zeitüberschreitung bei der Deaktivierung angeben.

      • Keine— Es müssen keine Maßnahmen ergriffen werden.

  5. So fügen Sie zulässige MAC-Adressen hinzu:

    1. Klicken Sie auf Hinzufügen.

    2. Geben Sie die zulässige MAC-Adresse ein und klicken Sie auf OK.

    Wiederholen Sie diesen Schritt, um weitere zulässige MAC-Adressen hinzuzufügen.

  6. Klicken Sie auf OK , wenn Sie mit dem Festlegen der MAC-Grenzwerte fertig sind.
  7. Klicken Sie auf OK , nachdem die Konfiguration erfolgreich übermittelt wurde.
Anmerkung:

Sie können die Portsicherheit auf dem Switch jederzeit aktivieren oder deaktivieren, indem Sie auf der Seite "Port Security Configuration" (Portsicherheitskonfiguration) auf die Schaltfläche "Aktivieren " oder "Deaktivieren " klicken. Wenn der Sicherheitsstatus als Deaktiviert angezeigt wird, wenn Sie versuchen, die Einstellungen für VLANs oder Schnittstellen (Ports) zu bearbeiten, wird eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die Portsicherheit aktivieren möchten.

Siehe auch