Verstehen und Verwenden von persistentem MAC-Lernen
Verstehen von persistentem MAC-Lernen (sticky MAC)
Persistentes MAC-Lernen, auch bekannt als Sticky MAC, ist eine Portsicherheitsfunktion, die es einer Schnittstelle ermöglicht, dynamisch gelernte MAC-Adressen beizubehalten, wenn der Switch neu gestartet wird oder wenn die Schnittstelle ausfällt und wieder online geschaltet wird.
Das persistente Lernen von MAC-Adressen ist standardmäßig deaktiviert. Sie können das persistente Erlernen von MAC-Adressen in Verbindung mit der MAC-Begrenzung aktivieren, um die Anzahl der persistenten MAC-Adressen einzuschränken. Sie aktivieren diese Funktion für Schnittstellen.
Konfigurieren Sie persistentes MAC-Lernen auf einer Schnittstelle, um:
Vermeiden Sie Datenverkehrsverluste für vertrauenswürdige Workstations und Server, da die Schnittstelle nach einem Neustart die Adressen aus eingehendem Datenverkehr nicht neu lernen muss.
Schützen Sie den Switch vor Sicherheitsangriffen. Verwenden Sie persistentes MAC-Lernen in Kombination mit MAC-Begrenzung zum Schutz vor Angriffen wie Layer 2 Denial-of-Service (DoS)-Angriffen, Überlaufangriffen auf die Ethernet-Switching-Tabelle und DHCP-Hungerangriffen, indem Sie die zulässigen MAC-Adressen begrenzen, aber dennoch der Schnittstelle erlauben, eine bestimmte Anzahl von MAC-Adressen dynamisch zu lernen. Die Schnittstelle ist gesichert, da sich nach Erreichen des Limits keine weiteren Geräte mehr mit dem Port verbinden können.
Durch die Konfiguration des persistenten MAC-Lernens zusammen mit der MAC-Begrenzung ermöglichen Sie Schnittstellen das Ermitteln von MAC-Adressen vertrauenswürdiger Arbeitsstationen und Server ab dem Zeitpunkt, an dem Sie die Schnittstelle mit Ihrem Netzwerk verbinden, bis zum Erreichen des Grenzwerts für MAC-Adressen, und stellen sicher, dass nach Erreichen dieses Grenzwerts keine neuen Geräte mehr mit der Schnittstelle verbunden werden können, selbst wenn der Switch neu gestartet wird. Als Alternative zur Verwendung von persistentem MAC-Lernen mit MAC-Begrenzung können Sie jede MAC-Adresse an jedem Port statisch konfigurieren oder zulassen, dass der Port nach Neustarts oder Schnittstellenausfällen kontinuierlich neue MAC-Adressen lernt. Dem Port zu erlauben, kontinuierlich MAC-Adressen zu lernen, stellt ein Sicherheitsrisiko dar.
-
Während ein Switch neu gestartet wird oder eine Schnittstelle wieder hochgefahren wird, kann es zu einer kurzen Verzögerung kommen, bevor die Schnittstelle weitere MAC-Adressen lernen kann. Diese Verzögerung tritt auf, während das System zuvor gelernte persistente MAC-Adressen erneut in die Weiterleitungsdatenbank für die Schnittstelle eingibt.
-
Ab Junos OS Version 22.4R1 können Sie persistentes MAC-Lernen sowohl auf Trunk- (VLAN-Tags) als auch auf Zugriffsschnittstellen aktivieren.
Beachten Sie bei der Konfiguration des persistenten MAC-Lernens die folgenden Konfigurationsrichtlinien:
Sie können das persistente MAC-Lernen nicht auf einer Schnittstelle aktivieren, auf der die 802.1x-Authentifizierung konfiguriert ist.
Sie können persistentes MAC-Lernen nicht auf einer Schnittstelle aktivieren, die Teil einer redundanten Trunk-Gruppe ist.
Sie können das persistente MAC-Lernen nicht auf einer Schnittstelle aktivieren, auf der no-mac-learning aktiviert ist.
Wenn Sie ein Gerät innerhalb Ihres Netzwerks verschieben, das über einen persistenten MAC-Adresseseintrag auf dem Switch verfügt, verwenden Sie den clear ethernet-switching table persistent-learning <interface | mac-address> Befehl, um den persistenten MAC-Adresseeintrag aus der Benutzeroberfläche zu löschen. Wenn Sie das Gerät verschieben und die persistente MAC-Adresse nicht von dem ursprünglichen Port löschen, auf dem sie gelernt wurde, lernt der neue Port die MAC-Adresse des Geräts nicht, und das Gerät kann keine Verbindung herstellen. Wenn der ursprüngliche Port ausgefallen ist, wenn Sie das Gerät bewegen, lernt der neue Port die MAC-Adresse und das Gerät kann eine Verbindung herstellen. Wenn Sie jedoch die persistente MAC-Adresse am ursprünglichen Port nicht löschen, installiert das System beim Neustart des Ports die persistente MAC-Adresse in der Weiterleitungstabelle für diesen Port neu. In diesem Fall wird die persistente MAC-Adresse vom neuen Port entfernt und das Gerät verliert die Verbindung.
Konfigurieren von Persistent MAC Learning (ELS)
In diesem Abschnitt wird die Verwendung von Junos OS mit Unterstützung für die Enhanced Layer 2 Software (ELS) beschrieben. Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer 2-Software-CLI
So konfigurieren Sie persistentes MAC-Lernen auf einer Schnittstelle und begrenzen die Anzahl der zulässigen MAC-Adressen:
Werte für action sind:
drop |
Verwerfen Sie Pakete mit neuen Quell-MAC-Adressen, und lernen Sie die neuen Quell-MAC-Adressen nicht. |
drop-and-log |
(Nur Switches der EX-Serie) Legen Sie Pakete mit neuen Quell-MAC-Adressen ab und generieren Sie einen Alarm, einen SNMP-Trap oder einen Systemprotokolleintrag. |
log |
(Nur Switches der EX-Serie) Halten Sie Pakete mit neuen Quell-MAC-Adressen zurück und generieren Sie einen Alarm, einen SNMP-Trap oder einen Systemprotokolleintrag. |
none |
(Nur Switches der EX-Serie) Leiten Sie Pakete mit neuen Quell-MAC-Adressen weiter, und lernen Sie die neue Quell-MAC-Adresse kennen. |
shutdown |
(Nur Switches der EX-Serie) Deaktivieren Sie die angegebene Schnittstelle und generieren Sie einen Alarm, einen SNMP-Trap oder einen Systemprotokolleintrag. |
Wenn Sie ein Gerät innerhalb Ihres Netzwerks verschieben, das über einen persistenten MAC-Adresseseintrag auf dem Switch verfügt, verwenden Sie den clear ethernet-switching table persistent-learning Befehl, um den persistenten MAC-Adresseeintrag aus der Benutzeroberfläche zu löschen. Wenn Sie das Gerät verschieben und die persistente MAC-Adresse nicht von dem ursprünglichen Port löschen, auf dem sie gelernt wurde, lernt der neue Port die MAC-Adresse des Geräts nicht, und das Gerät kann keine Verbindung herstellen.
Wenn der ursprüngliche Port ausgefallen ist, wenn Sie das Gerät bewegen, lernt der neue Port die MAC-Adresse und das Gerät kann eine Verbindung herstellen. Wenn Sie jedoch die persistente MAC-Adresse am ursprünglichen Port nicht löschen, installiert das System beim Neustart des Ports die persistente MAC-Adresse in der Weiterleitungstabelle für diesen Port neu. In diesem Fall wird die persistente MAC-Adresse vom neuen Port entfernt und das Gerät verliert die Verbindung.
Konfigurieren von persistentem MAC-Lernen (Nicht-ELS)
Das persistente Lernen von MAC-Adressen, auch bekannt als sticky MAC, ist standardmäßig deaktiviert. Sie können sie aktivieren, damit dynamisch erlernte MAC-Adressen über Neustarts des Switches hinweg auf einer Schnittstelle beibehalten werden können.
In diesem Abschnitt wird die Verwendung von Junos OS ohne Unterstützung für die Enhanced Layer 2 Software (ELS) beschrieben. Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer 2-Software-CLI
Verwenden Sie das kontinuierliche Lernen von MAC-Adressen für Folgendes:
Vermeiden Sie Datenverkehrsverluste bei vertrauenswürdigen Workstations und Servern, da die Schnittstelle nach einem Neustart die Adressen aus dem eingehenden Datenverkehr nicht neu lernen muss.
Schutz des Switches vor Sicherheitsangriffen – Verwenden Sie dauerhaftes MAC-Lernen in Kombination mit MAC-Begrenzung, um sich vor Angriffen zu schützen und gleichzeitig die Notwendigkeit zu vermeiden, MAC-Adressen statisch zu konfigurieren. Wenn das anfängliche Lernen von MAC-Adressen bis zu der durch das MAC-Limit angegebenen Anzahl abgeschlossen ist, werden neue Adressen auch nach einem Neustart nicht zugelassen. Der Port ist gesichert, da sich nach Erreichen des Limits keine weiteren Geräte mehr mit der Schnittstelle verbinden können.
Die ersten Geräte, die Datenverkehr senden, nachdem Sie eine Verbindung hergestellt haben, werden während des anfänglichen Verbindungszeitraums gelernt. Sie können die MAC-Adressen überwachen und das gleiche Sicherheitsniveau bieten, als ob Sie jede MAC-Adresse auf jeder Schnittstelle statisch konfigurieren würden, nur mit weniger manuellem Aufwand. Persistentes MAC-Lernen trägt auch dazu bei, Datenverkehrsverluste für vertrauenswürdige Workstations und Server zu verhindern, da die Schnittstelle die Adressen aus dem eingehenden Datenverkehr nicht neu lernen muss.
So konfigurieren Sie persistentes MAC-Lernen auf einer Schnittstelle und begrenzen die Anzahl der zulässigen MAC-Adressen:
Überprüfen, ob persistentes MAC-Lernen ordnungsgemäß funktioniert
Zweck
Vergewissern Sie sich, dass das persistente MAC-Lernen, auch als Sticky MAC bezeichnet, auf der Schnittstelle funktioniert. Persistentes MAC-Lernen ermöglicht die Beibehaltung dynamisch erlernter MAC-Adressen auf einer Schnittstelle über Neustarts des Switches hinweg (oder bei einem Ausfall der Schnittstelle).
Aktion
Zeigen Sie die MAC-Adressen an, die gelernt wurden. Die folgende Beispielausgabe zeigt die Ergebnisse, wenn persistentes MAC-Lernen auf der Schnittstelle ge-0/0/42 aktiviert ist:
Ethernet-Switching-Tabelle anzeigen persistent-mac
user@switch> show ethernet-switching table Ethernet-switching table: 8 entries, 2 learned, 5 persistent entries VLAN MAC address Type Age Interfaces default * Flood - All-members default 00:10:94:00:00:02 Persistent 0 ge-0/0/42.0 default 00:10:94:00:00:03 Persistent 0 ge-0/0/42.0 default 00:10:94:00:00:04 Persistent 0 ge-0/0/42.0 default 00:10:94:00:00:05 Persistent 0 ge-0/0/42.0 default 00:10:94:00:00:06 Persistent 0 ge-0/0/42.0 default 00:21:59:c8:0c:50 Learn 0 ae0.0 default 02:21:59:c8:0c:44 Learn 0 ae0.0
Bedeutung
Die Beispielausgabe zeigt, dass gelernte MAC-Adressen in der Ethernet-Switching-Tabelle als persistente Einträge gespeichert werden. Wenn der Switch neu gestartet wird oder die Schnittstelle ausfällt und wieder hochfährt, werden diese Adressen in der Tabelle wiederhergestellt.