Konfiguration von Layer-2-Port-Sicherheitsfunktionen auf Ethernet-verbundenen Endsystemen

In diesem Abschnitt wird gezeigt, wie die folgenden Sicherheitsfunktionen für Layer 2-Ports konfiguriert werden. Eine Übersicht über diese Funktionen finden Sie unter Sicherheitsfunktionen für Layer 2-Ports auf Ethernet-verbundenen Endsystemen in Komponenten der Datencenter-Fabric-Blueprint-Architektur.

Konfigurieren von Storm Control

In dieser Beispielkonfiguration begrenzt die Sturmkontrollrate den BUM-Datenverkehr auf serverseitigen aggregierten Ethernet-Schnittstellen. Wenn die Menge des BUM-Datenverkehrs 6 % der verfügbaren Bandbreite auf der Schnittstelle überschreitet, wird sie von der Sturmsteuerung verworfen, um Broadcast-Stürme zu verhindern.

So aktivieren Sie die Sturmkontrolle:

Erstellen Sie ein Sturmsteuerungsprofil, und geben Sie den Prozentsatz der Bandbreite an, der für BUM-Datenverkehr verfügbar ist.
Wenden Sie das Sturmsteuerungsprofil auf eine Eingangs-Layer-2-Schnittstelle an. Nachdem Sie das Profil auf eine Schnittstelle angewendet haben, befindet sich die Schnittstelle in der Standard-Switch-Schnittstelle.

Überprüfung der Sturmkontrolle

Um die Sturmbekämpfungsaktivität zu überprüfen, filtern Sie Systemprotokollmeldungen, die sich auf die Sturmkontrolle beziehen:

Konfigurieren der Portsicherheit mithilfe von MAC-Filterung

Um die MAC-Filterung zu konfigurieren, erstellen Sie Firewallfilter, in denen Sie eine oder mehrere der unterstützten Übereinstimmungsbedingungen angeben. Eine Liste der Übereinstimmungsbedingungen, die auf QFX5110 und QFX10000-Switches unterstützt werden, finden Sie unter Unterstützung für MAC-Filterung, Sturmsteuerung und Port-Spiegelung in einer EVPN-VXLAN-Umgebung . Anschließend wenden Sie den Firewall-Filter auf eine Layer-2-Schnittstelle an.

So konfigurieren Sie die MAC-Filterung:

Erstellen Sie einen Firewall-Filter für eine Eingangsschnittstelle.

Wenden Sie den Firewall-Filter auf den Eingang einer Zugriffsschnittstelle / Layer-2-Schnittstelle an.

Erstellen Sie einen Firewallfilter für eine Ausgangsschnittstelle.

Wenden Sie den Firewall-Filter auf die Ausgangsschnittstelle an.

Überprüfen der MAC-Filterung

Überprüfen Sie die MAC-Filterung auf der Eingangsschnittstelle.

Überprüfen Sie die MAC-Filterung auf der Ausgangsschnittstelle.

Konfigurieren der analyzer-basierten Portspiegelung

In diesem Abschnitt wird gezeigt, wie eingehender Datenverkehr von einer Underlay-Schnittstelle auf einen anderen physischen Port gespiegelt wird.

Die Quell- und Zielports für den gespiegelten Datenverkehr befinden sich auf demselben Leaf oder Spine.

Konfigurieren Sie einen Analysator so, dass er eingehenden Datenverkehr auf der Schnittstelle ae1.0 spiegelt.
Konfigurieren Sie die Zielschnittstelle für die gespiegelten Pakete.
Konfigurieren Sie die Schnittstelle, die eine Verbindung zu einem anderen Switch herstellt (die Uplink-Schnittstelle), im Bündelfunkmodus und ordnen Sie sie dem entsprechenden VLAN zu.

Überprüfen der Portspiegelung

So überprüfen Sie die Portspiegelung:

Sicherheitsfunktionen für Layer 2-Ports – Versionshistorie

Tabelle 1 enthält eine Historie aller Funktionen in diesem Abschnitt und ihre Unterstützung in diesem Referenzdesign.

Tabelle 1: Versionshistorie der Layer 2-Portsicherheit
Loslassen	Beschreibung
19.1R2	QFX5120-32C-Switches mit Junos OS Version 19.1R2 und höher unterstützen MAC-Filterung, Sturmsteuerung sowie Portspiegelung und -analyse. QFX10002-60C-Switches, die Junos OS Version 19.1R2 und höher im selben Release Train ausgeführt werden, unterstützen MAC-Filterung. Diese Switches unterstützen keine Sturmsteuerung, keine Portspiegelung und -analyse.
18.4R2	QFX5120-48Y-Switches, die Junos OS Version 18.4R2 und höher im selben Release-Train ausgeführt werden, unterstützen alle in diesem Abschnitt dokumentierten Funktionen.
18.1R3-S3	Alle Geräte im Referenzdesign, die Junos OS Version 18.1R3-S3 und höhere Versionen derselben Version unterstützen, unterstützen auch alle in diesem Abschnitt dokumentierten Funktionen.

AUF DIESER SEITE