Filtrage et comptabilisation des adresses MAC sur les interfaces Ethernet
Pour bloquer tous les paquets entrants à partir d’une adresse MAC spécifique, vous pouvez activer le filtrage d’adresse MAC. Vous pouvez configurer une interface Ethernet pour apprendre de manière dynamique les adresses MAC source ou de destination. Ce sujet décrit comment activer le filtrage des adresses MAC et comment configurer la comptabilisation des adresses MAC.
Configuration du filtrage d’adresse MAC pour les interfaces Ethernet
Activer le filtrage des adresses source
Sur les interfaces Ethernet agrégées, les cartes PIC Gigabit Ethernet, Gigabit Ethernet IQ et Gigabit Ethernet avec SPC (sauf le PIC Gigabit Ethernet à 10 ports et le port Gigabit Ethernet intégré sur le routeur M7i), le filtrage des adresses source peut bloquer tous les paquets entrants à partir d’une adresse MAC spécifique.
Pour activer le filtrage, inclure source-filtering l’instruction aux niveaux hiérarchiques suivants:
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]Remarque :Lorsque vous intégrez un routeur T640 autonome dans une matrice de routage, les adresses MAC (PIC adresse MAC) du routeur T640 intégré sont dérivées d’un pool d’adresses MAC maintenus par le routeur TX Matrix. Pour chaque adresse MAC que vous spécifiez dans la configuration d’un ancien routeur T640 autonome, vous devez spécifier la même adresse MAC dans la configuration du routeur TX Matrix.
De même, lorsque vous intégrez un routeur T1600 ou T4000 dans une matrice de routage, les adresses MAC PIC du routeur T1600 ou T4000 intégré sont dérivées d’un pool d’adresses MAC maintenus par le routeur TX Matrix Plus. Pour chaque adresse MAC que vous spécifiez dans la configuration d’un routeur T1600 ou T4000 autrefois autonome, vous devez spécifier la même adresse MAC dans la configuration du routeur TX Matrix Plus.
Lorsque le filtrage des adresses source est activé, vous pouvez configurer l’interface pour recevoir des paquets provenant d’adresses MAC spécifiques. Pour ce faire, spécifiez les adresses MAC dans source-address-filter mac-address l’instruction aux niveaux de hiérarchie suivants:
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]
Vous pouvez spécifier l’adresse MAC en tant que ou , où est un numéro nn:nn:nn:nn:nn:nnnnnn .nnnn.nnnnn hexadécimaux. Vous pouvez configurer jusqu’à 64 adresses source. Pour spécifier plusieurs adresses, inclure source-address-filter l’énoncé plusieurs fois.
L’énoncé n’est pas pris en charge sur les PIC Gigabit Ethernet IQ et Gigabit Ethernet avec SPC (à l’exception du PIC Gigabit Ethernet 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i). Ajoutez plutôt source-address-filteraccept-source-mac l’énoncé. Pour plus d’informations, consultez le site Configuring Gigabit Ethernet Policers ( Configurer les policers Gigabit Ethernet).
Si la carte Ethernet distante est modifiée, l’interface ne peut pas recevoir de paquets de la nouvelle carte car elle possède une adresse MAC différente.
Le filtrage des adresses source n’est pas efficace lorsque le protocole LACP (Link Aggregation Control Protocol) est activé. Ce comportement ne s’applique pas aux routeurs et aux PTX Series Routeurs de transport de paquets T Series. Pour plus d’informations sur LACP, consultez le site Aggregated Ethernet Interfaces.
Sur les interfaces Gigabit Ethernet non configurées, vous ne devez pas configurer l’énoncé au niveau de la hiérarchie et l’instruction au niveau de source-address-filter[edit interfaces ge-fpc/pic/port gigether-options] la hiérarchie accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] simultanément. Si ces instructions sont configurées pour les mêmes interfaces en même temps, un message d’erreur s’affiche.
Sur les interfaces Gigabit Ethernet balisé, vous ne devez pas configurer l’énoncé au niveau hiérarchique de [modifier les interfaces] et l’instruction au niveau de la hiérarchie, avec une adresse MAC identique spécifiée dans les deux source-address-filter[edit interfaces ge-fpc/pic/port gigether-options]accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] filtres. Si ces instructions sont configurées pour les mêmes interfaces avec une adresse MAC identique spécifiée, un message d’erreur s’affiche.
Cette source-address-filter déclaration n’est pas prise en charge MX Series routeurs MPC4E (numéros de modèle: MPC4E-3D-32XGE-SFPP et MPC4E-3D-2CGE-8XGE) ; inclure accept-source-mac l’énoncé. Pour plus d’informations, consultez le site Configuring Gigabit Ethernet Policers ( Configurer les policers Gigabit Ethernet).
Configuration du filtrage d’adresse MAC sur PTX Series Routeurs de transport de paquets
Ce sujet décrit comment configurer le filtrage MAC sur PTX Series Routeurs de transport de paquets. Le filtrage MAC vous permet de spécifier les adresses MAC à partir des lesquelles l’interface Ethernet peut recevoir des paquets.
La prise en charge du filtrage MAC sur PTX Series Routeurs de transport de paquets inclut:
Filtrage de la source MAC et de l’adresse de destination pour chaque port.
Filtrage des adresses source MAC pour chaque interface physique.
Filtrage des adresses source MAC pour chaque interface logique.
Lorsque vous filtrez des interfaces logiques et physiques, vous pouvez spécifier jusqu’à 1 000 adresses source MAC par port.
Pour configurer le filtrage des adresses source MAC pour une interface physique, inclure les instructions et les instructions au niveau source-filteringsource-address-filter[edit interfaces et-fpc/pic/port gigether-options] hiérarchique:
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
source-address-filter {
mac-address;
}
}
}
source-address-filterL’instruction configure les adresses source MAC filtrées. L’interface physique spécifiée dépose tous les paquets de l’adresse source MAC que vous spécifiez. Vous pouvez spécifier l’adresse MAC comme étant un nn:nn:nn:nn:nn:nnn chiffre décimal. Pour spécifier plusieurs adresses, inclure plusieurs mac-address options dans source-address-filter l’énoncé.
Pour configurer le filtrage des adresses source MAC pour une interface logique, inclure l’instruction au niveau accept-source-mac[edit interfaces et-fpc/pic/port unit logical-unit-number] de la hiérarchie:
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
}
unit logical-unit-number {
accept-source-mac {
mac-address mac-address;
}
}
}
accept-source-macL’instruction configure les adresses source MAC acceptées sur l’interface logique. Vous pouvez spécifier l’adresse MAC comme étant un nn:nn:nn:nn:nn:nnn chiffre décimal. Pour spécifier plusieurs adresses, inclure plusieurs mac-address mac-address options dans accept-source-mac l’énoncé.
Une fois le filtre d’interface configuré, une entrée de comptabilisation est associée au filtre d’adresse MAC. Les compteurs s’accumule s’il y a des paquets avec les adresses source MAC correspondantes. Vous pouvez utiliser la show interfaces mac-database commande Junos OS CLI pour afficher le nombre d’adresses.
Voir également
Configuration de la comptabilisation des adresses MAC
Pour les PIC Gigabit Ethernet IQ et Gigabit Ethernet avec SPC (sauf PIC Gigabit Ethernet 10 ports et port Gigabit Ethernet intégré sur le routeur M7i), pour les DPC Gigabit Ethernet sur les routeurs MX Series, Pour les PIC 100 Gigabit Ethernet de type 5 avec CFP, et les MPC3E, MPC4E, MPC5E, MPC5EQ et MPC6E, vous pouvez configurer si les adresses MAC source et de destination sont acquises de façon dynamique.
Pour configurer la comptabilisation des adresses MAC sur une interface Ethernet individuelle, inclure l’instruction au niveau mac-learn-enable[edit interfaces interface-name gigether-options ethernet-switch-profile] de la hiérarchie:
[edit interfaces interface-name gigether-options ethernet-switch-profile] mac-learn-enable;
Pour configurer la comptabilisation des adresses MAC sur une interface Ethernet agrégée, inclure l’instruction au niveau mac-learn-enable[edit interfaces aex aggregated-ether-options ethernet-switch-profile] de la hiérarchie:
[edit interfaces aex aggregated-ether-options ethernet-switch-profile] mac-learn-enable;
Pour interdire à l’interface d’apprendre dynamiquement les adresses MAC de source et de destination, n’incluent pas mac-learn-enable l’énoncé.
Pour désactiver l’apprentissage dynamique des adresses MAC source et de destination après sa configuration, vous devez supprimer mac-learn-enable de la configuration.
Les MPC ne peuvent prendre en charge la comptabilisation des adresses MAC pour une interface individuelle ou un lien membre de l’interface Ethernet agrégé uniquement après que l’interface a reçu du trafic provenant de la source MAC. Si le trafic sortant uniquement d’une interface, l’adresse MAC n’a pas été apprise et la comptabilisation des adresses MAC ne se produit pas.