Filtrage et comptabilisation des adresses MAC sur les interfaces Ethernet
Pour bloquer tous les paquets entrants à partir d’une adresse MAC spécifique, vous pouvez activer le filtrage des adresses MAC. Vous pouvez configurer une interface Ethernet pour apprendre dynamiquement les adresses MAC source ou de destination. Cette rubrique explique comment activer le filtrage des adresses MAC et comment configurer la comptabilisation des adresses MAC.
Configuration du filtrage d’adresses MAC pour les interfaces Ethernet
Activation du filtrage des adresses sources
Sur les interfaces Ethernet agrégées, Fast Ethernet, Gigabit Ethernet, Gigabit Ethernet IQ et Gigabit Ethernet PICs avec SFP (à l’exception du PIC Gigabit Ethernet à 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i), vous pouvez activer le filtrage des adresses source pour bloquer tous les paquets entrants provenant d’une adresse MAC spécifique.
Pour activer le filtrage, incluez l’instruction source-filtering aux niveaux hiérarchiques suivants :
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]REMARQUE :Lorsque vous intégrez un routeur T640 autonome dans une matrice de routage, les adresses MAC (Media Access Control) PIC du routeur T640 intégré sont dérivées d’un pool d’adresses MAC géré par le routeur TX Matrix. Pour chaque adresse MAC que vous spécifiez dans la configuration d’un ancien routeur T640 autonome, vous devez spécifier la même adresse MAC dans la configuration du routeur TX Matrix.
De même, lorsque vous intégrez un routeur T1600 ou T4000 dans une matrice de routage, les adresses MAC PIC du routeur T1600 ou T4000 intégré sont dérivées d’un pool d’adresses MAC géré par le routeur TX Matrix Plus. Pour chaque adresse MAC que vous spécifiez dans la configuration d’un ancien routeur autonome T1600 ou T4000, vous devez spécifier la même adresse MAC dans la configuration du routeur TX Matrix Plus.
Lorsque le filtrage des adresses source est activé, vous pouvez configurer l’interface pour qu’elle reçoive des paquets provenant d’adresses MAC spécifiques. Pour ce faire, spécifiez les adresses MAC dans l’instruction source-address-filter mac-address aux niveaux hiérarchiques suivants :
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]
Vous pouvez spécifier l’adresse MAC sous la forme nn:nn:nn:nn:nn:nn ou nnnn .nnnn.nnnn, où n est un nombre hexadécimal. Vous pouvez configurer jusqu’à 64 adresses source. Pour spécifier plusieurs adresses, incluez l’instruction source-address-filter plusieurs fois.
L’instruction source-address-filter n’est pas prise en charge sur les PIC Gigabit Ethernet IQ et Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet à 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i) ; incluez plutôt l’instruction accept-source-mac . Pour plus d’informations, reportez-vous à la section Configuration des mécanismes de contrôle Gigabit Ethernet.
Si la carte Ethernet distante est changée, l’interface ne peut pas recevoir de paquets de la nouvelle carte car elle a une adresse MAC différente.
Le filtrage des adresses sources ne fonctionne pas lorsque le protocole LACP (Link Aggregation Control Protocol) est activé. Ce comportement ne s’applique pas aux routeurs et aux PTX Series Routeurs de transport de paquets de la série T. Pour plus d’informations sur LACP, reportez-vous à la section Interfaces Ethernet agrégées.
Sur les interfaces Gigabit Ethernet non balisées, vous ne devez pas configurer simultanément l’instruction au niveau de la hiérarchie et l’instruction source-address-filteraccept-source-mac au niveau de la [edit interfaces ge-fpc/pic/port gigether-options][edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] hiérarchie. Si ces instructions sont configurées pour les mêmes interfaces en même temps, un message d’erreur s’affiche.
Sur les interfaces Gigabit Ethernet balisées, vous ne devez pas configurer l’instruction au niveau de la hiérarchie [modifier les interfaces [edit interfaces ge-fpc/pic/port gigether-options] et l’instruction source-address-filteraccept-source-mac au niveau de la [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] hiérarchie avec une adresse MAC identique spécifiée dans les deux filtres. Si ces instructions sont configurées pour les mêmes interfaces avec une adresse MAC identique spécifiée, un message d’erreur s’affiche.
L’instruction source-address-filter n’est pas prise en charge sur les routeurs MX Series avec MPC4E (numéros de modèle : MPC4E-3D-32XGE-SFPP et MPC4E-3D-2CGE-8XGE) ; Au lieu de cela, incluez l’instruction accept-source-mac . Pour plus d’informations, reportez-vous à la section Configuration des mécanismes de contrôle Gigabit Ethernet.
Configuration du filtrage des adresses MAC sur PTX Series Routeurs de transport de paquets
Cette rubrique explique comment configurer le filtrage MAC sur PTX Series Routeurs de transport de paquets. Le filtrage MAC vous permet de spécifier les adresses MAC à partir desquelles l’interface Ethernet peut recevoir des paquets.
La prise en charge du filtrage MAC sur PTX Series Routeurs de transport de paquets comprend :
Filtrage des adresses MAC source et de destination pour chaque port.
Filtrage des adresses source MAC pour chaque interface physique.
Filtrage des adresses source MAC pour chaque interface logique.
Lorsque vous filtrez les interfaces logiques et physiques, vous pouvez spécifier jusqu’à 1000 adresses source MAC par port.
Pour configurer le filtrage des adresses source MAC pour une interface physique, incluez les source-filtering instructions et source-address-filter au niveau de la [edit interfaces et-fpc/pic/port gigether-options] hiérarchie :
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
source-address-filter {
mac-address;
}
}
}
L’instruction source-address-filter configure les adresses MAC qui sont filtrées. L’interface physique spécifiée supprime tous les paquets des adresses sources MAC que vous spécifiez. Vous pouvez spécifier l’adresse MAC comme nn:nn:nn:nn:nn:nn où n est un chiffre décimal. Pour spécifier plusieurs adresses, incluez plusieurs mac-address options dans l’instruction source-address-filter .
Pour configurer le filtrage des adresses source MAC pour une interface logique, incluez l’instruction au accept-source-mac niveau de la [edit interfaces et-fpc/pic/port unit logical-unit-number] hiérarchie :
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
}
unit logical-unit-number {
accept-source-mac {
mac-address mac-address;
}
}
}
L’instruction accept-source-mac configure les adresses MAC qui sont acceptées sur l’interface logique. Vous pouvez spécifier l’adresse MAC comme nn:nn:nn:nn:nn:nn où n est un chiffre décimal. Pour spécifier plusieurs adresses, incluez plusieurs mac-address mac-address options dans l’instruction accept-source-mac .
Une fois qu’un filtre d’interface est configuré, une écriture comptable est associée au filtre d’adresse MAC. Les compteurs s’accumulent s’il y a des paquets avec des adresses sources MAC correspondantes. Vous pouvez utiliser la show interfaces mac-database commande CLI de Junos OS pour afficher le nombre d’adresses.
Voir également
Configuration de la comptabilisation des adresses MAC
Pour les PIC Gigabit Ethernet IQ et Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet à 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i), pour les DPC Gigabit Ethernet sur les routeurs MX Series, pour les PIC 100 Gigabit Ethernet Type 5 avec CFP et pour les MPC MPC3E, MPC4E, MPC5E, MPC5EQ et MPC6E, vous pouvez configurer l’apprentissage dynamique des adresses MAC source et de destination.
Pour configurer la comptabilisation des adresses MAC sur une interface Ethernet individuelle, incluez l’instruction au niveau de la mac-learn-enable[edit interfaces interface-name gigether-options ethernet-switch-profile] hiérarchie :
[edit interfaces interface-name gigether-options ethernet-switch-profile] mac-learn-enable;
Pour configurer la comptabilisation des adresses MAC sur une interface Ethernet agrégée, incluez l’instruction au mac-learn-enable niveau de la [edit interfaces aex aggregated-ether-options ethernet-switch-profile] hiérarchie :
[edit interfaces aex aggregated-ether-options ethernet-switch-profile] mac-learn-enable;
Pour interdire à une interface d’apprendre dynamiquement les adresses MAC source et de destination, n’incluez pas l’instruction mac-learn-enable .
Pour désactiver l’apprentissage dynamique des adresses MAC source et de destination une fois qu’il a été configuré, vous devez supprimer mac-learn-enable de la configuration.
Les MPC prennent en charge la comptabilisation des adresses MAC pour une interface individuelle ou une liaison membre d’interface Ethernet agrégée uniquement après que l’interface a reçu du trafic de la source MAC. Si le trafic ne fait que quitter une interface, l’adresse MAC n’est pas apprise et la comptabilisation des adresses MAC ne se produit pas.