Filtrage et comptabilisation des adresses MAC sur les interfaces Ethernet
Pour bloquer tous les paquets entrants à partir d’une adresse MAC spécifique, vous pouvez activer le filtrage d’adresses MAC. Vous pouvez configurer une interface Ethernet pour apprendre de manière dynamique les adresses MAC source ou de destination. Cette rubrique décrit comment activer le filtrage des adresses MAC et comment configurer la comptabilisation des adresses MAC.
Configuration du filtrage d’adresses MAC pour les interfaces Ethernet
Activation du filtrage des adresses source
Sur les interfaces Ethernet agrégées, Fast Ethernet, Gigabit Ethernet, Gigabit Ethernet IQ et les PIC Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i), vous pouvez activer le filtrage d’adresses source pour bloquer tous les paquets entrants à partir d’une adresse MAC spécifique.
Pour activer le filtrage, incluez l’instruction source-filtering aux niveaux hiérarchiques suivants :
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]Remarque :Lorsque vous intégrez un routeur T640 autonome dans une matrice de routage, les adresses MAC du routeur T640 intégré sont dérivées d’un pool d’adresses MAC maintenu par le routeur TX Matrix. Pour chaque adresse MAC que vous spécifiez dans la configuration d’un routeur T640 autonome, vous devez spécifier la même adresse MAC dans la configuration du routeur TX Matrix.
De même, lorsque vous intégrez un routeur T1600 ou T4000 dans une matrice de routage, les adresses MAC PIC du routeur T1600 ou T4000 intégré sont dérivées d’un pool d’adresses MAC tenu par le routeur TX Matrix Plus. Pour chaque adresse MAC que vous spécifiez dans la configuration d’un routeur T1600 ou T4000 autonome, vous devez spécifier la même adresse MAC dans la configuration du routeur TX Matrix Plus.
Lorsque le filtrage d’adresse source est activé, vous pouvez configurer l’interface pour recevoir des paquets provenant d’adresses MAC spécifiques. Pour ce faire, spécifiez les adresses MAC dans l’instruction source-address-filter mac-address aux niveaux hiérarchiques suivants :
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]
Vous pouvez spécifier l’adresse MAC sous forme nn:nn:nn:nn:nn:nn ou nnnn .nnnn.nnnn, où n est un nombre hexadécimal. Vous pouvez configurer jusqu’à 64 adresses source. Pour spécifier plusieurs adresses, ajoutez-la source-address-filter plusieurs fois.
L’instruction source-address-filter n’est pas prise en charge sur les PIC Gigabit Ethernet IQ et Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet 10 ports et du port Gigabit Ethernet intégré du routeur M7i) ; incluez plutôt l’instruction accept-source-mac . Pour plus d’informations, voir Configuration des mécanismes de contrôle Gigabit Ethernet.
Si la carte Ethernet à distance est modifiée, elle ne peut pas recevoir de paquets de la nouvelle carte car elle a une adresse MAC différente.
Le filtrage des adresses source ne fonctionne pas lorsque le protocole LACP (Link Aggregation Control Protocol) est activé. Ce comportement ne s’applique pas aux routeurs T Series et aux routeurs de transport de paquets PTX Series. Pour plus d’informations sur le LACP, consultez Interfaces Ethernet agrégées.
Sur les interfaces Gigabit Ethernet non établies, vous ne devez pas configurer simultanément l’instruction source-address-filter au niveau de la [edit interfaces ge-fpc/pic/port gigether-options] hiérarchie et celle accept-source-mac au niveau de la [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] hiérarchie. Si ces instructions sont configurées simultanément pour les mêmes interfaces, un message d’erreur s’affiche.
Sur les interfaces Gigabit Ethernet balisées, vous ne devez pas configurer l’instruction source-address-filter au niveau de [modifier la hiérarchie des interfaces [edit interfaces ge-fpc/pic/port gigether-options] et l’instruction accept-source-mac au niveau de la [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] hiérarchie avec une adresse MAC identique spécifiée dans les deux filtres. Si ces instructions sont configurées pour les mêmes interfaces avec une adresse MAC identique spécifiée, un message d’erreur s’affiche.
L’instruction source-address-filter n’est pas prise en charge sur les routeurs MX Series avec MPC4E (numéros de modèle : MPC4E-3D-32XGE-SFPP et MPC4E-3D-2CGE-8XGE) ; incluez plutôt l’énoncé accept-source-mac . Pour plus d’informations, voir Configuration des mécanismes de contrôle Gigabit Ethernet.
Configuration du filtrage des adresses MAC sur les routeurs de transport de paquets PTX Series
Cette rubrique explique comment configurer le filtrage MAC sur les routeurs de transport de paquets PTX Series. Le filtrage MAC vous permet de spécifier les adresses MAC à partir desquelles l’interface Ethernet peut recevoir des paquets.
La prise en charge du filtrage MAC sur les routeurs de transport de paquets PTX Series inclut :
Filtrage des adresses source et de destination MAC pour chaque port.
Filtrage d’adresse source MAC pour chaque interface physique.
Filtrage d’adresse source MAC pour chaque interface logique.
Lorsque vous filtrez les interfaces logiques et physiques, vous pouvez spécifier jusqu’à 1 000 adresses source MAC par port.
Pour configurer le filtrage d’adresses source MAC pour une interface physique, incluez les instructions et source-address-filter les source-filtering instructions au niveau de la [edit interfaces et-fpc/pic/port gigether-options] hiérarchie :
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
source-address-filter {
mac-address;
}
}
}
L’instruction source-address-filter configure les adresses source MAC filtrées. L’interface physique spécifiée supprime tous les paquets des adresses source MAC que vous spécifiez. Vous pouvez spécifier l’adresse MAC comme nn:nn:nn:nn:nn:nn étant n un chiffre décimal. Pour spécifier plusieurs adresses, ajoutez plusieurs mac-address options dans l’instruction source-address-filter .
Pour configurer le filtrage d’adresse source MAC pour une interface logique, incluez l’instruction accept-source-mac au niveau de la [edit interfaces et-fpc/pic/port unit logical-unit-number] hiérarchie :
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
}
unit logical-unit-number {
accept-source-mac {
mac-address mac-address;
}
}
}
L’instruction accept-source-mac configure les adresses source MAC acceptées sur l’interface logique. Vous pouvez spécifier l’adresse MAC comme nn:nn:nn:nn:nn:nn étant n un chiffre décimal. Pour spécifier plusieurs adresses, ajoutez plusieurs mac-address mac-address options dans l’instruction accept-source-mac .
Une fois le filtre d’interface configuré, une entrée de comptabilisation est associée au filtre d’adresse MAC. Les compteurs s’accumulent s’il y a des paquets avec des adresses source MAC équivalentes. Vous pouvez utiliser la show interfaces mac-database commande CLI de Junos OS pour afficher le nombre d’adresses.
Voir également
Configuration de la comptabilisation des adresses MAC
Pour les PIC Gigabit Ethernet IQ et Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i), pour les DPC Gigabit Ethernet sur les routeurs MX Series, pour pic 100 Gigabit Ethernet de type 5 avec CFP, et pour MPC3E, MPC4E, MPC5E, MPC5EQ et MPC6E MPC, vous pouvez configurer si les adresses MAC source et de destination sont apprises de manière dynamique.
Pour configurer la comptabilisation des adresses MAC sur une interface Ethernet individuelle, incluez l’instruction mac-learn-enable au niveau de la [edit interfaces interface-name gigether-options ethernet-switch-profile] hiérarchie :
[edit interfaces interface-name gigether-options ethernet-switch-profile] mac-learn-enable;
Pour configurer la comptabilisation des adresses MAC sur une interface Ethernet agrégée, incluez l’instruction mac-learn-enable au niveau de la [edit interfaces aex aggregated-ether-options ethernet-switch-profile] hiérarchie :
[edit interfaces aex aggregated-ether-options ethernet-switch-profile] mac-learn-enable;
Pour interdire à une interface d’apprendre dynamiquement les adresses MAC source et de destination, n’incluez pas l’instruction mac-learn-enable .
Pour désactiver l’apprentissage dynamique des adresses MAC source et de destination après sa configuration, vous devez supprimer mac-learn-enable de la configuration.
Les MPC prennent en charge l’adresse MAC pour la comptabilisation d’une interface individuelle ou d’une liaison membre de l’interface Ethernet agrégée uniquement après que l’interface a reçu du trafic de la source MAC. Si le trafic sort uniquement d’une interface, l’adresse MAC n’est pas apprise et la comptabilisation des adresses MAC ne se produit pas.