Filtrage et comptabilisation des adresses MAC sur les interfaces Ethernet
Découvrez comment activer le filtrage des adresses MAC et comment configurer la comptabilisation des adresses MAC sur les interfaces Ethernet.
Le filtrage des adresses MAC est une fonctionnalité de sécurité qui contrôle l’accès au réseau en filtrant les adresses MAC. Pour bloquer tous les paquets entrants à partir d’une adresse MAC spécifique, vous pouvez activer le filtrage des adresses MAC. Vous pouvez configurer une interface Ethernet pour apprendre dynamiquement les adresses MAC source ou de destination.
Configuration du filtrage d’adresses MAC pour les interfaces Ethernet
Activation du filtrage des adresses sources
Sur les interfaces Ethernet agrégées, Fast Ethernet, Gigabit Ethernet, Gigabit Ethernet IQ et Gigabit Ethernet PICs avec SFP (à l’exception du PIC Gigabit Ethernet à 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i), vous pouvez activer le filtrage des adresses source pour bloquer tous les paquets entrants provenant d’une adresse MAC spécifique.
Pour activer le filtrage, incluez l’instruction source-filtering aux niveaux hiérarchiques suivants :
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]REMARQUE :Lorsque vous intégrez un routeur T640 autonome dans une matrice de routage, les adresses MAC (Media Access Control) PIC du routeur T640 intégré sont dérivées d’un pool d’adresses MAC géré par le routeur TX Matrix. Pour chaque adresse MAC que vous spécifiez dans la configuration d’un ancien routeur T640 autonome, vous devez spécifier la même adresse MAC dans la configuration du routeur TX Matrix.
De même, lorsque vous intégrez un routeur T1600 ou T4000 dans une matrice de routage, les adresses MAC PIC du routeur T1600 ou T4000 intégré sont dérivées d’un pool d’adresses MAC géré par le routeur TX Matrix Plus. Pour chaque adresse MAC que vous spécifiez dans la configuration d’un ancien routeur autonome T1600 ou T4000, vous devez spécifier la même adresse MAC dans la configuration du routeur TX Matrix Plus.
Lorsque le filtrage des adresses source est activé, vous pouvez configurer l’interface pour qu’elle reçoive des paquets provenant d’adresses MAC spécifiques. Pour ce faire, spécifiez les adresses MAC dans l’instruction source-address-filter mac-address aux niveaux hiérarchiques suivants :
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]
Vous pouvez spécifier l’adresse MAC sous la forme nn:nn:nn:nn:nn:nn ou nnnn .nnnn.nnnn, où n est un nombre hexadécimal. Vous pouvez configurer jusqu’à 64 adresses source. Pour spécifier plusieurs adresses, incluez l’instruction source-address-filter plusieurs fois.
L’instruction source-address-filter n’est pas prise en charge sur les PIC Gigabit Ethernet IQ et Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet à 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i) ; incluez plutôt l’instruction accept-source-mac . Pour plus d’informations, reportez-vous à la section Configuration des mécanismes de contrôle Gigabit Ethernet.
Si la carte Ethernet distante est changée, l’interface ne peut pas recevoir de paquets de la nouvelle carte car elle a une adresse MAC différente.
Le filtrage des adresses sources ne fonctionne pas lorsque le protocole LACP (Link Aggregation Control Protocol) est activé. Ce comportement ne s’applique pas aux routeurs et aux PTX Series Routeurs de transport de paquets de la série T. Pour plus d’informations sur LACP, reportez-vous à la section Interfaces Ethernet agrégées.
Sur les interfaces Gigabit Ethernet non balisées, vous ne devez pas configurer simultanément l’instruction au niveau de la hiérarchie et l’instruction source-address-filteraccept-source-mac au niveau de la [edit interfaces ge-fpc/pic/port gigether-options][edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] hiérarchie. Si ces instructions sont configurées pour les mêmes interfaces en même temps, un message d’erreur s’affiche.
Sur les interfaces Gigabit Ethernet balisées, vous ne devez pas configurer l’instruction au niveau de la hiérarchie [modifier les interfaces [edit interfaces ge-fpc/pic/port gigether-options] et l’instruction source-address-filteraccept-source-mac au niveau de la [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] hiérarchie avec une adresse MAC identique spécifiée dans les deux filtres. Si ces instructions sont configurées pour les mêmes interfaces avec une adresse MAC identique spécifiée, un message d’erreur s’affiche.
L’instruction source-address-filter n’est pas prise en charge sur les routeurs MX Series avec MPC4E (numéros de modèle : MPC4E-3D-32XGE-SFPP et MPC4E-3D-2CGE-8XGE) ; Au lieu de cela, incluez l’instruction accept-source-mac . Pour plus d’informations, reportez-vous à la section Configuration des mécanismes de contrôle Gigabit Ethernet.
Configuration de la comptabilisation des adresses MAC
Pour les PIC Gigabit Ethernet IQ et Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet à 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i), pour les DPC Gigabit Ethernet sur les routeurs MX Series, pour les PIC 100 Gigabit Ethernet Type 5 avec CFP et pour les MPC MPC3E, MPC4E, MPC5E, MPC5EQ et MPC6E, vous pouvez configurer l’apprentissage dynamique des adresses MAC source et de destination.
Pour configurer la comptabilisation des adresses MAC sur une interface Ethernet individuelle, incluez l’instruction au niveau de la mac-learn-enable[edit interfaces interface-name gigether-options ethernet-switch-profile] hiérarchie :
[edit interfaces interface-name gigether-options ethernet-switch-profile] mac-learn-enable;
Pour configurer la comptabilisation des adresses MAC sur une interface Ethernet agrégée, incluez l’instruction au mac-learn-enable niveau de la [edit interfaces aex aggregated-ether-options ethernet-switch-profile] hiérarchie :
[edit interfaces aex aggregated-ether-options ethernet-switch-profile] mac-learn-enable;
Pour interdire à une interface d’apprendre dynamiquement les adresses MAC source et de destination, n’incluez pas l’instruction mac-learn-enable .
Pour désactiver l’apprentissage dynamique des adresses MAC source et de destination une fois qu’il a été configuré, vous devez supprimer mac-learn-enable de la configuration.
Les MPC prennent en charge la comptabilisation des adresses MAC pour une interface individuelle ou une liaison membre d’interface Ethernet agrégée uniquement après que l’interface a reçu du trafic de la source MAC. Si le trafic ne fait que quitter une interface, l’adresse MAC n’est pas apprise et la comptabilisation des adresses MAC ne se produit pas.