Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Adresses MAC

Introduction au sous-jacent de couche 2 Media Access Control (MAC)

Cette rubrique présente la sous-couche MAC de la couche de liaison de données (couche 2).

Dans la couche 2 d’un réseau, la sous-couche MAC (Media Access Control) fournit des mécanismes de contrôle d’accès aux canaux et à l’adressage qui permettent à plusieurs terminaux ou nœuds réseau de communiquer dans un réseau.

Le sous-jacent MAC agit comme une interface entre le sous-jacent Ethernet de contrôle de liaison logique (LLC) et la couche 1 (la couche physique). Le sous-couche MAC émule un canal de communication logique duplex intégral dans un réseau multipoint. Ce canal peut fournir un service de communication unicast, multicast ou de diffusion. Le sous-jacent MAC utilise des protocoles MAC pour empêcher les collisions.

Dans la couche 2, plusieurs équipements d’une même liaison physique peuvent s’identifier au niveau de la couche de liaison de données de manière unique, à l’aide des adresses MAC attribuées à tous les ports d’un commutateur. Un algorithme MAC accepte comme entrée une clé secrète et un message arbitraire à authentifier, et génère une adresse MAC.

Une adresse MAC est un nombre hexadécimal à 12 chiffres (48 bits de long). Les adresses MAC sont généralement écrites dans l’un des formats suivants :

  • MM:MM:MM:SS:SS:SS

  • MM-MM-MM-SS-SS-SS

La première moitié d’une adresse MAC contient le numéro d’ID du fabricant de l’adaptateur. Ces ID sont règlementés par un organisme de normalisation Internet. La deuxième moitié d’une adresse MAC représente le numéro de série attribué à l’adaptateur par le fabricant.

L’adressage MAC de contraste, qui fonctionne sur la couche 2, avec l’adressage IP, qui s’exécute sur la couche 3 (mise en réseau et routage). Une façon de se rappeler la différence est que les adresses MAC s’appliquent à un nœud physique ou virtuel, alors que les adresses IP s’appliquent à l’implémentation logicielle de ce nœud. Les adresses MAC sont généralement fixes par nœud, tandis que les adresses IP changent lorsque le nœud passe d’une partie du réseau à une autre.

Les réseaux IP entretiennent un mappage entre les adresses IP et MAC d’un nœud à l’aide de la table ARP (Address Resolution Protocol). Dhcp utilise également généralement des adresses MAC pour l’attribution d’adresses IP à des nœuds.

Comprendre l’attribution d’adresses MAC sur un commutateur EX Series

Cette rubrique décrit l’attribution d’adresses MAC pour les interfaces sur les commutateurs Ethernet EX Series de Juniper Networks autonomes. Pour plus d’informations sur les attributions d’adresses MAC dans un virtual Chassis, consultez Understanding MAC Address Assignment on a Virtual Chassis.

Les adresses MAC sont utilisées pour identifier les équipements réseau au niveau de la couche 2. Étant donné que toutes les décisions relatives au trafic de couche 2 sont basées sur l’adresse MAC d’une interface, il est important de bien comprendre comment le trafic réseau est transféré et reçu par le commutateur. Pour plus d’informations sur la manière dont un réseau utilise les adresses MAC pour transférer et recevoir le trafic, consultez Understanding Bridging and VLANs on Switches.

Une adresse MAC comprend six groupes de deux chiffres hexadécimaux, chaque groupe étant séparé du groupe suivant par un colon, par exemple aa:bb:cc:dd:ee:00. Les cinq premiers groupes de chiffres hexadécimaux sont dérivés du commutateur et sont les mêmes pour toutes les interfaces du commutateur.

L’attribution d’une adresse MAC unique à chaque interface réseau permet de s’assurer que les fonctions qui nécessitent une différenciation des adresses MAC, telles que les rtg (Redundant Trunk Groups), le protocole LACP (Link Aggregation Control Protocol) et les fonctions générales de surveillance, peuvent fonctionner correctement.

Sur les commutateurs qui utilisent des cartes d’interfaces, ce schéma d’adressage MAC différencie les interfaces de couche 2 sur les différentes cartes d’interfaces du commutateur.

Pour les commutateurs EX Series, les cinq premiers groupes de chiffres hexadécimaux sont déterminés lors de la fabrication du commutateur. Le commutateur attribue ensuite une adresse MAC unique à chaque interface en affectant un identifiant unique comme dernier groupe de chiffres hexadécimaux. L’attribution dépend de la façon dont l’interface est configurée. Le commutateur utilise un modèle différent pour distinguer une interface configurée comme n’importe quelle interface VLAN routée (RVI), une interface VME (Virtual Management Ethernet) ou une interface Ethernet agrégée, ou qui n’est pas configurée comme un RVI, un VME ou comme une interface Ethernet agrégée.

Pour les interfaces Ethernet agrégées, l’attribution de l’adresse MAC reste constante, que la configuration de l’interface soit de couche 2 ou 3.

Remarque :

Dans Junos OS version 11.3 et versions ultérieures jusqu’à la version 12.1, l’attribution d’adresse MAC pour les interfaces Ethernet agrégées change si l’interface passe de la couche 2 à la couche 3 ou à l’inverse. À partir de Junos Version 12.2, l’attribution d’adresse MAC pour les interfaces Ethernet agrégées reste constante, que l’interface soit de couche 2 ou 3.

Remarque :

Avant junos OS version 11.3, les adresses MAC pour les interfaces de couche 2 pouvaient être partagées entre les interfaces et les RVIs sur différentes cartes de ligne dans le même commutateur. Toutefois, si vous passez de Junos OS version 11.2 ou antérieure à Junos OS Version 11.3 ou ultérieure sur un commutateur prenant en charge les cartes d’interfaces, les adresses MAC de ces interfaces changeront.

Les adresses MAC sont automatiquement attribuées aux interfaces, aucune configuration utilisateur n’est possible ou requise. Vous pouvez afficher les adresses MAC attribuées aux interfaces à l’aide de la show interfaces commande.

Configuration des paramètres de déplacement MAC

Lorsqu’une adresse MAC apparaît sur une interface physique différente ou au sein d’une unité différente de la même interface physique et que ce comportement se produit fréquemment, elle est considérée comme un déplacement MAC. Vous pouvez configurer le routeur pour signaler un déplacement d’adresse MAC en fonction des paramètres suivants : le nombre de fois qu’un déplacement d’adresse MAC se produit, une période spécifiée au-dessus de laquelle le déplacement d’adresse MAC se produit et le nombre spécifié de fois qu’un déplacement d’adresse MAC se produit en une seconde. Vous pouvez uniquement configurer l’instruction global-mac-move au niveau de la hiérarchie globale.

Pour désactiver globalement l’action de déplacement MAC, incluez l’instruction disable-action à la adresse [edit protocols l2-learning global-mac-move]. Cela désactive la fonction d’action de déplacement MAC, tandis que la détection des déplacements MAC existe.

Pour configurer la durée après laquelle le port sera débloqué, incluez l’instruction reopen-time à la page [edit protocols l2-learning global-mac-move]. Le minuteur de réouverture par défaut est 180 secondes.

Pour configurer le rapport de déplacement d’adresse MAC si l’adresse MAC se déplace au moins un nombre spécifié de fois en une seconde, incluez l’instruction threshold-time au niveau de la [edit protocols l2-learning global-mac-move] hiérarchie. Le temps de seuil par défaut est de 1 seconde.

Pour configurer le reporting d’un déplacement d’adresse MAC si l’adresse MAC se déplace pendant une période de temps spécifiée, incluez l’instruction notification-time au niveau de la [edit protocols l2-learning global-mac-move] hiérarchie. Le minuteur de notification par défaut est de 1 seconde.

Pour configurer la génération de rapports concernant le déplacement d’une adresse MAC si l’adresse MAC déplace un nombre de fois spécifié, incluez l’instruction threshold-count au niveau de la [edit protocols l2-learning global-mac-move] hiérarchie. Le nombre de seuils par défaut est de 50 déplacements.

Utilisez la show l2-learning mac-move-buffer commande pour afficher les actions résultant de la fonctionnalité de déplacement d’adresse MAC.

Utilisez la show l2-learning mac-move-buffer active commande pour afficher l’ensemble des IFL bloqués suite à une action de déplacement MAC.

Utilisez la exclusive-mac commande exclure une adresse MAC de l’algorithme de limite de déplacement MAC, empêchant ainsi le suivi d’une adresse MAC.

Utilisez la clear l2-learning mac-move-buffer active commande pour débloquer les IFBD qui étaient bloqués par la fonctionnalité d’action de déplacement MAC. Cela permet à l’utilisateur de conserver la reopen-time valeur configurée à grande valeur, mais lorsque l’erreur de boucle est corrigée, l’utilisateur peut relâcher manuellement le blocage.

L’exemple suivant définit le temps de notification pour le passage de l’ADRESSE MAC à 1 seconde, le temps de seuil à 1 seconde, le temps de réouverture à 180 secondes et le nombre de seuils à 50 déplacements.

Configuration de la limitation MAC (ELS)

Cette rubrique décrit différentes méthodes de configuration d’une limitation des adresses MAC dans les paquets reçus et transmis par le commutateur.

Remarque :

Les tâches présentées dans la première section utilisent Junos OS pour les commutateurs EX Series et les commutateurs QFX3500 et QFX3600 avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Pour plus d’informations sur les configurations ELS, reportez-vous à l’interface CLI du logiciel de couche 2 améliorée .

Les différentes méthodes de définition d’une limite MAC sont décrites dans les sections suivantes :

Limitation du nombre d’adresses MAC apprises par une interface

Pour sécuriser un port, vous pouvez définir le nombre maximum d’adresses MAC pouvant être apprises par une interface :

Définissez la limite MAC sur une interface et spécifiez une action que le commutateur prend après le dépassement de la limite spécifiée :

Une fois que vous avez défini une nouvelle limite MAC pour l’interface, le système efface les entrées existantes dans la table de transfert d’adresses MAC associée à l’interface.

Limitation du nombre d’adresses MAC apprises par un VLAN

Pour limiter le nombre d’adresses MAC apprises par un VLAN, procédez aux deux étapes suivantes :

  1. Définissez le nombre maximum d’adresses MAC pouvant être apprises par un VLAN et spécifiez une action prise par le commutateur après le dépassement de la limite spécifiée :
  2. Définissez le nombre maximum d’adresses MAC pouvant être apprises par une ou toutes les interfaces du VLAN, et spécifiez une action que le commutateur prend après le dépassement de la limite spécifiée :
    Remarque :

    Si vous spécifiez une limite MAC et une action de paquet pour toutes les interfaces du VLAN et une interface spécifique dans le VLAN, la limite MAC et l’action de paquets spécifiées au niveau d’interface spécifique sont prioritaires. De plus, au niveau de l’interface VLAN, seules les options et drop-and-log les drop options sont prises en charge.

    Après avoir défini de nouvelles limites MAC pour un VLAN à l’aide de l’instruction mac-table-size ou des interfaces associées à un VLAN à l’aide de l’instruction interface-mac-limit , le système efface les entrées existantes correspondantes dans la table de transfert d’adresses MAC.

    Remarque :

    Sur un châssis virtuel QFX Series, si vous incluez l’option shutdown au niveau de la [edit vlans vlan-name switch-options interface interface-name interface-mac-limit packet-action] hiérarchie et que vous émettez l’opération commit , le système génère une erreur de validation. Le système ne génère pas d’erreur si vous ajoutez l’option shutdown au niveau de la [edit switch-options interface interface-name interface-mac-limit packet-action] hiérarchie.

Ajout d’une entrée d’adresse MAC statique à la table de commutation Ethernet sur un commutateur avec prise en charge ELS

Remarque :

Cette tâche utilise Junos OS pour les commutateurs EX Series et Junos OS pour les commutateurs QFX3500 et QFX3600 avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la rubrique Ajout d’une entrée d’adresse MAC statique au tableau de commutation Ethernet. Pour plus de détails sur ELS, reportez-vous à l’interface CLI du logiciel de couche 2 améliorée.

La table de commutation Ethernet, également appelée table de transfert, spécifie les emplacements connus des nœuds VLAN et les adresses des équipements au sein de ces nœuds. Il existe deux façons de peupler la table de commutation Ethernet sur un commutateur. La méthode la plus simple consiste à laisser le commutateur mettre à jour la table avec des adresses MAC.

La deuxième façon de remplir la table de commutation Ethernet est d’insérer manuellement des adresses dans la table. Vous pouvez le faire pour réduire les inondations et accélérer le processus d’apprentissage automatique du commutateur.

Avant de configurer une adresse MAC statique, assurez-vous d’avoir :

Pour configurer une interface avec une adresse MAC statique :

Ajout d’une entrée d’adresse MAC statique à la table de commutation Ethernet

Remarque :

Cette tâche utilise Junos OS pour les commutateurs EX Series et Junos OS pour les commutateurs QFX3500 et QFX3600 qui ne prend pas en charge le style de configuration ELS (Enhanced Layer 2 Software). Si votre commutateur exécute un logiciel prenant en charge ELS, reportez-vous à la rubrique Ajout d’une entrée d’adresse MAC statique au tableau de commutation Ethernet sur un commutateur avec prise en charge ELS. Pour plus de détails sur ELS, reportez-vous à l’interface CLI du logiciel de couche 2 améliorée.

La table de commutation Ethernet, également appelée table de transfert, spécifie les emplacements connus des nœuds VLAN. Il existe deux façons de peupler la table de commutation Ethernet sur un commutateur. La méthode la plus simple consiste à laisser le commutateur mettre à jour la table avec des adresses MAC.

La deuxième façon de remplir la table de commutation Ethernet est d’insérer manuellement un emplacement de nœud VLAN dans la table. Vous pouvez le faire pour réduire les inondations et accélérer le processus d’apprentissage automatique du commutateur. Pour optimiser davantage le processus de commutation, indiquez que les paquets du saut suivant (l’interface suivante) seront utilisés après avoir quitté le nœud.

Avant de configurer une adresse MAC statique, assurez-vous d’avoir :

Pour ajouter une adresse MAC à la table de commutation Ethernet :

  1. Indiquez l’adresse MAC à ajouter à la table :

  2. Indiquez l’adresse MAC du saut suivant pour les paquets envoyés à l’adresse MAC indiquée :

Exemple : Configuration de l’apprentissage par défaut pour les adresses MAC inconnues

Cet exemple montre comment configurer l’équipement pour qu’il utilise uniquement les requêtes ARP afin d’apprendre les interfaces sortantes pour les adresses MAC de destination inconnues.

Conditions préalables

Avant de commencer, déterminez les adresses MAC et les interfaces associées de la table de transfert. Consultez la présentation de l’apprentissage et du transfert de couche 2 pour les réseaux VLAN.

Présentation

Dans cet exemple, vous configurez l’équipement pour qu’il utilise uniquement des requêtes ARP sans requêtes de traceroute.

Configuration

Procédure

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

Pour configurer l’équipement de manière à utiliser uniquement les requêtes ARP pour apprendre les adresses MAC de destination inconnues :

  1. Activez l’unité.

  2. Si vous avez terminé la configuration de l’unité, validez la configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, saisissez la show security flow commande.