Sur cette page
Adresses MAC
Présentation de la sous-couche de couche 2 MAC (Media Access Control)
Cette rubrique présente la sous-couche MAC de la couche liaison de données (couche 2).
Dans la couche 2 d’un réseau, la sous-couche MAC (Media Access Control) fournit des mécanismes d’adressage et de contrôle d’accès aux canaux qui permettent à plusieurs terminaux ou nœuds de réseau de communiquer dans un réseau.
La sous-couche MAC sert d’interface entre la sous-couche Ethernet LLC (Logical Link Control) et la couche 1 (la couche physique). La sous-couche MAC émule un canal de communication logique en duplex intégral dans un réseau multipoint. Ce canal peut fournir un service de communication unicast, multicast ou de diffusion. La sous-couche MAC utilise les protocoles MAC pour éviter les collisions.
Dans la couche 2, plusieurs périphériques sur la même liaison physique peuvent s’identifier de manière unique au niveau de la couche de liaison de données, en utilisant les adresses MAC attribuées à tous les ports d’un commutateur. Un algorithme MAC accepte en entrée une clé secrète et un message de longueur arbitraire à authentifier, et génère une adresse MAC.
Une adresse MAC est un nombre hexadécimal à 12 chiffres (48 bits de long). Les adresses MAC sont généralement écrites dans l’un des formats suivants :
MM :MM :MM :SS :SS :SS
MM-MM-MM-SS-SS-SS
La première moitié d’une adresse MAC contient le numéro d’identification du fabricant de la carte. Ces identifiants sont réglementés par un organisme de normalisation de l’Internet. La seconde moitié d’une adresse MAC représente le numéro de série attribué à la carte par le fabricant.
Comparez l’adressage MAC, qui fonctionne au niveau de la couche 2, avec l’adressage IP, qui fonctionne à la couche 3 (mise en réseau et routage). Une façon de se rappeler la différence est que les adresses MAC s’appliquent à un nœud physique ou virtuel, tandis que les adresses IP s’appliquent à l’implémentation logicielle de ce nœud. Les adresses MAC sont généralement fixées par nœud, tandis que les adresses IP changent lorsque le nœud se déplace d’une partie du réseau à une autre.
Les réseaux IP maintiennent un mappage entre les adresses IP et MAC d’un nœud à l’aide de la table ARP (Address Resolution Protocol). DHCP utilise généralement des adresses MAC pour attribuer des adresses IP aux nuds.
Voir également
Comprendre l’attribution d’adresses MAC sur un commutateur EX Series
Cette rubrique décrit adresse MAC’affectation des interfaces sur les Juniper Networks EX Series Commutateurs Ethernet autonomes. Pour plus d’informations concernant les attributions d’adresses MAC dans un Virtual Chassis, consultez Comprendre l’attribution d’adresses MAC sur un Virtual Chassis.
Les adresses MAC sont utilisées pour identifier les périphériques réseau au niveau de la couche 2. Étant donné que toutes les décisions relatives au trafic de couche 2 sont basées sur l’adresse MAC d’une interface, il est important de comprendre l’attribution des adresses MAC pour comprendre comment le trafic réseau est transféré et reçu par le commutateur. Pour plus d’informations sur la façon dont un réseau utilise les adresses MAC pour transférer et recevoir du trafic, reportez-vous à la section Présentation du pontage et des VLAN sur les commutateurs.
Une adresse MAC comprend six groupes de deux chiffres hexadécimaux, chaque groupe étant séparé du groupe suivant par un deux-points, par exemple, aa :bb :cc :dd :ee :00. Les cinq premiers groupes de chiffres hexadécimaux sont dérivés du commutateur et sont identiques pour toutes les interfaces du commutateur.
L’attribution d’une adresse MAC unique à chaque interface réseau permet de garantir que les fonctions qui nécessitent une différenciation d’adresse MAC, telles que les RTG (Redundant Trunk Groups), le protocole LACP (Link Aggregation Control Protocol) et les fonctions générales de surveillance, peuvent fonctionner correctement.
Sur les commutateurs qui utilisent des cartes d’interface, ce schéma d’adressage MAC différencie les interfaces de couche 2 sur les différentes cartes d’interface du commutateur.
Pour les commutateurs EX Series, les cinq premiers groupes de chiffres hexadécimaux sont déterminés lors de la fabrication du commutateur. Le commutateur attribue ensuite une adresse MAC unique à chaque interface en attribuant un identifiant unique comme dernier groupe de chiffres hexadécimaux. L’affectation dépend de la configuration de l’interface. Le commutateur utilise un modèle différent pour faire la distinction entre une interface configurée en tant qu’interface VLAN routée (RVI), une interface Ethernet de gestion virtuelle (VME) ou une interface Ethernet agrégée, ou qui n’est pas configurée en tant qu’interface RVI, VME ou Ethernet agrégée.
Pour les interfaces Ethernet agrégées, l’attribution de l’adresse MAC reste constante, que la configuration de l’interface soit de couche 2 ou de couche 3.
Dans Junos OS version 11.3 et versions ultérieures à 12.1, l’attribution d’adresse MAC pour les interfaces Ethernet agrégées change si l’interface passe de la couche 2 à la couche 3 ou inversement. À partir de Junos version 12.2, l’attribution d’adresse MAC pour les interfaces Ethernet agrégées reste constante, que l’interface soit de couche 2 ou de couche 3.
Avant Junos OS version 11.3, les adresses MAC des interfaces de couche 2 pouvaient être partagées entre les interfaces et les RVI sur différentes cartes de ligne du même commutateur. Toutefois, si vous effectuez une mise à niveau de Junos OS version 11.2 ou antérieure vers Junos OS version 11.3 ou ultérieure sur un commutateur prenant en charge les cartes de ligne, les adresses MAC de ces interfaces seront modifiées.
Les adresses MAC sont attribuées automatiquement aux interfaces : aucune configuration utilisateur n’est possible ou requise. Vous pouvez afficher les adresses MAC attribuées aux interfaces à l’aide de la show interfaces
commande.
Voir également
Configuration des paramètres de déplacement MAC
Lorsqu’une adresse MAC apparaît sur une interface physique différente ou dans une unité différente de la même interface physique et que ce comportement se produit fréquemment, il est considéré comme un déplacement MAC. Vous pouvez configurer le routeur pour signaler un déplacement d’adresse MAC en fonction des paramètres suivants : le nombre de fois qu’un déplacement d’adresse MAC se produit, une période de temps spécifiée au cours de laquelle le déplacement d’adresse MAC se produit et le nombre spécifié de fois qu’un déplacement d’adresse MAC se produit en une seconde. Vous ne pouvez configurer l’instruction qu’au global-mac-move
niveau de la hiérarchie globale.
Pour désactiver globalement la fonction d’action de déplacement MAC, incluez l’instruction disable-action
.[edit protocols l2-learning global-mac-move]
Cela désactive la fonction d’action de déplacement MAC, tandis que la détection de déplacement MAC existe.
Pour configurer la durée après laquelle le port sera débloqué, incluez l’instruction à l’adresse reopen-time
[edit protocols l2-learning global-mac-move]
. Le minuteur de réouverture par défaut est de 180 secondes.
Pour configurer les rapports de déplacement d’adresse MAC si l’adresse MAC se déplace au moins un nombre spécifié de fois en une seconde, incluez l’instruction threshold-time
au niveau de la [edit protocols l2-learning global-mac-move]
hiérarchie. Le temps de seuil par défaut est de 1 seconde.
Pour configurer la création de rapports sur un déplacement d’adresse MAC si l’adresse MAC se déplace pendant une période spécifiée, incluez l’instruction notification-time
au niveau de la [edit protocols l2-learning global-mac-move]
hiérarchie. Le minuteur de notification par défaut est de 1 seconde.
Pour configurer la création de rapports sur un déplacement d’adresse MAC si l’adresse MAC se déplace un nombre spécifié de fois, incluez l’instruction threshold-count
au niveau de la [edit protocols l2-learning global-mac-move]
hiérarchie. Le nombre de seuils par défaut est de 50 coups.
Utilisez la commande pour afficher les actions résultant de la show l2-learning mac-move-buffer
fonction de déplacement d’adresse MAC.
Utilisez la commande pour afficher l’ensemble des IFL bloqués à la show l2-learning mac-move-buffer active
suite d’une action de déplacement MAC.
Utilisez la exclusive-mac
commande exclure une adresse MAC de l’algorithme de limite de déplacement MAC, empêchant ainsi le suivi d’une adresse MAC.
Utilisez la commande pour débloquer les IFBD qui ont été bloqués par la clear l2-learning mac-move-buffer active
fonction d’action de déplacement MAC. Cela permet à l’utilisateur de maintenir le configuré à une valeur élevée, mais lorsque l’erreur de bouclage est corrigée, l’utilisateur peut libérer manuellement le reopen-time
blocage.
L’exemple suivant définit le temps de notification pour les mouvements MAC sur 1 seconde, le temps de seuil sur 1 seconde, le temps de réouverture sur 180 secondes et le nombre de seuils sur 50 mouvements.
[edit protocols l2-learning] global-mac-move { notification-time 1; reopen-time 180; threshold-count 50; threshold-time 1; }
Configuration de la limitation MAC (ELS)
Cette rubrique décrit les différentes façons de configurer une limitation des adresses MAC dans les paquets reçus et transférés par le périphérique.
Les tâches présentées dans cette section utilisent Junos OS pour EX Series commutateurs, les commutateurs QFX3500 et QFX3600 et les routeurs PTX Series qui prennent en charge le style de configuration ELS (Enhanced L2 Software). Pour plus d’informations sur les configurations ELS, reportez-vous à la section Utilisation de l’interface de ligne de commande logicielle de couche 2 améliorée .
-
Pour plus d’informations sur la configuration d’une interface pour qu’elle se remette automatiquement d’un arrêt causé par une limitation MAC, reportez-vous à la section Configuration de la récupération automatique pour les événements de sécurité de port. Si vous ne configurez pas l’appareil pour la récupération automatique à partir de la condition désactivée, vous pouvez afficher les interfaces désactivées en exécutant la
clear ethernet-switching recovery-timeout
commande.
Les différentes façons de définir une limite MAC sont décrites dans les sections suivantes :
- Limitation du nombre d’adresses MAC apprises par une interface
- Limitation du nombre d’adresses MAC apprises par un VLAN
- Limitation du nombre d’adresses MAC apprises par une interface dans un VLAN
Limitation du nombre d’adresses MAC apprises par une interface
Sur les routeurs PTX Series, vous pouvez limiter le nombre d’adresses MAC apprises par une interface uniquement.
Pour sécuriser un port, vous pouvez définir le nombre maximal d’adresses MAC pouvant être apprises par une interface.
[edit switch-options] user@switch# set interface interface-name interface-mac-limit limit packet-action action
[edit routing-instances] user@switch# set routing-instance-name switch-options interface interface-name interface-mac-limit limit
[edit switch-options] user@switch# set interface-mac-limit limit
[edit routing-instances] user@switch# set routing-instance-name switch-options interface-mac-limit limit
Une fois que vous avez défini une nouvelle limite MAC pour l’interface, le système efface les entrées existantes dans le adresse MAC table de transfert associé à l’interface.
Limitation du nombre d’adresses MAC apprises par un VLAN
Pour limiter le nombre d’adresses MAC apprises par un VLAN, effectuez les opérations suivantes :
[edit vlans] user@switch# set vlan-name switch-options mac-table-size limit packet-action action
Limitation du nombre d’adresses MAC apprises par une interface dans un VLAN
Pour limiter le nombre d’adresses MAC apprises par une interface dans un VLAN, effectuez les opérations suivantes :
Ajout d’une entrée d’adresse MAC statique à la table de commutation Ethernet sur un commutateur prenant en charge ELS
Cette tâche utilise Junos OS pour les commutateurs EX Series et Junos OS pour les commutateurs QFX3500 et QFX3600 avec prise en charge du style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Ajout d’une entrée d’adresse MAC statique à la table de commutation Ethernet. Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
La table de commutation Ethernet, également appelée table de transfert, spécifie les emplacements connus des nuds VLAN et les adresses des périphériques au sein de ces nuds. Il existe deux façons de remplir la table de commutation Ethernet sur un commutateur. La méthode la plus simple consiste à laisser le commutateur mettre à jour la table avec les adresses MAC.
La deuxième façon de remplir la table de commutation Ethernet consiste à insérer manuellement des adresses dans la table. Cela permet de réduire le flooding et d’accélérer le processus d’apprentissage automatique du commutateur.
Avant de configurer une adresse MAC statique, assurez-vous que vous avez :
Pour configurer une interface avec une adresse MAC statique :
[edit vlans vlan-name switch-options interface interface-name] user@switch# set static-mac mac-address
Ajout d’une entrée d’adresse MAC statique à la table de commutation Ethernet
Cette tâche utilise Junos OS pour les commutateurs EX Series et Junos OS pour les commutateurs QFX3500 et QFX3600 qui ne prend pas en charge le style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel prenant en charge ELS, reportez-vous à la section Ajout d’une entrée d’adresse MAC statique à la table de commutation Ethernet sur un commutateur prenant en charge ELS. Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
La table de commutation Ethernet, également appelée table de transfert, spécifie les emplacements connus des nuds VLAN. Il existe deux façons de remplir la table de commutation Ethernet sur un commutateur. La méthode la plus simple consiste à laisser le commutateur mettre à jour la table avec les adresses MAC.
La deuxième façon de remplir la table de commutation Ethernet consiste à insérer manuellement un emplacement de nœud VLAN dans la table. Cela permet de réduire le flooding et d’accélérer le processus d’apprentissage automatique du commutateur. Pour optimiser davantage le processus de commutation, indiquez le prochain saut (interface suivante) que les paquets utiliseront après avoir quitté le nœud.
Avant de configurer une adresse MAC statique, assurez-vous que vous avez :
Configurez le VLAN. Reportez-vous à la section Configuration des VLAN pour les commutateurs EX Series ouConfiguration des VLAN sur les commutateurs.Configuration des VLAN pour les commutateurs EX Series
Pour ajouter une adresse MAC à la table de commutation Ethernet :
Spécifiez l’adresse MAC à ajouter au tableau :
[edit ethernet-switching-options] set static vlan vlan-name mac mac-address
Indiquez l’adresse MAC du saut suivant pour les paquets envoyés à l’adresse MAC indiquée :
[edit ethernet-switching-options] set static vlan vlan-name mac mac-address next-hop interface
Exemple : Configuration de l’apprentissage par défaut pour les adresses MAC inconnues
Cet exemple montre comment configurer l’appareil pour qu’il utilise uniquement les requêtes ARP afin d’apprendre les interfaces sortantes pour les adresses MAC de destination inconnues.
Conditions préalables
Avant de commencer, déterminez les adresses MAC et les interfaces associées de la table de transfert. Reportez-vous à la présentation de l’apprentissage et du transfert de couche 2 pour les VLAN.
Présentation
Dans cet exemple, vous configurez l’appareil pour qu’il utilise uniquement des requêtes ARP sans requêtes traceroute.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set security flow ethernet-switching no-packet-flooding no-trace-route
Procédure étape par étape
Pour configurer l’appareil afin qu’il utilise uniquement les requêtes ARP pour apprendre les adresses MAC de destination inconnues :
Activez l’appareil.
[edit] user@host# set security flow ethernet-switching no-packet-flooding no-trace-route
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la show security flow
commande.