Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Adresses MAC

Introduction à la couche 2 du contrôle d’accès au support (MAC) sous-couches

Ce sujet présente la sous-couche MAC de la couche de liaison de données (couche 2).

Dans la couche 2 d’un réseau, la couche 2 du contrôle d’accès au support (MAC) sous-couches fournit des mécanismes d’adressagage et de contrôle d’accès au réseau qui permettent à plusieurs bornes ou à plusieurs nodes réseau de communiquer dans un réseau.

La sous-couche MAC agit comme une interface entre le contrôle de liaison logique (LLC) et la couche 1 (couche physique). La sous-couche MAC émule un canal de communication logique full-duplex dans un réseau multipoint. Ce canal peut fournir un service de communication unicast, multicast ou de diffusion. Le sous-couche MAC utilise des protocoles MAC pour éviter les collisions.

Dans la couche 2, plusieurs équipements d’une même liaison physique peuvent s’identifier de manière unique au niveau de la couche de liaison de données à l’aide des adresses MAC attribuées à tous les ports d’un commutateur. Un algorithme MAC accepte comme entrée une clé secrète et un message de longueur arbitraire pour être authentifié, puis il sortie une adresse MAC.

Une adresse MAC est un chiffre hexadécimaux à 12 chiffres (48 bits de long). Les adresses MAC sont généralement rédigées dans l’un des formats ci-après:

  • MM:MM:MM:SS:SS:SS

  • MM-MM-MM-SS-SS-SS

La première moitié d’une adresse MAC contient le numéro d’ID du fabricant de l’adaptateur. Ces ID sont réglementés par un organisme de normes Internet. La deuxième moitié d’une adresse MAC représente le numéro de série attribué à l’adaptateur par le fabricant.

L’adressace MAC de contraste, qui fonctionne au niveau de la couche 2, avec l’adressace IP, qui s’exécute au niveau de la couche 3 (mise en réseau et routage). Une façon de mémoriser la différence est que les adresses MAC s’appliquent à un nœud physique ou virtuel, alors que les adresses IP s’appliquent à l’implémentation logicielle de ce nœud. Les adresses MAC sont généralement fixes en fonction de chaque nœud, alors que les adresses IP changent lorsque le nœud passe d’une partie du réseau à une autre.

Les réseaux IP conservent une correspondance entre les adresses IP et MAC d’un nœud à l’aide de la table ARP (Address Resolution Protocol). DHCP utilise également généralement des adresses MAC lors de l’attribution d’adresses IP à des noms de noms.

Compréhension de l’attribution d’adresse MAC sur EX Series commutateur

Ce sujet décrit l’attribution d’adresse MAC pour les interfaces sur des Juniper Networks EX Series Commutateurs Ethernet. Pour plus d’informations sur les attributions d’adresses MAC dans un Virtual Chassis,consultez Understanding MAC Address Assignment sur une Virtual Chassis.

Les adresses MAC sont utilisées pour identifier les équipements réseau au niveau de la couche 2. Toutes les décisions relatives au trafic de couche 2 étant basées sur l’adresse MAC d’une interface, il est important de bien comprendre l’attribution d’adresse MAC pour comprendre la manière dont le trafic réseau est transmis et reçu par le commutateur. Pour en savoir plus sur la manière dont un réseau utilise les adresses MAC pour le transfert et la réception du trafic, consultez Understanding Bridging and VLANs on Switches.

Une adresse MAC comprend six groupes de deux digits hexadécimaux, chaque groupe séparé du groupe suivant par un point deux (par exemple, aa:bb:cc:dd:ee:00). Les cinq premiers groupes de digits hexadécimaux sont dérivés du commutateur et sont identiques pour toutes les interfaces du commutateur.

L’attribution d’une adresse MAC unique à chaque interface réseau permet de s’assurer que les fonctions qui nécessitent une différenciation de l’adresse MAC ,telles que les groupes d’agrégation redondants (RTG), le protocole LACP (Link Aggregation Control Protocol) et les fonctions de surveillance générale, peuvent fonctionner correctement.

Sur les commutateurs qui utilisent des cartes d’interfaces, ce schéma d’adressan MAC différencie les interfaces de couche 2 sur les différentes cartes d’interface du commutateur.

Pour EX Series commutateurs, les cinq premiers groupes de numériques hexadécimaux sont déterminés lors de la fabrication du commutateur. Le commutateur affecte ensuite une adresse MAC unique à chaque interface en attribuant un identifiant unique comme dernier groupe de chiffres hexadécimaux. L’attribution dépend de la manière dont l’interface est configurée. Le commutateur utilise un modèle différent pour distinguer une interface configurée comme n’importe quelle interface VLAN acheminée(RVI),une interface Ethernet de gestion virtuelle (VME) ou une interface Ethernet agrégée ou non configurée en tant qu’interface RVI, VME ou Ethernet agrégée.

Pour les interfaces Ethernet agrégées, l’attribution d’adresse MAC reste constante, que la configuration de l’interface soit de couche 2 ou 3.

Remarque :

Dans Junos OS version 11.3 et des versions ultérieures jusqu’à la version 12.1, l’attribution d’adresse MAC pour les interfaces Ethernet agrégées change si l’interface est modifiée de la couche 2 à la couche 3 ou inverse. Depuis la version 12.2 de Junos, l’attribution d’adresse MAC aux interfaces Ethernet agrégées reste constante, que l’interface soit de couche 2 ou 3.

Remarque :

Avant Junos OS version 11.3, les adresses MAC pour les interfaces de couche 2 pouvaient être partagées entre les interfaces et les RV sur différentes cartes d’interfaces du même commutateur. Toutefois, si vous passez de Junos OS Version 11.2 ou antérieure à Junos OS Version 11.3 ou ultérieure sur un commutateur qui prend en charge les cartes d’interfaces, les adresses MAC de ces interfaces changeront.

Les adresses MAC sont attribuées automatiquement aux interfaces, aucune configuration utilisateur n’est possible ou requise. Vous pouvez afficher les adresses MAC attribuées aux interfaces à l’aide de la show interfaces commande.

Configuration des paramètres de déplacement MAC

Lorsqu’une adresse MAC s’affiche sur une autre interface physique ou au sein d’une autre unité d’une même interface physique et que ce comportement se produit fréquemment, elle est considérée comme un déplacement MAC. Vous pouvez configurer le routeur pour signaler un déplacement d’adresse MAC en fonction des paramètres suivants: le nombre de fois qu’un déplacement d’adresse MAC se produit, une période spécifiée sur laquelle le déplacement d’adresse MAC se produit, et un nombre spécifié de fois qu’un déplacement d’adresse MAC se produit en une seconde. Vous pouvez uniquement configurer global-mac-move l’énoncé au niveau de la hiérarchie globale.

Pour désactiver globalement la fonction d’action de déplacement MAC, inclure disable-action l’instruction à la [edit protocols l2-learning global-mac-move] Cette fonction désactive la fonction d’action de déplacement MAC, tandis que la détection des déplacements MAC existe.

Pour configurer la durée d’heure après laquelle le port sera débloqué, inclure reopen-time l’instruction à la [edit protocols l2-learning global-mac-move] Le délai de réouverture par défaut est de 180 secondes.

Pour configurer le rapport sur les déplacements d’adresses MAC si l’adresse MAC se déplace au moins un nombre spécifié de fois en une seconde, inclure l’instruction au niveau threshold-time[edit protocols l2-learning global-mac-move] de la hiérarchie. Le seuil par défaut est de 1 seconde.

Pour configurer la déclaration d’un déplacement d’adresse MAC si l’adresse MAC se déplace pour une période donnée, inclure l’instruction au niveau notification-time[edit protocols l2-learning global-mac-move] de la hiérarchie. Le délai de notification par défaut est de 1 seconde.

Pour configurer la déclaration d’un déplacement d’adresse MAC si l’adresse MAC est déplace un nombre de fois spécifié, inclure l’instruction au threshold-count niveau [edit protocols l2-learning global-mac-move] de la hiérarchie. Le nombre de seuils par défaut est de 50.

Utilisez la commande pour afficher les actions à la suite de la fonction de déplacement show l2-learning mac-move-buffer d’adresse MAC.

Utilisez la show l2-learning mac-move-buffer active commande pour afficher l’ensemble d’IFL bloqués suite à une action de déplacement mac.

Utilisez la commande exclure une adresse MAC de l’algorithme de limitation de déplacement MAC, ce qui empêche une adresse exclusive-mac MAC d’être suivi.

Utilisez la clear l2-learning mac-move-buffer active commande pour débloquer les IFBD bloqués par la fonction d’action de déplacement MAC. Cela permet à l’utilisateur de conserver la configuration à une grande valeur, mais lorsque l’erreur de boucle est fixe, l’utilisateur peut libérer manuellement reopen-time le blocage.

L’exemple suivant définit l’heure de notification pour MAC qui passe à 1 seconde, le délai de seuil à 1 seconde, la réouverture à 180 secondes et le nombre de seuils à 50.

Configuration de la limitation MAC (ELS)

Ce sujet décrit différentes façons de configurer une limitation des adresses MAC dans les paquets reçus et transmis par le commutateur.

Remarque :

Les tâches présentées dans la première section utilisent des Junos OS pour les commutateurs EX Series et les commutateurs QFX3500 et QFX3600 avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Consultez le site Using the Enhanced Layer 2 Software CLI pour plus d’informations sur les configurations ELS.

  • Pour obtenir des informations sur la configuration d’une interface pour Configuring Autorecovery for Port Security Eventsse remettre automatiquement d’une panne causée par la limitation MAC, consultez Configuration de la récupération automatique pour les événements de sécurité des ports Si vous ne configurez pas le commutateur pour la récupération automatique de la condition désactivée, vous pouvez mettre en service les interfaces désactivées en exécutant la clear ethernet-switching recovery-timeout commande.

Les différentes façons de définir une limite MAC sont décrites dans les sections suivantes:

Limitation du nombre d’adresses MAC apprises par une interface

Pour sécuriser un port, vous pouvez définir le nombre maximal d’adresses MAC apprises par une interface:

Définissez la limite MAC sur une interface et spécifiez une action que le commutateur prend après que la limite spécifiée est dépassé:

Une fois que vous avez définissez une nouvelle limite MAC pour l’interface, le système effacera les entrées existantes dans la table de passation d’adresses MAC associées à l’interface.

Limitation du nombre d’adresses MAC apprises par un VLAN

Pour limiter le nombre d’adresses MAC apprises par un VLAN, effectuez les deux étapes suivantes:

  1. Définissez le nombre maximal d’adresses MAC apprises par un VLAN et spécifiez une action que le commutateur prend après avoir dépassé la limite définie:
  2. Définissez le nombre maximal d’adresses MAC qui peuvent être apprises par une ou toutes les interfaces du VLAN, et spécifiez une action que le commutateur prend après que la limite spécifiée est dépassée:
    Remarque :

    Si vous spécifiez une limite MAC et une action de paquet pour toutes les interfaces du VLAN et une interface spécifique dans le VLAN, la limite MAC et l’action de paquets spécifiées au niveau d’interface spécifique ont priorité. Au niveau de l’interface VLAN, seules les options sont également dropdrop-and-log prise en charge.

    Une fois que vous avez définissez de nouvelles limites MAC pour un VLAN à l’aide de l’instruction ou des interfaces associées à un VLAN à l’aide de cette instruction, le système effacera les entrées existantes correspondantes dans la table de passation d’adresses mac-table-sizeinterface-mac-limit MAC.

    Remarque :

    Sur une QFX Series Virtual Chassis, si vous inclut l’option au niveau de la hiérarchie et que l’opération est émise, le système génère shutdown[edit vlans vlan-name switch-options interface interface-name interface-mac-limit packet-action] une erreur de commit validation. Le système ne génère pas d’erreur si vous incluez l’option au shutdown niveau [edit switch-options interface interface-name interface-mac-limit packet-action] de la hiérarchie.

Ajout d’une entrée d’adresse MAC statique à la table de commutation Ethernet sur un commutateur avec prise en charge d’ELS

Remarque :

Cette tâche utilise des Junos OS pour les commutateurs EX Series et des Junos OS pour les commutateurs QFX3500 et QFX3600 avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, consultez l’ajout d’une entrée d’adresse MAC statique à la table de commutation Ethernet. Pour plus de détails sur ELS, consultez la version de l’application Enhanced Layer 2 Software CLI.

La table de commutation Ethernet, également appelée table de transfert, spécifie les emplacements connus des nodes VLAN et les adresses des équipements au sein de ces derniers. Il existe deux façons de remplir la table de commutation Ethernet sur un commutateur. La méthode la plus simple consiste à laisser le commutateur mettre à jour la table avec les adresses MAC.

La seconde façon de remplir la table de commutation Ethernet consiste à insérer manuellement des adresses dans le tableau. Vous pouvez ainsi réduire les risques d’inondage et accélérer le processus d’apprentissage automatique du commutateur.

Avant de configurer une adresse MAC statique, assurez-vous d’avoir:

Pour configurer une interface pour avoir une adresse MAC statique:

Ajout d’une entrée d’adresse MAC statique à la table de commutation Ethernet

Remarque :

Cette tâche s’Junos OS des commutateurs EX Series et des Junos OS pour les commutateurs QFX3500 et QFX3600 qui ne sont pas sous le style de configuration ELS (Enhanced Layer 2 Software). Si votre commutateur exécute un logiciel qui prend en charge ELS, consultez l’ajout d’une entrée d’adresse MAC statique à la table de commutation Ethernet sur un commutateur avec prise en charge ELS. Pour plus de détails sur ELS, consultez la version de l’application Enhanced Layer 2 Software CLI.

La table de commutation Ethernet, également appelée table de transfert, spécifie les emplacements connus de nodes VLAN. Il existe deux façons de remplir la table de commutation Ethernet sur un commutateur. La méthode la plus simple consiste à laisser le commutateur mettre à jour la table avec les adresses MAC.

La seconde façon de remplir la table de commutation Ethernet consiste à insérer manuellement un emplacement de nœud vLAN dans la table. Vous pouvez ainsi réduire les risques d’inondage et accélérer le processus d’apprentissage automatique du commutateur. Pour optimiser davantage le processus de commutation, indiquez que les paquets du saut suivant (prochaine interface) utiliseront après avoir quitté le nœud.

Avant de configurer une adresse MAC statique, assurez-vous d’avoir:

Pour ajouter une adresse MAC à la table de commutation Ethernet:

  1. Indiquez l’adresse MAC à ajouter au tableau:

  2. Indiquez l’adresse MAC du saut suivant pour les paquets envoyés à l’adresse MAC indiquée:

Exemple: Configuration de l’apprentissage par défaut pour les adresses MAC inconnues

Cet exemple montre comment configurer l’équipement pour qu’il n’utilise que des requêtes ARP afin d’apprendre les interfaces sortantes pour les adresses MAC de destination inconnues.

Conditions préalables

Avant de commencer, déterminez les adresses MAC et les interfaces associées de la table de forwarding. Consultez la présentation de l’apprentissage et du forwarding de couche 2 pour les VLANs.

Présentation

Dans cet exemple, vous configurez l’équipement pour qu’il n’utilise que les requêtes ARP sans requêtes traceroute.

Configuration

Procédure

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

Pour configurer l’équipement afin d’utiliser uniquement les requêtes ARP pour connaître les adresses MAC de destination inconnues:

  1. Activez l’équipement.

  2. Si vous avez terminé la configuration de l’équipement, commit the configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, saisissez la show security flow commande.