Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Comprendre la limitation MAC et la limitation des déplacements MAC

La limitation MAC protège contre le flooding de la table de commutation Ethernet et est activée sur les interfaces de couche 2 (ports). La limitation de déplacement MAC détecte les mouvements MAC et l’usurpation MAC sur les interfaces d’accès. Elle est activée sur les VLAN.

  • La limitation MAC améliore la sécurité des ports en limitant le nombre d’adresses MAC pouvant être apprises au sein d’un VLAN. La limitation du nombre d’adresses MAC protège le commutateur contre l’inondation de la table de commutation Ethernet (également appelée table de transfert MAC ou table de transfert de couche 2). Le flooding se produit lorsque le nombre de nouvelles adresses MAC apprises entraîne un dépassement de capacité de la table de commutation Ethernet et que les adresses MAC précédemment apprises sont vidées de la table. Le commutateur recommence alors à inonder les adresses MAC précédemment apprises, ce qui peut avoir un impact sur les performances et introduire des failles de sécurité.

  • La limitation des déplacements MAC renforce la sécurité en contrôlant en moins d’une seconde le nombre de déplacements d’adresses MAC autorisés dans un VLAN. Un déplacement d’adresse MAC se produit lorsque le commutateur reçoit un paquet avec une adresse MAC source qui a déjà été apprise par le commutateur, mais sur une interface différente. Le tableau de commutation Ethernet est ensuite mis à jour pour refléter l’association de l’adresse MAC avec la nouvelle interface. Étant donné que la table de commutation Ethernet doit être mise à jour pour chaque déplacement d’adresse MAC, les événements de déplacement fréquents peuvent entraîner l’épuisement des ressources de traitement du commutateur. Cela peut se produire à la suite d’une attaque par usurpation d’adresse MAC ou d’une boucle dans le réseau.

Limitation MAC

Avec la limitation MAC, vous limitez les adresses MAC qui peuvent être apprises sur les interfaces d’accès de couche 2 en limitant le nombre d’adresses MAC ou en spécifiant les adresses MAC autorisées :

  • Limitation du nombre d’adresses MAC : vous configurez le nombre maximal d’adresses MAC pouvant être apprises dynamiquement (ajoutées à la table de commutation Ethernet) par interface. Vous pouvez spécifier que les paquets entrants avec de nouvelles adresses MAC doivent être ignorés, abandonnés ou consignés lorsque la limite est dépassée. Vous pouvez également spécifier que l’interface doit être arrêtée ou temporairement désactivée.

    Note:

    Les adresses MAC statiques ne sont pas prises en compte dans la limite spécifiée pour les adresses MAC dynamiques.

  • Spécification des adresses MAC autorisées : vous configurez les adresses MAC autorisées pour une interface. Toute adresse MAC qui ne figure pas dans la liste des adresses configurées n’est pas apprise et le commutateur consigne un message approprié. Une adresse MAC autorisée est liée à un VLAN afin que l’adresse ne soit pas enregistrée en dehors du VLAN. Si un paramètre MAC autorisé entre en conflit avec un paramètre MAC dynamique, le paramètre MAC autorisé est prioritaire.

La limitation MAC est configurée sur les interfaces de couche 2. Vous pouvez spécifier le nombre maximal d’adresses MAC dynamiques pouvant être apprises sur une seule interface, sur toutes les interfaces ou sur une interface spécifique en fonction de son appartenance à un VLAN (limite MAC d’appartenance au VLAN).

Lorsque vous configurez la limite MAC maximale pour une interface, vous pouvez choisir l’action qui se produit sur les paquets entrants lorsque la limite MAC est dépassée. Vous pouvez spécifier que les paquets entrants doivent être ignorés, abandonnés ou consignés lorsque la limite est dépassée. Vous pouvez également spécifier que l’interface doit être arrêtée ou temporairement désactivée.

La limitation MAC n’est pas activée par défaut. La valeur configurée reste active jusqu’à ce qu’elle soit remplacée ou effacée, et persiste jusqu’au redémarrage de l’appareil. Pour plus d’informations sur la configuration de la limite MAC pour une interface sur un périphérique prenant en charge ELS, reportez-vous à la section Configuration de la limitation MAC (ELS). Pour plus d’informations sur la configuration de la limite MAC pour une interface sur un périphérique qui ne prend pas en charge le logiciel de couche 2 amélioré ( ELS), reportez-vous à la section Configuration de la limitation MAC (non-ELS).

Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de l’interface de ligne de commande logicielle de couche 2 améliorée .

Limitation des déplacements MAC

Avec la limitation des déplacements MAC, vous limitez le nombre de fois qu’une adresse MAC peut passer à une nouvelle interface en une seconde. Lorsque la limitation de déplacement MAC est configurée, les mouvements d’adresse MAC sont suivis par le commutateur. Le premier déplacement d’une adresse MAC est toujours considéré comme un bon mouvement et ne sera pas pris en compte dans la limite de déplacement MAC configurée. La surveillance des déplacements d’adresse MAC prend effet après le premier déplacement, même si la limite de déplacement MAC est configurée sur 1.

Vous configurez la limitation des déplacements MAC par VLAN. Bien que vous activiez cette fonctionnalité sur les VLAN, la limite de déplacement MAC s’applique au nombre de mouvements pour chaque adresse MAC individuelle plutôt qu’au nombre total de déplacements d’adresse MAC dans le VLAN. Par exemple, si la limite de déplacement MAC est définie sur 1, le commutateur autorise un nombre illimité de mouvements d’adresse MAC au sein du VLAN, à condition que la même adresse MAC ne se déplace pas plus d’une fois en une seconde.

Vous pouvez configurer une action à effectuer en cas de dépassement de la limite de déplacement d’adresse MAC. Vous pouvez spécifier que les paquets entrants doivent être ignorés, abandonnés ou consignés lorsque la limite est dépassée. Vous pouvez également spécifier que l’interface doit être arrêtée ou temporairement désactivée.

La limitation des déplacements MAC n’est pas activée par défaut. Pour plus d’informations sur la configuration de la limitation de déplacement MAC sur un périphérique qui ne prend pas en charge ELS, reportez-vous à la section Configuration de la limitation de déplacement MAC (non-ELS). Pour plus d’informations sur la configuration de la limitation de déplacement MAC sur un périphérique prenant en charge ELS, reportez-vous à la section Configuration de la limitation de déplacement MAC (ELS).

Actions pour la limitation MAC et la limitation des déplacements MAC

Vous pouvez choisir d’effectuer l’une des actions suivantes lorsque la limite MAC ou la limite de déplacement MAC est dépassée :

  • drop: abandonnez le paquet, mais ne générez pas d’alarme.

  • drop-and-log: supprime le paquet et génère une alarme, une interruption SNMP ou une entrée de journal système.

  • log: n’abandonne pas le paquet, mais génère une alarme, une interruption SNMP ou une entrée de journal système.

  • none: transfère les paquets avec de nouvelles adresses MAC sources et apprend la nouvelle adresse MAC.

  • shutdown: désactive l’interface dans le VLAN et génère une alarme, une interruption SNMP ou une entrée de journal système.

  • vlan-member-shutdown—(EX9200 uniquement) À partir de Junos OS version 15.1 pour la limitation MAC et la limitation de déplacement MAC sur les commutateurs EX9200, l’instruction vlan-member-shutdown est prise en charge pour bloquer une interface sur la base de son appartenance à un VLAN spécifique et générer une alarme, une interruption SNMP ou une entrée de journal système.

En cas d’arrêt, vous pouvez configurer le commutateur pour qu’il rétablisse automatiquement les interfaces désactivées après une période de temps spécifiée. Pour configurer la récupération automatique sur un périphérique qui prend en charge ELS, reportez-vous à la section Configuration de la récupération automatique pour les événements de sécurité de port. Pour configurer la récupération automatique sur un périphérique qui ne prend pas en charge ELS, reportez-vous à la section Configuration de la récupération automatique pour les événements de sécurité de port.

Note:

Pour afficher les entrées du journal système pour les fonctionnalités de limite mac, vous devrez configurer la journalisation système avec la gravité en tant qu’avis de journal. Reportez-vous à la section Présentation de la journalisation système.
Note:

Si vous ne configurez pas le commutateur pour la récupération automatique à partir de la condition désactivée, vous pouvez afficher les interfaces désactivées en exécutant l’une des commandes suivantes :

Note:

Avec les sessions dot1x existantes :

  • Lorsque nous définissons la limite MAC pour la première fois, les sessions dot1x existantes sont effacées et le port passe à l’état Connexion.

  • Lorsque nous augmentons la limite MAC, les sessions ne sont pas effacées et le port reste à l’état Authentifié.

  • Lorsque nous réduisons la limite MAC ou supprimons les configurations switch-options, les sessions dot1x existantes sont effacées et le port passe à l’état Connexion.

En résumé, lorsque la limite MAC de l’interface configurée est inférieure au nombre de MAC appris, le vidage MAC se produit. Lorsque la limite MAC de l’interface configurée est supérieure au nombre d’adresses MAC apprises, il n’y a pas d’impact
Note:

Des vérifications de validation ont été introduites pour éviter les erreurs de configuration. Seules les interfaces configurées pour L2 peuvent être configurées sous l’une de ces hiérarchies.

  • set routing-instances <nom-instance-routage> VLAN <nom-vlan> interface-options de commutation <nom_interface>

  • set routing-instances <nom-instance-routage> domaines-ponts <nom-domaine-pont> interface options-pont <nom_interface>

  • Définir VLAN <nom_VLAN> interface options de commutation <nom_interface>

  • set bridge-domains <bridge-domain-name> bridge-options interface <interface-name>

  • définir VLAN <nom_vlans> options de commutation mac-move-limit interface <nom_interface>

Documentation connexe

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libérer
Description
15.1
À partir de Junos OS version 15.1 pour la limitation MAC et la limitation des mouvements MAC sur les commutateurs EX9200, l’instruction vlan-member-shutdown est prise en charge pour bloquer une interface sur la base de son appartenance à un VLAN spécifique et générer une alarme, une interruption SNMP ou une entrée de journal système.