Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Comprendre les limites MAC sur les interfaces de routage de couche 3

Aperçu

La fonctionnalité de limitation MAC fournit un mécanisme permettant de limiter les adresses MAC sur les équipements connectés à une interface Gigabit Ethernet (GE), Fast Ethernet (FE) ou 10 Gigabit Ethernet (XE) routée de couche 3. Avec les filtres MAC, vous pouvez autoriser le trafic avec un MAC source spécifique. La limitation MAC logicielle est prise en charge. La limitation MAC s’applique uniquement aux interfaces avec une encapsulation Ethernet ou VLAN simple.

Les configurations au niveau de l’interface physique et au niveau source-address-filter de l’interface accept-source-mac logique sont prises en charge sur les équipements SRX100, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340 et SRX650. (La prise en charge de la plate-forme dépend de la version junos OS de votre installation.) Les considérations suivantes s’appliquent lorsque vous configurez les source-address-filter déclarations et accept-source-mac :

  • Si seule l’instruction de niveau accept-source-mac logique est configurée, le trafic provenant uniquement des adresses MAC configurées sera autorisé sur l’interface logique.

  • Si seule l’instruction de niveau source-address-filter d’interface physique est configurée, les adresses MAC autorisées de l’interface physique sont également considérées comme les adresses autorisées pour toutes les interfaces logiques appartenant à l’interface physique. Les paquets entrants provenant de n’importe quelle autre adresse MAC source sont supprimés.

  • Si le niveau source-address-filter d’interface physique est configuré sous gigether-options (ou fastether-options) et accept-source-mac est configuré pour une ou plusieurs de ses interfaces logiques ou VLAN, la liste d’adresses autorisée est une combinaison d’adresses MAC spécifiées dans les deux déclarations. Pour les interfaces logiques et les VLAN où l’instruction accept-source-mac n’est pas configurée, la liste d’adresses autorisée de l’interface physique est prise en compte.

Vous pouvez configurer une interface pour recevoir des paquets à partir d’adresses MAC spécifiques. Pour ce faire, spécifiez les adresses MAC dans les source-address-filter ou accept-source-mac déclarations :

  • Logical level MAC filter configuration on an untagged interface

  • Physical level MAC filter configuration on an untagged interface

  • Physical and logical level MAC filter configurations on a tagged interface

Note:

Sur les interfaces Gigabit Ethernet non notées, vous ne devez pas configurer simultanément les source-address-filter déclarations et les accept-source-mac déclarations. Si ces instructions sont configurées pour les mêmes interfaces en même temps, un message d’erreur apparaît. Toutefois, dans le cas de VLAN balisés, ces deux déclarations peuvent être configurées simultanément, si aucune adresse MAC identique n’est spécifiée.

Limitations

Les limitations suivantes s’appliquent à la limitation de la prise en charge MAC sur les interfaces GE, AE, FE ou XE routés de couche 3 :

  • Vous ne pouvez configurer que 32 adresses MAC par équipement (sauf sur des interfaces Ethernet agrégées, où la limite est de 64 adresses par interface logique).

  • Seul le filtrage MAC logiciel est pris en charge. Le filtrage MAC logiciel a un impact sur les performances. L’impact sur les performances est proportionnel au nombre d’adresses MAC configurées.

  • Le contrôle basé sur mac ou la limitation de débit n’est pas pris en charge.

  • Vous ne pouvez pas configurer l’adresse de diffusion ou multicast dans l’instruction source-address-filter .

  • Le filtrage MAC n’est pas pris en charge sur les interfaces Ethernet agrégées (AE) (il est pris en charge sur certaines plates-formes ; voir l’Explorateur de fonctionnalités pour les spécificités de la plate-forme) ; ou sur la fabric Ethernet, le protocole PPPoE (Point-to-Point Protocol over Ethernet), l’interface VLAN routée (RVI) ou les interfaces VLAN.

    Le filtrage MAC n’est pas pris en charge sur les clusters de châssis.

  • Si vous configurez le filtrage MAC sur l’interface AE, vous devez configurer l’interface avec accept-source-mac (c’est-à-dire pas avec source-address-filter) et avec family ethernet-switching.