SUR CETTE PAGE
Comprendre la limitation MAC sur les interfaces de routage de couche 3
Aperçu
La fonctionnalité de limitation MAC fournit un mécanisme permettant de limiter les adresses MAC sur les périphériques connectés à une interface Gigabit Ethernet (GE), Fast Ethernet (FE) ou 10 Gigabit Ethernet (XE) routinée de couche 3. Avec les filtres MAC, vous pouvez autoriser le trafic avec un MAC source spécifique. La limitation MAC logicielle est prise en charge. La limitation MAC ne s’applique qu’aux interfaces avec une encapsulation simple avec balise Ethernet ou VLAN.
Les configurations au niveau source-address-filter de l’interface physique et au niveau accept-source-mac de l’interface logique sont prises en charge sur les équipements SRX100, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340 et SRX650. (La prise en charge de la plate-forme dépend de la version de Junos OS dans votre installation.) Les considérations suivantes s’appliquent lorsque vous configurez les source-address-filter instructions and accept-source-mac :
Si seule l’instruction de niveau
accept-source-maclogique est configurée, le trafic provenant uniquement des adresses MAC configurées sera autorisé sur l’interface logique.Si seule l’instruction de niveau
source-address-filterd’interface physique est configurée, les adresses MAC autorisées de l’interface physique sont également considérées comme les adresses autorisées pour toutes les interfaces logiques appartenant à l’interface physique. Les paquets entrants provenant de toute autre adresse MAC source sont abandonnés.Si le niveau
source-address-filterd’interface physique est configuré sousgigether-options(oufastether-options) etaccept-source-macqu’il est configuré pour une ou plusieurs de ses interfaces logiques ou VLAN, la liste d’adresses autorisée est une combinaison d’adresses MAC spécifiées dans les deux instructions. Pour les interfaces logiques et les VLAN pour lesquels l’instructionaccept-source-macn’est pas configurée, la liste d’adresses autorisée de l’interface physique est prise en compte.
Vous pouvez configurer une interface pour recevoir des paquets à partir d’adresses MAC spécifiques. Pour ce faire, spécifiez les adresses MAC dans les source-address-filter instructions or accept-source-mac :
Logical level MAC filter configuration on an untagged interfacege-0/0/10 { unit 0 { accept-source-mac { mac-address 00:22:33:44:55:66; mac-address 00:26:88:e9:a3:01; } family inet { address 60.60.60.1/24; } } }Physical level MAC filter configuration on an untagged interfacege-0/0/10 { gigether-options { source-address-filter { 00:55:55:55:55:66; 00:26:88:e9:a3:01; } } unit 0 { family inet { address 60.60.60.1/24; } } }Physical and logical level MAC filter configurations on a tagged interfacege-0/0/10 { vlan-tagging; gigether-options { source-address-filter { 00:26:88:e9:a3:01; } } unit 0 { vlan-id 40; accept-source-mac { mac-address 00:22:33:44:55:66; } family inet { address 40.40.40.1/24; } } unit 1 { vlan-id 60; accept-source-mac { mac-address 00:55:55:55:55:66; } family inet { address 60.60.60.1/24; } } }
Sur les interfaces Gigabit Ethernet non balisées, vous ne devez pas configurer simultanément les instructions et source-address-filter les accept-source-mac instructions. Si ces instructions sont configurées pour les mêmes interfaces en même temps, un message d’erreur s’affiche. Toutefois, dans le cas des VLAN balisés, ces deux instructions peuvent être configurées simultanément, si aucune adresse MAC identique n’est spécifiée.
Limitations
Les limitations suivantes s’appliquent à la prise en charge de la limitation MAC sur les interfaces GE, AE, FE ou XE routées de couche 3 :
Vous ne pouvez configurer que 32 adresses MAC par périphérique (sauf sur les interfaces Ethernet agrégées, où la limite est de 64 adresses par interface logique).
Seul le filtrage MAC logiciel est pris en charge. Le filtrage MAC logiciel a un impact sur les performances. L’impact sur les performances est proportionnel au nombre d’adresses MAC configurées.
Le mécanisme de contrôle MAC ou la limitation de débit ne sont pas pris en charge.
Vous ne pouvez pas configurer la diffusion ou la adresse multicast dans l’instruction
source-address-filter.Le filtrage MAC n’est pas pris en charge sur les interfaces Ethernet agrégées (AE) (il est pris en charge sur certaines plates-formes ; voir l’Explorateur de fonctionnalités pour connaître les spécificités de la plate-forme) ; ou sur des infrastructures Ethernet, PPPoE (Point-to-Point Protocol over Ethernet), des interfaces RVI (Routed VLAN) ou des interfaces VLAN.
Le filtrage MAC n’est pas pris en charge sur les clusters de châssis.
Si vous configurez le filtrage MAC sur l’interface AE, vous devez configurer l’interface avec
accept-source-mac(c’est-à-dire pas avecsource-address-filter) et avecfamily ethernet-switching.