Vérification du bon fonctionnement de la limitation MAC
La limitation MAC protège contre le flooding de la table de commutation Ethernet en définissant une limite sur le nombre d’adresses MAC pouvant être apprises sur une seule interface d’accès de couche 2 (port).
Junos OS propose deux méthodes de limitation MAC pour la sécurité des ports :
-
Nombre maximal d’adresses MAC : vous configurez le nombre maximal d’adresses MAC dynamiques autorisées par interface. Lorsque la limite est dépassée, les paquets entrants avec de nouvelles adresses MAC peuvent être ignorés, abandonnés ou enregistrés. Vous pouvez également spécifier l’arrêt ou la désactivation temporaire de l’interface.
-
Adresses MAC autorisées : vous configurez des adresses MAC « autorisées » spécifiques pour l’interface d’accès. Toute adresse MAC qui ne figure pas dans la liste des adresses configurées n’est pas apprise et le commutateur consigne un message approprié. La méthode MAC autorisée lie les adresses MAC à un VLAN afin que l’adresse ne soit pas enregistrée en dehors du VLAN. Si un paramètre MAC autorisé entre en conflit avec un paramètre MAC dynamique, le paramètre MAC autorisé est prioritaire.
Junos OS vous permet également de définir une limite MAC sur les VLAN. Toutefois, la définition d’une limite MAC sur les VLAN n’est pas considérée comme une fonctionnalité de sécurité de port, car le commutateur n’empêche pas le transfert des paquets entrants entraînant un dépassement de la limite MAC. il enregistre uniquement les adresses MAC de ces paquets.
Les informations contenues dans cette rubrique concernent les plates-formes non-ELS. Pour les plates-formes ELS, reportez-vous à la section Configuration de la limitation MAC (ELS) pour lire la limitation MAC.
Vérification du bon fonctionnement de la limitation MAC pour les adresses MAC dynamiques
But
Vérifiez que la limitation MAC pour les adresses MAC dynamiques fonctionne sur le commutateur.
Action
Affichez les adresses MAC qui ont été apprises. L’exemple de sortie suivant montre les résultats lorsque deux paquets ont été envoyés à partir d’hôtes sur ge-0/0/1 et que cinq demandes de paquets ont été envoyées à partir d’hôtes sur ge-0/0/2, les deux interfaces étant définies sur une limite MAC de 4 avec l’abandon d’action par défaut :
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 6 learned VLAN MAC address Type Age Interfaces employee-vlan * Flood - ge-0/0/2.0 employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
Signification
L’exemple de sortie montre qu’avec une limite MAC de 4 pour chaque interface, le paquet pour une cinquième adresse MAC sur ge-0/0/2 a été abandonné car il a dépassé la limite MAC. L’adresse n’a pas été apprise et, par conséquent, un astérisque (*) plutôt qu’une adresse apparaît dans la colonne Adresse MAC de la première ligne de l’exemple de sortie.
Vérification du bon fonctionnement de la limitation MAC d’une interface spécifique au sein d’un VLAN spécifique
But
Vérifiez que la limitation MAC d’une interface spécifique en fonction de son appartenance à un VLAN spécifique fonctionne sur le commutateur.
Action
Affichez les statistiques détaillées pour les adresses MAC qui ont été apprises :
user@switch> show ethernet-switching statistics mac-learning interface ge-0/0/28 detail
Interface: ge-0/0/28.0
Learning message from local packets: 0
Learning message from transit packets: 5
Learning message with error: 0
Invalid VLAN: 0 Invalid MAC: 0
Security violation: 0 Interface down: 0
Incorrect membership: 0 Interface limit: 0
MAC move limit: 0 VLAN limit: 0
VLAN membership limit: 20
Invalid VLAN index: 0 Interface not learning: 0
No nexthop: 0 MAC learning disabled: 0
Others: 0
Signification
Le VLAN membership limit indique que le nombre de paquets qui ont été abandonnés en raison du dépassement de la limite MAC d’appartenance au VLAN pour l’interface ge-0/0/28.0. Dans ce cas, 20 paquets ont été abandonnés.
Vérification du bon fonctionnement des adresses MAC autorisées
But
Vérifiez que les adresses MAC autorisées fonctionnent sur le commutateur.
Action
Affiche les informations de cache d’adresse MAC une fois que les adresses MAC autorisées ont été configurées sur une interface. L’exemple suivant montre le cache d’adresse MAC après que 5 adresses MAC autorisées aient été sur l’interface ge-0/0/2. Dans ce cas, l’interface a également été définie sur une limite MAC dynamique de 4 avec la suppression d’action par défaut.
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Signification
Étant donné que la valeur limite MAC pour cette interface a été définie sur 4, seules quatre des cinq adresses autorisées configurées ont été apprises et donc ajoutées au cache d’adresse MAC. Étant donné que la cinquième adresse n’a pas été apprise, un astérisque (*) plutôt qu’une adresse apparaît dans la colonne Adresse MAC de la dernière ligne de l’exemple de sortie.
Vérification des résultats de divers paramètres d’action en cas de dépassement de la limite MAC
But
Vérifiez les résultats fournis par les différents paramètres d’action pour les limites MAC (perte, journalisation, arrêt et aucune) lorsque les limites sont dépassées.
Action
Affichez les résultats des différents paramètres d’action.
Vous pouvez afficher les messages du journal à l’aide de la show log messages commande. Vous pouvez également afficher les messages de journal en configurant les messages de démarrage du moniteur à l’aide de la monitor start messages commande.
-
action de suppression : pour la limitation MAC configurée avec une action de suppression et avec la limite MAC définie sur 5 :
user@switch> show ethernet-switching table Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee—vlan * Flood - ge-0/0/2.0 employee—vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0
-
action de journal : pour la limitation MAC configurée avec une action de journal et avec la limite MAC définie sur 5 :
user@switch> show ethernet-switching table Ethernet-switching table: 74 entries, 73 learned VLAN MAC address Type Age Interfaces employee—vlan * Flood - ge-0/0/2.0 employee—vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:82 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:84 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:87 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0 . . .
-
action d’arrêt : pour la limitation MAC configurée avec une action d’arrêt et avec la limite MAC définie sur 3 :
user@switch> show ethernet-switching table Ethernet-switching table: 4 entries, 3 learned VLAN MAC address Type Age Interfaces employee—vlan * Flood - ge-0/0/2.0 employee—vlan 00:05:85:3A:82:82 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:84 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:87 Learn 0 ge-0/0/2.0
-
aucune action : si vous définissez une limite MAC à appliquer à toutes les interfaces du commutateur, vous pouvez remplacer ce paramètre pour une interface particulière en spécifiant cette action pour cette interface. Reportez-vous à la section Remplacer une limite MAC appliquée à toutes les interfaces.
Signification
Pour les résultats de l’action de suppression : la sixième adresse MAC a dépassé la limite MAC. Le paquet de requête pour cette adresse a été abandonné. Seules cinq adresses MAC ont été apprises sur ge-0/0/2.
Pour les résultats de l’action de journal : la sixième adresse MAC a dépassé la limite MAC. Aucune adresse MAC n’a été bloquée.
Pour les résultats de l’action d’arrêt : la quatrième adresse MAC a dépassé la limite MAC. Seules trois adresses MAC ont été apprises sur ge-0/0/2. L’interface ge-0/0/1 est arrêtée.
Pour plus d’informations sur les interfaces qui ont été arrêtées, utilisez la show ethernet-switching interfaces commande.
user@switch> show ethernet-switching interfaces Interface State VLAN members Tag Tagging Blocking bme0.32770 down mgmt untagged unblocked ge-1/0/0.0 down v1 untagged MAC limit exceeded ge-1/0/1.0 up v1 untagged unblocked ge-1/0/2.0 up v1 untagged unblocked me0.0 up mgmt untagged unblocked
Vous pouvez configurer le commutateur pour qu’il récupère automatiquement à partir de ce type de condition d’erreur en spécifiant l’instruction port-error-disable avec une valeur de délai d’expiration de désactivation . Le commutateur rétablit automatiquement l’interface désactivée en service à l’expiration du délai de désactivation. La configuration port-error-disable ne s’applique pas aux conditions d’erreur déjà existantes. Elle n’affecte que les conditions d’erreur détectées après l’activation et la validation de port-error-disable . Pour effacer une condition d’erreur déjà existante et restaurer l’interface en service, utilisez la clear ethernet-switching port-error commande.
Vérification de l’arrêt des interfaces
But
Vérifiez qu’une interface est arrêtée lorsque la limite MAC est dépassée.
Action
Pour plus d’informations sur les interfaces qui ont été arrêtées en raison d’un dépassement de la limite MAC, utilisez la show ethernet-switching interfaces commande.
user@switch> show ethernet-switching interfaces Interface State VLAN members Tag Tagging Blocking bme0.32770 down mgmt untagged unblocked xe-0/0/0.0 down v1 untagged MAC limit exceeded xe- 0/0/1.0 up v1 untagged unblocked xe-0/0/2.0 up v1 untagged unblocked me0.0 up mgmt untagged unblocked
Vous pouvez configurer les interfaces pour qu’elles se rétablissent automatiquement lorsque la limite MAC a été dépassée en spécifiant l’instruction port-error-disable avec une valeur de délai d’expiration de désactivation . Le commutateur rétablit automatiquement l’interface désactivée en service à l’expiration du délai de désactivation. La configuration port-error-disable ne s’applique pas aux conditions d’erreur préexistantes : elle affecte uniquement les conditions d’erreur détectées après l’activation de l’instruction port-error-disable et la validation de la configuration. Pour effacer une condition d’erreur préexistante et restaurer l’interface en service, utilisez la clear ethernet-switching port-error commande.
Personnalisation de l’affichage du tableau de commutation Ethernet pour afficher les informations d’une interface spécifique
But
Vous pouvez utiliser la show ethernet-switching table commande pour afficher des informations sur les adresses MAC apprises sur une interface spécifique.
Action
Par exemple, pour afficher les adresses MAC apprises sur l’interface ge-0/0/2, tapez :
user@switch> show ethernet-switching table interface ge-0/0/2.0 Ethernet-switching table: 1 unicast entries VLAN MAC address Type Age Interfaces v1 * Flood - All-members v1 00:00:06:00:00:00 Learn 0 ge-2/0/0.0
Signification
La valeur limite MAC pour ge-0/0/2 a été définie sur 1, et la sortie montre qu’une seule adresse MAC a été apprise et donc ajoutée au cache d’adresse MAC. Un astérisque (*) plutôt qu’une adresse apparaît dans la colonne Adresse MAC de la première ligne de l’exemple de sortie.