Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration de la limitation MAC

Configuration de la limitation MAC (ELS)

Cette rubrique décrit les différentes façons de configurer une limitation des adresses MAC dans les paquets reçus et transférés par le périphérique.

Note:

Les tâches présentées dans cette section utilisent Junos OS pour EX Series commutateurs, les commutateurs QFX3500 et QFX3600 et les routeurs PTX Series qui prennent en charge le style de configuration ELS (Enhanced L2 Software). Pour plus d’informations sur les configurations ELS, reportez-vous à la section Utilisation de l’interface de ligne de commande logicielle de couche 2 améliorée .

Les différentes façons de définir une limite MAC sont décrites dans les sections suivantes :

Limitation du nombre d’adresses MAC apprises par une interface

Note:

Sur les routeurs PTX Series, vous pouvez limiter le nombre d’adresses MAC apprises par une interface uniquement.

Pour sécuriser un port, vous pouvez définir le nombre maximal d’adresses MAC pouvant être apprises par une interface.

Définissez la limite MAC sur une interface et spécifiez une action que l’appareil effectue après le dépassement de la limite spécifiée.
Si vous souhaitez définir la limite MAC sur une interface qui fait partie de l’instance de routage par défaut :
Si vous souhaitez définir la limite MAC sur une interface qui fait partie d’une instance de routage :
Si vous souhaitez définir la limite MAC sur toutes les interfaces qui font partie de l’instance de routage par défaut :
Si vous souhaitez définir la limite MAC sur toutes les interfaces faisant partie d’une instance de routage :

Une fois que vous avez défini une nouvelle limite MAC pour l’interface, le système efface les entrées existantes dans le adresse MAC table de transfert associé à l’interface.

Limitation du nombre d’adresses MAC apprises par un VLAN

Pour limiter le nombre d’adresses MAC apprises par un VLAN, effectuez les opérations suivantes :

Définissez le nombre maximal d’adresses MAC pouvant être apprises par un VLAN, puis spécifiez une action que l’équipement effectue après le dépassement de la limite spécifiée :

Limitation du nombre d’adresses MAC apprises par une interface dans un VLAN

Pour limiter le nombre d’adresses MAC apprises par une interface dans un VLAN, effectuez les opérations suivantes :

  1. Définissez le nombre maximal d’adresses MAC pouvant être apprises par une interface dans un VLAN, puis spécifiez une action que le périphérique effectue après le dépassement de la limite spécifiée :
  2. Définissez le nombre maximal d’adresses MAC pouvant être apprises par une ou toutes les interfaces du VLAN, puis spécifiez une action que le périphérique effectue après le dépassement de la limite spécifiée :
    Note:

    Si vous spécifiez une limite MAC et une action de paquet pour toutes les interfaces du VLAN et une interface spécifique dans le VLAN, la limite MAC et l’action de paquet spécifiées au niveau de l’interface spécifique sont prioritaires. De plus, au niveau de l’interface VLAN, seules les drop options et drop-and-log sont prises en charge.

    Une fois que vous avez défini de nouvelles limites MAC pour un VLAN à l’aide de l’instruction mac-table-size ou pour les interfaces associées à un VLAN à l’aide de l’instruction interface-mac-limit , le système efface les entrées existantes correspondantes dans le adresse MAC table de transfert.

    Note:

    Dans un QFX Series Virtual Chassis, si vous incluez l’option shutdown au niveau de la [edit vlans vlan-name switch-options interface interface-name interface-mac-limit packet-action] hiérarchie et que vous exécutez l’opération commit , le système génère une erreur de validation. Le système ne génère pas d’erreur si vous incluez l’option au niveau de la shutdown [edit switch-options interface interface-name interface-mac-limit packet-action] hiérarchie.

Configuration de la limitation MAC (non-ELS)

Cette tâche utilise Junos OS pour les commutateurs EX Series et les commutateurs QFX3500 et QFX3600 qui ne prennent pas en charge le style de configuration ELS (Enhanced L2 Software).

Cette rubrique décrit différentes façons de configurer une limitation des adresses MAC dans les paquets reçus et transférés par le commutateur.

Avant de pouvoir modifier une limite MAC précédemment définie pour une interface ou un VLAN, vous devez d’abord effacer les entrées existantes dans le adresse MAC table de transfert qui correspondent à la modification que vous souhaitez apporter. Ainsi, pour modifier la limite d’une interface, effacez d’abord les entrées adresse MAC table de transfert de cette interface. Pour modifier la limite de toutes les interfaces et de tous les VLAN, effacez toutes les entrées de adresse MAC table de transfert. Pour modifier la limite d’un VLAN, effacez les entrées adresse MAC table de transfert de ce VLAN.

Pour effacer les adresses MAC de la table de transfert :

  • Effacez les entrées d’adresse MAC d’une interface spécifique (ici, l’interface est ge-0/0/1) dans la table de transfert :

  • Effacez toutes les entrées d’adresse MAC dans la table de transfert :

  • Effacer les entrées d’adresse MAC d’un VLAN spécifique (ici, le VLAN est vlan-abc) :

Les différentes façons de définir une limite MAC sont décrites dans les sections suivantes :

Limitation du nombre d’adresses MAC pouvant être apprises sur les interfaces

Pour configurer la limitation MAC pour la sécurité des ports en définissant un nombre maximal d’adresses MAC pouvant être apprises sur les interfaces.

  • Appliquer la limite MAC sur une seule interface (ici, l’interface est ge-0/0/1) :

    Lorsqu’aucune action n’est spécifiée pour configurer la limite MAC sur une interface, l’appareil effectue la suppression de l’action par défaut si la limite est dépassée.

  • Appliquer la limite MAC sur une seule interface d’accès, sur la base de son appartenance à un VLAN spécifique (ici, l’interface est ge-0/0/1 et le VLAN est v1.

    Avec ce type de configuration, l’appareil abandonne tous les paquets supplémentaires si la limite est dépassée et consigne également un message.

  • Appliquez la limite à toutes les interfaces d’accès :

    Lorsqu’aucune action n’est spécifiée pour configurer la limite MAC sur toutes les interfaces, l’appareil effectue la suppression de l’action par défaut si la limite est dépassée :

Spécification des adresses MAC autorisées

Vous devez effacer les entrées existantes dans le adresse MAC table de transfert avant de modifier la limite de adresse MAC.

Pour configurer la limitation MAC pour la sécurité des ports en spécifiant les adresses MAC autorisées :

  • Sur une seule interface (ici, l’interface est ge-0/0/2) :
  • Sur toutes les interfaces :

Configuration de la limitation MAC pour les VLAN

Vous devez effacer les entrées existantes dans le adresse MAC table de transfert avant de pouvoir modifier la limite de adresse MAC.

La limitation MAC d’un VLAN restreint les adresses MAC qui peuvent être apprises pour ce VLAN, mais n’abandonne pas le paquet. Par conséquent, la définition de la limite MAC sur un VLAN n’est pas considérée comme une fonctionnalité de sécurité de port.

Note:

La configuration d’adresses MAC spécifiques autorisées ne s’applique pas aux VLAN.

Pour configurer la limitation MAC d’un VLAN à l’aide de l’interface de ligne de commande :

Limiter le nombre d’adresses MAC dynamiques sur un VLAN :

En cas de dépassement de la limite MAC d’un VLAN spécifique, l’équipement consigne les adresses MAC des paquets à l’origine du dépassement de la limite. Aucune autre action n’est possible.

Note:

Lorsque vous appliquez une limite MAC à un VLAN, ne définissez mac-limit pas la valeur 1 pour un VLAN composé d’interfaces VLAN routées (RVI) ou un VLAN composé de paquets Ethernet agrégés utilisant LACP. Dans ces cas, la définition de la mac-limit valeur 1 empêche l’appareil d’apprendre les adresses MAC autres que les adresses automatiques :

  • Pour les RVI, la première adresse MAC insérée dans la base de données de transfert est l’adresse MAC du RVI.

  • Pour les bundles Ethernet agrégés utilisant LACP, la première adresse MAC insérée dans la base de données de transfert dans la table de transfert est l’adresse source du paquet de protocole.

Si le VLAN est composé d’interfaces d’accès standard ou de jonction, vous pouvez définir la mac-limit valeur 1 si vous le souhaitez.

Voir aussi

Configuration de la limitation MAC sur les routeurs MX Series

Cette rubrique décrit les différentes façons de configurer une limitation des adresses MAC dans les paquets reçus et transférés par les routeurs MX Series.

Limitation du nombre d’adresses MAC apprises par une interface

Pour sécuriser un port, vous pouvez définir le nombre maximal d’adresses MAC pouvant être apprises par une interface.

Les routeurs MX Series prennent uniquement en charge l’action d’abandon . Si l’action n’est pas spécifiée, le routeur effectue l’action d’abandon par défaut si la limite est dépassée.

Définissez la limite MAC sur une interface et spécifiez l’action que le routeur effectue après le dépassement de la limite spécifiée.
Si vous souhaitez définir la limite MAC sur une interface qui fait partie de l’instance de routage par défaut :
Si vous souhaitez définir la limite MAC sur une interface qui fait partie d’une instance de routage :
Si vous souhaitez définir la limite MAC sur toutes les interfaces qui font partie de l’instance de routage par défaut :
Si vous souhaitez définir la limite MAC sur toutes les interfaces faisant partie d’une instance de routage :

Une fois que vous avez défini une nouvelle limite MAC pour l’interface, le système efface les entrées existantes dans le adresse MAC table de transfert associé à l’interface.

Limitation du nombre d’adresses MAC apprises par un domaine de pont

Pour limiter le nombre d’adresses MAC apprises par un domaine de pont, effectuez les opérations suivantes :

Définissez le nombre maximal d’adresses MAC pouvant être apprises par un domaine de pont et spécifiez une action que l’appareil effectue après le dépassement de la limite spécifiée :

Limitation du nombre d’adresses MAC apprises par une interface dans un domaine de pont

Pour limiter le nombre d’adresses MAC apprises par une interface dans un domaine de pont, effectuez les opérations suivantes :

  1. Définissez le nombre maximal d’adresses MAC pouvant être apprises par une interface d’un domaine de pont et spécifiez une action que l’appareil effectue après le dépassement de la limite spécifiée :
  2. Définissez le nombre maximal d’adresses MAC pouvant être apprises par une ou toutes les interfaces du domaine de pont et spécifiez une action que le périphérique effectue après le dépassement de la limite spécifiée :
    Note:

    Si vous spécifiez une limite MAC et une action de paquet pour toutes les interfaces du domaine de pont et une interface spécifique dans le domaine de pont, la limite MAC et l’action de paquet spécifiées au niveau de l’interface spécifique sont prioritaires. De plus, au niveau de l’interface de domaine de pont, seule l’option drop est prise en charge.

Configuration de la limitation MAC (procédure J-Web)

La limitation MAC protège contre le flooding de la table de commutation Ethernet sur un commutateur EX Series. La limitation MAC définit une limite sur le nombre d’adresses MAC qui peuvent être apprises sur une seule interface d’accès de couche 2 (port).

Junos OS propose deux méthodes de limitation MAC :

  • Nombre maximal d’adresses MAC dynamiques autorisées par interface : si la limite est dépassée, les paquets entrants avec de nouvelles adresses MAC sont abandonnés.

  • Adresses MAC « autorisées » spécifiques pour l’interface d’accès : toute adresse MAC qui ne figure pas dans la liste des adresses configurées n’est pas apprise.

Vous configurez la limitation MAC pour chaque interface, et non pour chaque VLAN. Vous pouvez spécifier le nombre maximal d’adresses MAC dynamiques qui peuvent être apprises sur une seule interface d’accès de couche 2 ou sur toutes les interfaces d’accès de couche 2. En cas de dépassement de ce nombre maximal, l’action par défaut du commutateur est l’abandon : supprimer le paquet et générer une alarme, une interruption SNMP ou une entrée de journal système.

Pour activer la limitation MAC sur une ou plusieurs interfaces à l’aide de l’interface J-Web :

  1. Sélectionnez Configure>Security>Port Security.
  2. Sélectionnez une ou plusieurs interfaces dans la liste des interfaces.
  3. Cliquez sur le bouton Modifier . Si un message s’affiche vous demandant si vous souhaitez activer la sécurité des ports, cliquez sur Oui.
  4. Pour définir une limite MAC dynamique :

    1. Saisissez une valeur limite dans la zone Limite MAC .

    2. Sélectionnez une action dans la zone Action de limite MAC (facultatif). Le commutateur effectue cette action lorsque la limite MAC est dépassée. Si vous ne sélectionnez pas d’action, le commutateur applique l’action par défaut, abandonner.

      • Log (Journal) : génère une entrée de journal système.

      • Drop (Abandonner) : supprime les paquets et génère une entrée de journal système. (Par défaut)

      • Shutdown (Arrêter) : arrêtez le VLAN et générez une entrée de journal système. Vous pouvez atténuer l’effet de cette option en configurant le commutateur pour la récupération automatique à partir de l’état désactivé et en spécifiant une valeur de délai d’expiration de désactivation .

      • Aucun : aucune action à entreprendre.

  5. Pour ajouter des adresses MAC autorisées :

    1. Cliquez sur Ajouter.

    2. Tapez l’adresse MAC autorisée et cliquez sur OK.

    Répétez cette étape pour ajouter d’autres adresses MAC autorisées.

  6. Cliquez sur OK lorsque vous avez terminé de définir les limites MAC.
  7. Cliquez sur OK une fois la configuration livrée avec succès.
Note:

Vous pouvez activer ou désactiver la sécurité des ports sur le commutateur à tout moment en cliquant sur le bouton Activer ou Désactiver sur la page Configuration de la sécurité des ports. Si l’état de la sécurité est Désactivé lorsque vous essayez de modifier les paramètres d’un VLAN ou d’une interface (ports), un message vous demandant si vous souhaitez activer la sécurité des ports s’affiche.

Voir aussi