Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Configuration de la limitation MAC

Configuration de la limitation MAC (ELS)

Cette rubrique décrit les différentes façons de configurer une limitation des adresses MAC dans les paquets reçus et transférés par le périphérique.

Note:

Les tâches présentées dans cette section utilisent Junos OS pour les commutateurs EX Series, les commutateurs QFX3500 et QFX3600 et les routeurs PTX Series qui prennent en charge le style de configuration ELS (Enhanced L2 Software). Pour plus d’informations sur les configurations ELS, reportez-vous à la section Utilisation de l’interface de ligne de commande logicielle de couche 2 améliorée .

Les différentes façons de définir une limite MAC sont décrites dans les sections suivantes :

Spécifique à la plate-forme Configuration du comportement de limite MAC globale

Tableau 1 : comportement spécifique à la plate-forme

Plateforme

Différence

Junos Evolved série ACX7000

ACX7000 ne prend actuellement pas en charge l’action des paquets

Les numéros MAC par défaut ne s’appliquent pas aux ACX7000

Limitation du nombre d’adresses MAC apprises par une interface

Note:

Sur les routeurs PTX Series, vous pouvez limiter le nombre d’adresses MAC apprises par une interface uniquement.

Pour sécuriser un port, vous pouvez définir le nombre maximal d’adresses MAC pouvant être apprises par une interface.

Définissez la limite MAC sur une interface et spécifiez une action que l’appareil entreprend après le dépassement de la limite spécifiée.
Si vous souhaitez définir la limite MAC sur une interface faisant partie de l’instance de routage par défaut :
Si vous souhaitez définir la limite MAC sur une interface faisant partie d’une instance de routage :
Si vous souhaitez définir la limite MAC sur toutes les interfaces faisant partie de l’instance de routage par défaut :
Si vous souhaitez définir la limite MAC sur toutes les interfaces faisant partie d’une instance de routage :

Une fois que vous avez défini une nouvelle limite MAC pour l’interface, le système efface les entrées existantes dans la table de transfert d’adresse MAC associée à l’interface.

Limitation du nombre d’adresses MAC apprises par un VLAN

Pour limiter le nombre d’adresses MAC apprises par un VLAN, effectuez les opérations suivantes :

Spécifique à la plate-forme Configuration du comportement de limite MAC

Tableau 2 : comportement spécifique à la plate-forme

Plateforme

Différence

Junos Evolved série ACX7000

ACX7000 ne prend actuellement pas en charge l’action des paquets

Les numéros MAC par défaut ne s’appliquent pas aux ACX7000
Définissez le nombre maximal d’adresses MAC pouvant être apprises par un VLAN et spécifiez une action que l’équipement entreprend après le dépassement de la limite spécifiée :

Limitation du nombre d’adresses MAC apprises par une interface dans un VLAN

Pour limiter le nombre d’adresses MAC apprises par une interface dans un VLAN, effectuez les opérations suivantes :

  1. Définissez le nombre maximal d’adresses MAC pouvant être apprises par une interface dans un VLAN et spécifiez une action que l’équipement entreprend après le dépassement de la limite spécifiée :
  2. Définissez le nombre maximal d’adresses MAC pouvant être apprises par une ou toutes les interfaces du VLAN, puis spécifiez une action que l’équipement entreprend après le dépassement de la limite spécifiée :
    Note:

    Si vous spécifiez une limite MAC et une action de paquet pour toutes les interfaces du VLAN et une interface spécifique dans le VLAN, la limite MAC et l’action de paquet spécifiées au niveau de l’interface spécifique sont prioritaires. De plus, au niveau de l’interface VLAN, seules les drop options et drop-and-log sont prises en charge.

    Une fois que vous avez défini de nouvelles limites MAC pour un VLAN à l’aide de l’instruction mac-table-size ou pour les interfaces associées à un VLAN à l’aide de l’instruction interface-mac-limit , le système efface les entrées existantes correspondantes dans la table de transfert d’adresse MAC.

    Note:

    Sur un Virtual Chassis QFX Series, si vous incluez l’option shutdown au niveau de la [edit vlans vlan-name switch-options interface interface-name interface-mac-limit packet-action] hiérarchie et que vous exécutez l’opération commit , le système génère une erreur de validation. Le système ne génère pas d’erreur si vous incluez l’option shutdown au niveau de la [edit switch-options interface interface-name interface-mac-limit packet-action] hiérarchie.

Configuration de la limitation MAC (non-ELS)

Cette tâche utilise Junos OS pour les commutateurs EX Series et les commutateurs QFX3500 et QFX3600 qui ne prennent pas en charge le style de configuration ELS (Enhanced L2 Software).

Cette rubrique décrit différentes façons de configurer une limitation des adresses MAC dans les paquets reçus et transférés par le commutateur.

Avant de pouvoir modifier une limite MAC précédemment définie pour une interface ou un VLAN, vous devez d’abord effacer les entrées existantes dans la table de transfert d’adresse MAC qui correspondent à la modification que vous souhaitez apporter. Ainsi, pour modifier la limite d’une interface, effacez d’abord les entrées de la table de transfert de l’adresse MAC de cette interface. Pour modifier la limite sur toutes les interfaces et tous les VLAN, effacez toutes les entrées de la table de transfert d’adresse MAC. Pour modifier la limite d’un VLAN, effacez les entrées de la table de transfert de l’adresse MAC de ce VLAN.

Pour effacer les adresses MAC de la table de transfert :

  • Effacez les entrées d’adresse MAC d’une interface spécifique (ici, l’interface est ge-0/0/1) dans la table de transfert :

  • Effacez toutes les entrées d’adresse MAC dans la table de transfert :

  • Effacez les entrées d’adresse MAC d’un VLAN spécifique (ici, le VLAN est vlan-abc) :

Les différentes façons de définir une limite MAC sont décrites dans les sections suivantes :

Limitation du nombre d’adresses MAC pouvant être apprises sur les interfaces

Permet de configurer la limitation MAC pour la sécurité des ports en définissant un nombre maximal d’adresses MAC pouvant être apprises sur les interfaces.

  • Appliquer la limite MAC sur une seule interface (ici, l’interface est ge-0/0/1) :

    Lorsqu’aucune action n’est spécifiée pour configurer la limite MAC sur une interface, l’appareil effectue l’action d’abandon par défaut si la limite est dépassée.

  • Appliquer la limite MAC à une seule interface d’accès, sur la base de son appartenance à un VLAN spécifique (ici, l’interface est ge-0/0/1 et le VLAN est v1.

    Avec ce type de configuration, l’appareil abandonne tous les paquets supplémentaires si la limite est dépassée et consigne également un message.

  • Appliquez la limite à toutes les interfaces d’accès :

    Lorsqu’aucune action n’est spécifiée pour configurer la limite MAC sur toutes les interfaces, l’appareil effectue l’action drop par défaut si la limite est dépassée :

Spécification des adresses MAC autorisées

Vous devez effacer les entrées existantes dans la table de transfert d’adresse MAC avant de modifier la limite d’adresse MAC.

Pour configurer la limitation MAC pour la sécurité des ports en spécifiant les adresses MAC autorisées :

  • Sur une seule interface (ici, l’interface est ge-0/0/2) :
  • Sur toutes les interfaces :

Configuration de la limitation MAC pour les VLAN

Vous devez effacer les entrées existantes dans la table de transfert d’adresse MAC avant de pouvoir modifier la limite d’adresse MAC.

La limitation MAC d’un VLAN restreint les adresses MAC qui peuvent être apprises pour ce VLAN, mais n’abandonne pas le paquet. Par conséquent, la définition de la limite MAC sur un VLAN n’est pas considérée comme une fonctionnalité de sécurité de port.

Note:

La configuration d’adresses MAC spécifiques autorisées ne s’applique pas aux VLAN.

Pour configurer la limitation MAC d’un VLAN à l’aide de l’interface de ligne de commande :

Limiter le nombre d’adresses MAC dynamiques sur un VLAN :

Si la limite MAC d’un VLAN spécifique est dépassée, l’équipement consigne les adresses MAC des paquets à l’origine du dépassement de la limite. Aucune autre action n’est possible.

Note:

Lorsque vous appliquez une limite MAC à un VLAN, ne définissez mac-limit pas la valeur 1 pour un VLAN composé d’interfaces VLAN routées (RVI) ou un VLAN composé de paquets Ethernet agrégés à l’aide de LACP. Dans ces cas, la définition de la mac-limit valeur 1 empêche l’appareil d’apprendre les adresses MAC autres que les adresses automatiques :

  • Pour les RVI, la première adresse MAC insérée dans la base de données de transfert est l’adresse MAC du RVI.

  • Pour les paquets Ethernet agrégés utilisant LACP, la première adresse MAC insérée dans la base de données de transfert dans la table de transfert est l’adresse source du paquet de protocole.

Si le VLAN est composé d’interfaces d’accès ou de jonction standard, vous pouvez définir la mac-limit valeur 1 si vous le souhaitez.

Voir aussi

Configuration de la limitation MAC sur les routeurs MX Series

Cette rubrique décrit les différentes façons de configurer une limitation des adresses MAC dans les paquets reçus et transférés par les routeurs MX Series.

Limitation du nombre d’adresses MAC apprises par une interface

Pour sécuriser un port, vous pouvez définir le nombre maximal d’adresses MAC pouvant être apprises par une interface.

Les routeurs MX Series prennent en charge uniquement l’action de suppression . Si l’action n’est pas spécifiée, le routeur effectue l’action d’abandon par défaut si la limite est dépassée.

Définissez la limite MAC sur une interface et spécifiez l’action que le routeur entreprend après le dépassement de la limite spécifiée.
Si vous souhaitez définir la limite MAC sur une interface faisant partie de l’instance de routage par défaut :
Si vous souhaitez définir la limite MAC sur une interface faisant partie d’une instance de routage :
Si vous souhaitez définir la limite MAC sur toutes les interfaces faisant partie de l’instance de routage par défaut :
Si vous souhaitez définir la limite MAC sur toutes les interfaces faisant partie d’une instance de routage :

Une fois que vous avez défini une nouvelle limite MAC pour l’interface, le système efface les entrées existantes dans la table de transfert d’adresse MAC associée à l’interface.

Limitation du nombre d’adresses MAC apprises par un domaine de pont

Pour limiter le nombre d’adresses MAC apprises par un domaine de pont, effectuez les opérations suivantes :

Définissez le nombre maximal d’adresses MAC pouvant être apprises par un domaine de pont et spécifiez une action que l’appareil effectue après le dépassement de la limite spécifiée :

Limitation du nombre d’adresses MAC apprises par une interface dans un domaine de pont

Pour limiter le nombre d’adresses MAC apprises par une interface dans un domaine de pont, effectuez les opérations suivantes :

  1. Définissez le nombre maximal d’adresses MAC pouvant être apprises par une interface dans un domaine de pont et spécifiez une action que le périphérique effectue après le dépassement de la limite spécifiée :
  2. Définissez le nombre maximal d’adresses MAC pouvant être apprises par une ou toutes les interfaces du domaine de pont, puis spécifiez une action que l’appareil effectue après le dépassement de la limite spécifiée :
    Note:

    Si vous spécifiez une limite MAC et une action de paquet pour toutes les interfaces du domaine de pont et une interface spécifique dans le domaine de pont, la limite MAC et l’action de paquet spécifiées au niveau de l’interface spécifique sont prioritaires. De plus, au niveau de l’interface du domaine de pont, seule l’option drop est prise en charge.

Configuration de la limitation MAC (procédure J-Web)

La limitation MAC protège contre le flooding de la table de commutation Ethernet sur un commutateur EX Series. La limitation MAC définit une limite au nombre d’adresses MAC pouvant être apprises sur une seule interface d’accès (port) de couche 2.

Junos OS propose deux méthodes de limitation MAC :

  • Nombre maximal d’adresses MAC dynamiques autorisées par interface : si la limite est dépassée, les paquets entrants avec de nouvelles adresses MAC sont abandonnés.

  • Adresses MAC « autorisées » spécifiques pour l’interface d’accès : les adresses MAC qui ne figurent pas dans la liste des adresses configurées ne sont pas apprises.

Vous configurez la limitation MAC pour chaque interface, et non pour chaque VLAN. Vous pouvez spécifier le nombre maximal d’adresses MAC dynamiques pouvant être apprises sur une seule interface d’accès de couche 2 ou sur toutes les interfaces d’accès de couche 2. En cas de dépassement de ce nombre maximal, le commutateur doit par défaut abandonner le paquet, c’est-à-dire supprimer le paquet et générer une alarme, une interruption SNMP ou une entrée de journal système.

Pour activer la limitation MAC sur une ou plusieurs interfaces à l’aide de l’interface J-Web :

  1. Sélectionnez Configurer>Sécurité>Sécurité des ports.
  2. Sélectionnez une ou plusieurs interfaces dans la liste des interfaces.
  3. Cliquez sur le bouton Modifier . Si un message s’affiche vous demandant si vous souhaitez activer la sécurité des ports, cliquez sur Oui.
  4. Pour définir une limite MAC dynamique :

    1. Saisissez une valeur limite dans la zone Limite MAC .

    2. Sélectionnez une action dans la zone Action de limite MAC (facultatif). Le commutateur effectue cette action lorsque la limite MAC est dépassée. Si vous ne sélectionnez pas d’action, le commutateur applique l’action par défaut, drop.

      • Log (Journal) : génère une entrée de journal système.

      • Drop (Abandonner) : supprime les paquets et génère une entrée de journal système. (Par défaut)

      • Shutdown (Arrêter) : arrêtez le VLAN et générez une entrée de journal système. Vous pouvez atténuer l’effet de cette option en configurant le commutateur pour la récupération automatique à partir de l’état désactivé et en spécifiant une valeur de délai d’expiration de désactivation .

      • Aucune— Aucune action à entreprendre.

  5. Pour ajouter des adresses MAC autorisées, procédez comme suit :

    1. Cliquez sur Ajouter.

    2. Saisissez l’adresse MAC autorisée et cliquez sur OK.

    Répétez cette étape pour ajouter d’autres adresses MAC autorisées.

  6. Cliquez sur OK lorsque vous avez terminé de définir les limites MAC.
  7. Cliquez sur OK une fois la configuration livrée avec succès.
Note:

Vous pouvez activer ou désactiver la sécurité des ports sur le commutateur à tout moment en cliquant sur le bouton Activer ou Désactiver sur la page Configuration de la sécurité des ports. Si l’état de sécurité est Désactivé lorsque vous essayez de modifier les paramètres d’un VLAN ou d’une interface (ports), un message vous demandant si vous souhaitez activer la sécurité des ports s’affiche.

Voir aussi