Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration des limites MAC

Configuration de la limitation MAC (ELS)

Cette rubrique décrit les différentes façons de configurer une limitation des adresses MAC dans les paquets reçus et transférés par l’équipement.

Note:

Les tâches présentées dans cette section utilisent Junos OS pour les commutateurs EX Series, les commutateurs QFX3500 et QFX3600, et les routeurs PTX Series qui prennent en charge le style de configuration els (Enhanced Layer 2 Software). Voir Utilisation de l’interface cli logicielle de couche 2 améliorée pour plus d’informations sur les configurations ELS.

Les différentes méthodes de définition d’une limite MAC sont décrites dans les sections suivantes :

Limiter le nombre d’adresses MAC apprises par une interface

Note:

Sur les routeurs PTX Series, vous pouvez limiter le nombre d’adresses MAC apprises par une interface uniquement.

Pour sécuriser un port, vous pouvez définir le nombre maximal d’adresses MAC pouvant être apprises par une interface.

Définissez la limite MAC sur une interface et spécifiez l’action que l’équipement effectue une fois la limite spécifiée dépassée.
Si vous souhaitez définir la limite MAC sur une interface qui fait partie de l’instance de routage par défaut :
Si vous souhaitez définir la limite MAC sur une interface qui fait partie d’une instance de routage :
Si vous souhaitez définir la limite MAC sur toutes les interfaces qui font partie de l’instance de routage par défaut :
Si vous souhaitez définir la limite MAC sur toutes les interfaces qui font partie d’une instance de routage :

Une fois que vous avez défini une nouvelle limite MAC pour l’interface, le système efface les entrées existantes dans la table de transfert d’adresses MAC associée à l’interface.

Limiter le nombre d’adresses MAC apprises par un VLAN

Pour limiter le nombre d’adresses MAC apprises par un VLAN, procédez comme suit :

Définissez le nombre maximal d’adresses MAC pouvant être apprises par un VLAN et spécifiez l’action que l’équipement effectue une fois que la limite spécifiée est dépassée :

Limitation du nombre d’adresses MAC apprises par une interface dans un VLAN

Pour limiter le nombre d’adresses MAC apprises par une interface dans un VLAN, procédez comme suit :

  1. Définissez le nombre maximal d’adresses MAC pouvant être apprises par une interface dans un VLAN et spécifiez l’action que l’équipement effectue une fois la limite spécifiée dépassée :
  2. Définissez le nombre maximal d’adresses MAC pouvant être apprises par une ou toutes les interfaces du VLAN, et spécifiez une action que l’équipement prend une fois la limite spécifiée dépassée :
    Note:

    Si vous spécifiez une limite MAC et une action de paquet pour toutes les interfaces du VLAN et une interface spécifique dans le VLAN, la limite MAC et l’action de paquet spécifiée au niveau de l’interface spécifique ont priorité. Au niveau de l’interface VLAN, seules les drop options et drop-and-log sont prises en charge.

    Une fois que vous avez défini de nouvelles limites MAC pour un VLAN à l’aide de l’instruction mac-table-size ou pour les interfaces associées à un VLAN à l’aide de l’instruction interface-mac-limit , le système efface les entrées existantes correspondantes dans la table de transfert d’adresses MAC.

    Note:

    Sur un Virtual Chassis QFX Series, si vous incluez l’option shutdown au niveau de la [edit vlans vlan-name switch-options interface interface-name interface-mac-limit packet-action] hiérarchie et que vous mettez en cause l’opération commit , le système génère une erreur de validation. Le système ne génère pas d’erreur si vous incluez l’option shutdown au niveau de la [edit switch-options interface interface-name interface-mac-limit packet-action] hiérarchie.

Configuration de la limitation MAC (non-ELS)

Cette tâche utilise Junos OS pour les commutateurs EX Series et les commutateurs QFX3500 et QFX3600 qui ne prennent pas en charge le style de configuration ELS (Enhanced Layer 2 Software).

Cette rubrique décrit différentes façons de configurer une limitation des adresses MAC dans les paquets reçus et transférés par le commutateur.

Avant de pouvoir modifier une limite MAC précédemment définie pour une interface ou un VLAN, vous devez d’abord effacer les entrées existantes dans la table de transfert d’adresses MAC qui correspondent à la modification que vous souhaitez effectuer. Ainsi, pour modifier la limite d’une interface, effacez d’abord les entrées de la table de transfert d’adresses MAC pour cette interface. Pour modifier la limite de toutes les interfaces et VLAN, effacez toutes les entrées de table de transfert d’adresses MAC. Pour modifier la limite d’un VLAN, effacez les entrées de table de transfert d’adresses MAC pour ce VLAN.

Pour effacer les adresses MAC de la table de transfert :

  • Effacer les entrées d’adresse MAC d’une interface spécifique (ici, l’interface est ge-0/0/1) dans la table de transfert :

  • Effacez toutes les entrées d’adresse MAC dans la table de transfert :

  • Effacer les entrées d’adresse MAC d’un VLAN spécifique (ici, le VLAN est vlan-abc) :

Les différentes méthodes de définition d’une limite MAC sont décrites dans les sections suivantes :

Limiter le nombre d’adresses MAC pouvant être apprises sur les interfaces

Pour configurer la limitation MAC pour la sécurité des ports en définissant un nombre maximal d’adresses MAC pouvant être apprises sur les interfaces.

  • Appliquez la limite MAC sur une interface unique (ici, l’interface est ge-0/0/1) :

    Lorsqu’aucune action n’est spécifiée pour configurer la limite MAC sur une interface, l’équipement effectue la drop d’action par défaut si la limite est dépassée.

  • Appliquez la limite MAC sur une interface d’accès unique, en fonction de son appartenance à un VLAN spécifique (ici, l’interface est ge-0/0/1 et le VLAN est v1.

    Avec ce type de configuration, l’équipement abandonne tous les paquets supplémentaires si la limite est dépassée et enregistre également un message.

  • Appliquez la limite à toutes les interfaces d’accès :

    Lorsqu’aucune action n’est spécifiée pour configurer la limite MAC sur toutes les interfaces, l’équipement effectue la drop d’action par défaut si la limite est dépassée :

Spécification des adresses MAC autorisées

Vous devez effacer les entrées existantes dans la table de transfert d’adresses MAC avant de modifier la limite d’adresse MAC.

Pour configurer la limitation MAC pour la sécurité des ports en spécifiant les adresses MAC autorisées :

  • Sur une seule interface (ici, l’interface est ge-0/0/2) :
  • Sur toutes les interfaces :

Configuration de la limitation MAC pour les VLAN

Vous devez effacer les entrées existantes dans la table de transfert d’adresses MAC avant de pouvoir modifier la limite d’adresse MAC.

La limitation MAC pour un VLAN limite les adresses MAC qui peuvent être apprises pour ce VLAN, mais ne laisse pas tomber le paquet. Par conséquent, définir la limite MAC sur un VLAN n’est pas considéré comme une fonctionnalité de sécurité des ports.

Note:

La configuration des adresses MAC autorisées spécifiques ne s’applique pas aux VLAN.

Pour configurer la limitation MAC pour un VLAN à l’aide de la CLI :

Limitez le nombre d’adresses MAC dynamiques sur un VLAN :

Si la limite MAC sur un VLAN spécifique est dépassée, l’équipement enregistre les adresses MAC des paquets qui entraînent le dépassement de la limite. Aucune autre action n’est possible.

Note:

Lorsque vous appliquez une limite MAC sur un VLAN, ne définissez pas la valeur mac-limit 1 pour un VLAN composé d’interfaces VLAN routés (RRV) ou un VLAN composé d’offres Ethernet agrégées à l’aide du LACP. Dans ces cas, la définition de la mac-limit valeur 1 empêche l’équipement d’apprendre des adresses MAC autres que les adresses automatiques :

  • Pour les RVI, la première adresse MAC insérée dans la base de données de transfert est l’adresse MAC de la RVI.

  • Pour les offres Ethernet agrégées utilisant LACP, la première adresse MAC insérée dans la base de données de transfert dans la table de transfert est l’adresse source du paquet de protocole.

Si le VLAN est composé d’interfaces d’accès ou de tronc ordinaires, vous pouvez définir la mac-limit sur 1 si vous le souhaitez.

Configuration de la limitation MAC sur les routeurs MX Series

Cette rubrique décrit les différentes façons de configurer une limitation des adresses MAC dans les paquets reçus et transférés par les routeurs MX Series.

Limiter le nombre d’adresses MAC apprises par une interface

Pour sécuriser un port, vous pouvez définir le nombre maximal d’adresses MAC pouvant être apprises par une interface.

Les routeurs MX Series ne prennent en charge que l’action de drop . Si l’action n’est pas spécifiée, le routeur effectue la drop d’action par défaut si la limite est dépassée.

Définissez la limite MAC sur une interface et spécifiez l’action que le routeur effectue une fois la limite spécifiée dépassée.
Si vous souhaitez définir la limite MAC sur une interface qui fait partie de l’instance de routage par défaut :
Si vous souhaitez définir la limite MAC sur une interface qui fait partie d’une instance de routage :
Si vous souhaitez définir la limite MAC sur toutes les interfaces qui font partie de l’instance de routage par défaut :
Si vous souhaitez définir la limite MAC sur toutes les interfaces qui font partie d’une instance de routage :

Une fois que vous avez défini une nouvelle limite MAC pour l’interface, le système efface les entrées existantes dans la table de transfert d’adresses MAC associée à l’interface.

Limitation du nombre d’adresses MAC apprises par un domaine de pont

Pour limiter le nombre d’adresses MAC apprises par un domaine de pont, procédez comme suit :

Définissez le nombre maximal d’adresses MAC pouvant être apprises par un domaine de pont, et spécifiez l’action que l’équipement effectue une fois la limite spécifiée dépassée :

Limitation du nombre d’adresses MAC apprises par une interface dans un domaine de pont

Pour limiter le nombre d’adresses MAC apprises par une interface dans un domaine de pont, procédez comme suit :

  1. Définissez le nombre maximal d’adresses MAC pouvant être apprises par une interface dans un domaine de pont, puis spécifiez l’action que l’équipement prend après le dépassement de la limite spécifiée :
  2. Définissez le nombre maximal d’adresses MAC pouvant être apprises par une ou toutes les interfaces du domaine de pont, et spécifiez l’action que l’équipement prend une fois la limite spécifiée dépassée :
    Note:

    Si vous spécifiez une limite MAC et une action de paquet pour toutes les interfaces du domaine de pont et une interface spécifique dans le domaine de pont, la limite MAC et l’action de paquet spécifiée au niveau de l’interface spécifique ont priorité. En outre, au niveau de l’interface de domaine de pont, seule l’option drop est prise en charge.

Configuration de la limitation MAC (procédure J-Web)

La limitation MAC protège contre l’inondation de la table de commutation Ethernet sur un commutateur EX Series. La limitation MAC fixe une limite au nombre d’adresses MAC pouvant être apprises sur une seule interface d’accès de couche 2 (port).

Junos OS fournit deux méthodes de limitation MAC :

  • Nombre maximal d’adresses MAC dynamiques autorisées par interface : si la limite est dépassée, les paquets entrants avec de nouvelles adresses MAC sont supprimés.

  • Adresses MAC « autorisées » spécifiques pour l’interface d’accès : toute adresse MAC qui ne figure pas dans la liste des adresses configurées n’est pas apprise.

Vous configurez la limitation MAC pour chaque interface, et non pour chaque VLAN. Vous pouvez spécifier le nombre maximal d’adresses MAC dynamiques qui peuvent être apprises sur une interface d’accès de couche 2 unique ou sur toutes les interfaces d’accès de couche 2. L’action par défaut que le commutateur prendra si ce nombre maximal est dépassé est de laisser tomber le paquet et de générer une alarme, un piège SNMP ou une entrée de journal système.

Pour permettre la limitation MAC sur une ou plusieurs interfaces à l’aide de l’interface J-Web :

  1. Sélectionnez Configurer>Sécurité>Port Security.
  2. Sélectionnez une ou plusieurs interfaces dans la liste d’interfaces.
  3. Cliquez sur le bouton Modifier . Si un message vous demande si vous souhaitez activer la sécurité des ports, cliquez sur Oui.
  4. Pour définir une limite MAC dynamique :
    1. Saisissez une valeur limite dans la zone Limite MAC .

    2. Sélectionnez une action dans la zone d’action limite MAC (facultatif). Le commutateur prend cette action lorsque la limite MAC est dépassée. Si vous ne sélectionnez pas d’action, le commutateur applique l’action par défaut, drop.

      • Journalisation : générez une entrée de journal système.

      • Drop (Drop) : déposez les paquets et générez une entrée de journal système. (Par défaut)

      • Arrêt : arrêtez le VLAN et générez une entrée de journal système. Vous pouvez atténuer l’effet de cette option en configurant le commutateur pour la récupération automatique à partir de l’état désactivé et en spécifiant une valeur de délai de désactivation .

      • Aucun : aucune action à prendre.

  5. Pour ajouter des adresses MAC autorisées :
    1. Cliquez sur Ajouter.

    2. Saisissez l’adresse MAC autorisée et cliquez sur OK.

    Répétez cette étape pour ajouter d’autres adresses MAC autorisées.

  6. Cliquez sur OK lorsque vous avez fini de définir les limites MAC.
  7. Cliquez sur OK une fois la configuration livrée avec succès.
Note:

Vous pouvez activer ou désactiver la sécurité des ports sur le commutateur à tout moment en cliquant sur le bouton Activer ou Désactiver sur la page de configuration de la sécurité du port. Si l’état de sécurité apparaît comme désactivé lorsque vous essayez de modifier les paramètres d’un VLAN ou d’une interface (port), un message vous demandant si vous souhaitez activer la sécurité des ports s’affiche.