Comprendre et utiliser l’apprentissage MAC persistant
Comprendre l’apprentissage MAC persistant (Sticky MAC)
L’apprentissage MAC persistant, également connu sous le nom de MAC rémanent, est une fonctionnalité de sécurité de port qui permet à une interface de conserver les adresses MAC apprises dynamiquement lorsque le commutateur est redémarré ou si l’interface tombe en panne et est remise en ligne.
L’apprentissage persistant des adresses MAC est désactivé par défaut. Vous pouvez activer l’apprentissage d’adresses MAC persistantes en conjonction avec la limitation MAC pour limiter le nombre d’adresses MAC persistantes. Vous activez cette fonctionnalité sur les interfaces.
Configurez l’apprentissage MAC persistant sur une interface pour :
Évitez les pertes de trafic pour les postes de travail et les serveurs de confiance, car l’interface n’a pas besoin de réapprendre les adresses du trafic entrant après un redémarrage.
Protégez le commutateur contre les attaques de sécurité. Utilisez l’apprentissage MAC persistant en combinaison avec la limitation MAC pour vous protéger contre les attaques, telles que les attaques par déni de service (DoS) de couche 2, les attaques par dépassement de capacité sur la table de commutation Ethernet et les attaques par manque DHCP, en limitant les adresses MAC autorisées tout en permettant à l’interface d’apprendre dynamiquement un nombre spécifié d’adresses MAC. L’interface est sécurisée, car une fois la limite atteinte, d’autres équipements ne peuvent plus se connecter au port.
En configurant l’apprentissage MAC persistant avec la limitation MAC, vous permettez aux interfaces d’apprendre les adresses MAC des postes de travail et des serveurs approuvés à partir du moment où vous connectez l’interface à votre réseau jusqu’à ce que la limite d’adresses MAC soit atteinte, et vous vous assurez qu’une fois cette limite atteinte, les nouveaux périphériques ne seront pas autorisés à se connecter à l’interface, même si le commutateur redémarre. Au lieu d’utiliser l’apprentissage MAC persistant avec limitation MAC, vous pouvez configurer chaque adresse MAC de manière statique sur chaque port ou permettre au port d’apprendre en continu de nouvelles adresses MAC après des redémarrages ou des événements de panne d’interface. Permettre au port d’apprendre en permanence les adresses MAC représente un risque pour la sécurité.
-
Lorsqu’un commutateur redémarre ou qu’une interface redémarre, il peut s’écouler un court délai avant que l’interface puisse en savoir plus sur les adresses MAC. Ce délai se produit pendant que le système ressaisit les adresses MAC persistantes précédemment apprises dans la base de données de transfert de l’interface.
-
À partir de la version 22.4R1 de Junos OS, vous pouvez activer l’apprentissage MAC persistant sur les interfaces de jonction (balisées VLAN) et d’accès.
Tenez compte des instructions de configuration suivantes lors de la configuration de l’apprentissage MAC persistant :
Vous ne pouvez pas activer l’apprentissage MAC persistant sur une interface sur laquelle l’authentification 802.1x est configurée.
Vous ne pouvez pas activer l’apprentissage MAC persistant sur une interface qui fait partie d’un groupe de jonction redondant.
Vous ne pouvez pas activer l’apprentissage MAC persistant sur une interface sur laquelle l’apprentissage sans mac est activé.
Si vous déplacez un périphérique au sein de votre réseau qui a une entrée d’adresse MAC persistante sur le commutateur, utilisez la clear ethernet-switching table persistent-learning <interface | mac-address> commande pour effacer l’entrée d’adresse MAC persistante de l’interface. Si vous déplacez l’appareil et que vous n’effacez pas l’adresse MAC persistante du port d’origine sur lequel il a été appris, le nouveau port n’apprendra pas l’adresse MAC du périphérique et l’appareil ne pourra pas se connecter. Si le port d’origine est indisponible lorsque vous déplacez l’appareil, le nouveau port apprendra l’adresse MAC et l’appareil pourra se connecter. Toutefois, si vous n’effacez pas l’adresse MAC persistante sur le port d’origine, lorsque le port redémarre, le système réinstalle l’adresse MAC persistante dans la table de transfert de ce port. Si cela se produit, l’adresse MAC persistante est supprimée du nouveau port et l’appareil perd sa connectivité.
Configuration de l’apprentissage MAC persistant (ELS)
Cette section décrit l’utilisation de Junos OS avec la prise en charge du logiciel de couche 2 amélioré (ELS). Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de l’interface de ligne de commande logicielle de couche 2 améliorée
Pour configurer l’apprentissage MAC persistant sur une interface et limiter le nombre d’adresses MAC autorisées :
Les valeurs de sont les action suivantes :
drop |
Supprimez les paquets avec de nouvelles adresses MAC sources et n’apprenez pas les nouvelles adresses MAC source. |
drop-and-log |
(Commutateurs EX Series uniquement) Déposez les paquets avec de nouvelles adresses MAC sources et générez une alarme, une interruption SNMP ou une entrée de journal système. |
log |
(Commutateurs EX Series uniquement) Conservez les paquets avec de nouvelles adresses MAC sources et générez une alarme, une interruption SNMP ou une entrée de journal système. |
none |
(Commutateurs EX Series uniquement) Transférez les paquets avec de nouvelles adresses MAC sources et apprenez la nouvelle adresse MAC. |
shutdown |
(Commutateurs EX Series uniquement) Désactivez l’interface spécifiée et générez une alarme, une interruption SNMP ou une entrée de journal système. |
Si vous déplacez un périphérique au sein de votre réseau qui a une entrée d’adresse MAC persistante sur le commutateur, utilisez la clear ethernet-switching table persistent-learning commande pour effacer l’entrée d’adresse MAC persistante de l’interface. Si vous déplacez l’appareil et que vous n’effacez pas l’adresse MAC persistante du port d’origine sur lequel il a été appris, le nouveau port n’apprendra pas l’adresse MAC du périphérique et l’appareil ne pourra pas se connecter.
Si le port d’origine est indisponible lorsque vous déplacez l’appareil, le nouveau port apprendra l’adresse MAC et l’appareil pourra se connecter. Toutefois, si vous n’effacez pas l’adresse MAC persistante sur le port d’origine, lorsque le port redémarre, le système réinstalle l’adresse MAC persistante dans la table de transfert de ce port. Si cela se produit, l’adresse MAC persistante est supprimée du nouveau port et l’appareil perd sa connectivité.
Configuration de l’apprentissage MAC persistant (non-ELS)
L’apprentissage persistant des adresses MAC, également appelé MAC rémanent, est désactivé par défaut. Vous pouvez l’activer pour autoriser la conservation des adresses MAC apprises dynamiquement sur une interface lors des redémarrages du commutateur.
Cette section décrit l’utilisation de Junos OS sans prise en charge du logiciel de couche 2 amélioré (ELS). Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de l’interface de ligne de commande logicielle de couche 2 améliorée
Utilisez l’apprentissage persistant des adresses MAC pour :
Évitez les pertes de trafic pour les postes de travail et les serveurs de confiance, car l’interface n’a pas besoin de réapprendre les adresses du trafic entrant après un redémarrage.
Protégez le commutateur contre les attaques de sécurité : utilisez l’apprentissage MAC persistant en combinaison avec la limitation MAC pour vous protéger contre les attaques tout en évitant d’avoir à configurer les adresses MAC de manière statique. Lorsque l’apprentissage initial des adresses MAC jusqu’au nombre spécifié par la limite MAC est effectué, les nouvelles adresses ne seront pas autorisées, même après un redémarrage. Le port est sécurisé, car une fois la limite atteinte, d’autres équipements ne peuvent plus se connecter à l’interface.
Les premiers appareils qui envoient du trafic après la connexion sont appris pendant la période de connexion initiale. Vous pouvez surveiller les adresses MAC et fournir le même niveau de sécurité que si vous configuriez statiquement chaque adresse MAC sur chaque interface, mais avec moins d’effort manuel. L’apprentissage MAC persistant permet également d’éviter les pertes de trafic pour les postes de travail et les serveurs de confiance, car l’interface n’a pas besoin de réapprendre les adresses du trafic entrant.
Pour configurer l’apprentissage MAC persistant sur une interface et limiter le nombre d’adresses MAC autorisées :
Vérification du bon fonctionnement de l’apprentissage MAC persistant
But
Vérifiez que l’apprentissage MAC persistant, également appelé MAC persistant, fonctionne sur l’interface. L’apprentissage MAC persistant permet de conserver les adresses MAC apprises dynamiquement sur une interface après les redémarrages du commutateur (ou si l’interface tombe en panne).
Action
Affichez les adresses MAC qui ont été apprises. L’exemple de sortie suivant montre les résultats lorsque l’apprentissage MAC persistant est activé sur l’interface ge-0/0/42 :
show ethernet-switching, table persistent-mac
user@switch> show ethernet-switching table Ethernet-switching table: 8 entries, 2 learned, 5 persistent entries VLAN MAC address Type Age Interfaces default * Flood - All-members default 00:10:94:00:00:02 Persistent 0 ge-0/0/42.0 default 00:10:94:00:00:03 Persistent 0 ge-0/0/42.0 default 00:10:94:00:00:04 Persistent 0 ge-0/0/42.0 default 00:10:94:00:00:05 Persistent 0 ge-0/0/42.0 default 00:10:94:00:00:06 Persistent 0 ge-0/0/42.0 default 00:21:59:c8:0c:50 Learn 0 ae0.0 default 02:21:59:c8:0c:44 Learn 0 ae0.0
Signification
L’exemple de sortie montre que les adresses MAC apprises sont stockées dans la table de commutation Ethernet en tant qu’entrées persistantes. Si le commutateur est redémarré ou si l’interface tombe en panne et se rétablit, ces adresses sont rétablies dans la table.