Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Présentation de la validation des adresses MAC pour les interfaces abonnés

La validation de l’adresse MAC permet au routeur de vérifier que les paquets reçus contiennent une source IP approuvée et une adresse source MAC Ethernet.

La configuration de la validation des adresses MAC peut fournir une validation supplémentaire lorsque les abonnés accèdent à des services facturables. La validation des adresses MAC offre une sécurité supplémentaire en permettant au routeur d’abandonner les paquets qui ne correspondent pas, tels que les paquets avec des adresses usurpées.

Lorsque les abonnés se connectent, le protocole DHCP leur attribue automatiquement une adresse IP. Lorsque la validation des adresses MAC est activée, le routeur compare les adresses IP source et MAC aux adresses de confiance, et transfère ou abandonne les paquets en fonction de la correspondance et du mode de validation.

Types d’interfaces abonnés pris en charge

La validation de l’adresse MAC est prise en charge sur les interfaces Ethernet et les interfaces demux créées de manière statique ou dynamique, comme suit :

  • Lorsque le routeur est configuré pour un mode de services réseau normal (non amélioré), la validation de l’adresse MAC est prise en charge sur les DPC et les MPC. Le routeur peut être entièrement équipé de l’un ou l’autre type de carte de ligne, ou avoir un mélange des deux types. Le mode de services réseau normal est le mode par défaut.

  • Lorsque le routeur est configuré pour le mode Services réseau IP améliorés ou le mode Services réseau Ethernet améliorés, la validation de l’adresse MAC est prise en charge uniquement sur les MPC. Si le routeur comporte à la fois des DPC et des MPC, ou uniquement des DPC, vous ne pouvez pas configurer le châssis pour qu’il soit en mode amélioré.

La validation de l’adresse MAC est optimisée pour la mise à l’échelle lorsque le routeur est en mode de services réseau améliorés. Les modes de services réseau améliorés affectent d’autres fonctionnalités, telles que le multicast et les filtres de pare-feu, vous devez donc en tenir compte lorsque vous décidez de configurer ou non le mode amélioré. Pour plus d’informations sur les modes de service réseau améliorés, reportez-vous à la section Présentation du mode Services réseau.

En mode de services réseau normal, vous pouvez utiliser la show interfaces statistics interface-name commande pour afficher le nombre de paquets qui ont échoué à la validation et qui ont été abandonnés, par interface. En mode Services réseau améliorés, cette commande ne compte pas les paquets abandonnés ; vous devez contacter le service client de Juniper Networks pour obtenir de l’aide concernant la collecte de ces données.

Adresses de confiance

Un tuple d’adresse de confiance est une adresse IP de 32 bits et une adresse MAC de 48 bits. Les préfixes et les plages ne sont pas pris en charge.

L’adresse IP source et l’adresse MAC utilisées pour la validation doivent provenir d’une source fiable.

Toutes les adresses ARP statiques configurées via l’interface de ligne de commande sont des adresses de confiance. Les adresses ARP dynamiques ne sont pas considérées comme des adresses de confiance.

Les adresses créées dynamiquement par le biais d’un serveur local DHCP étendu ou d’un relais DHCP étendu sont également des adresses de confiance. Lorsqu’un serveur DHCP et un client négocient une adresse IP, l’adresse IP et l’adresse MAC résultantes sont approuvés. Chaque abonné DHCP peut générer plusieurs tuples d’adresse.

Chaque adresse MAC peut avoir plusieurs adresses IP, ce qui peut entraîner plusieurs tuples valides. Chaque adresse IP doit être mappée à une adresse MAC.

Types de validation d’adresse MAC

Vous pouvez configurer l’un des deux types ou modes de validation de l’adresse MAC, lâche ou strict. Le comportement des deux modes varie en fonction de la façon dont les paquets entrants correspondent aux tuples d’adresse de confiance. Les modes ne diffèrent que lorsque l’adresse IP source seule ne correspond à aucune adresse IP de confiance. Le Tableau 1 compare le comportement des deux modes. Les paquets abandonnés sont considérés comme usurpés.

Tableau 1 : Comparaison des modes de validation des adresses MAC

Les adresses de paquets entrants correspondent au tuple d’adresses de confiance

Action en mode lâche

Strict Mode Action

  • Correspondances d’adresses IP sources

    et

  • Correspondances d’adresses MAC source

Transfère le paquet

Transfère le paquet

  • Correspondances d’adresses IP sources

    mais

  • L’adresse MAC source ne correspond pas

Paquet de gouttes

Paquet de gouttes

  • L’adresse IP source ne correspond pas

    et

  • L’adresse MAC source correspond ou ne correspond pas

Transfère le paquet

Paquet de gouttes

La configuration du mode strict est une stratégie plus conservatrice, car elle nécessite que les deux adresses sources reçues correspondent aux adresses de confiance.

Lorsque vous configurez la validation d’adresse MAC pour les interfaces IP demux dans un profil dynamique et que vous spécifiez une validation lâche ou stricte, le comportement résultant est toujours une validation lâche. Pour activer un comportement strict pour une interface IP demux dynamique, vous devez configurer une validation stricte à la fois pour l’interface IP demux et l’interface sous-jacente.

Documentation connexe