Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Présentation de la validation de l’adresse MAC pour les interfaces abonnés

La validation de l’adresse MAC permet au routeur de confirmer que les paquets reçus contiennent une source IP approuvée et une adresse source MAC Ethernet.

La configuration de la validation des adresses MAC peut fournir une validation supplémentaire lorsque les abonnés accèdent à des services facturables. La validation des adresses MAC offre une sécurité supplémentaire en permettant au routeur d’abandonner les paquets qui ne correspondent pas, tels que les paquets avec des adresses usurpées.

Lorsque les abonnés se connectent, DHCP leur attribue automatiquement des adresses IP. Lorsque la validation de l’adresse MAC est activée, le routeur compare les adresses IP source et source MAC aux adresses approuvées, puis transfère ou supprime les paquets en fonction de la correspondance et du mode de validation.

Vous pouvez activer la validation des adresses MAC sur les interfaces configurées avec des adresses IPv4 ou IPv6.

Types d’interfaces abonnés pris en charge

La validation des adresses MAC est prise en charge sur les interfaces Ethernet et les interfaces demux créées de manière statique ou dynamique, comme suit :

  • Lorsque le routeur est configuré pour un mode de services réseau normal (non amélioré), la validation de l’adresse MAC est prise en charge à la fois sur les DPC et les MPC. Le routeur peut être complètement rempli avec l’un ou l’autre type de carte de ligne, ou avoir un mélange des deux types. Le mode par défaut des services réseau est normal.

  • Lorsque le routeur est configuré pour le mode Services réseau IP améliorés ou le mode Services réseau Ethernet améliorés, la validation de l’adresse MAC est prise en charge uniquement sur les MPC. Si le routeur comporte à la fois des DPC et des MPC, ou seulement des DPC, vous ne pouvez pas configurer le châssis pour qu’il soit en mode amélioré.

La validation des adresses MAC est optimisée pour évoluer lorsque le routeur est en mode de services réseau améliorés. Les modes de services réseau améliorés affectent d’autres fonctionnalités, telles que le multicast et les filtres de pare-feu, vous devez donc en tenir compte lorsque vous décidez de configurer ou non le mode amélioré. Pour plus d’informations sur les modes de service réseau améliorés, consultez Vue d’ensemble des modes de services réseau.

En mode Services réseau normal, vous pouvez utiliser la show interfaces statistics interface-name commande pour afficher le nombre de paquets dont la validation a échoué et qui ont été abandonnés par interface. En mode Services réseau améliorés, cette commande ne compte pas les paquets perdus ; Vous devez contacter le support client de Juniper Networks pour obtenir de l’aide concernant la collecte de ces données.

Adresses de confiance

Un tuple d’adresse sécurisée est une adresse IP de 32 bits/128 bits et une adresse MAC de 48 bits. Les préfixes et les plages ne sont pas pris en charge.

L’adresse IP source et l’adresse source MAC utilisées pour la validation doivent provenir d’une source approuvée.

Toutes les adresses ARP statiques configurées via la CLI sont des adresses approuvées ; Les adresses ARP dynamiques ne sont pas considérées comme des adresses approuvées.

Les adresses créées dynamiquement via un serveur local DHCP étendu ou un relais DHCP étendu sont également des adresses de confiance. Lorsqu’un serveur DHCP et un client négocient une adresse IP, l’adresse IP et le tuple d’adresse MAC qui en résultent sont approuvés. Chaque abonné DHCP peut générer plus d’un tuple d’adresse.

Chaque adresse MAC peut avoir plus d’une adresse IP, ce qui peut entraîner plusieurs tuples valides. Chaque adresse IP doit correspondre à une adresse MAC.

Types de validation d’adresse MAC

Vous pouvez configurer l’un des deux types ou modes de validation d’adresse MAC, lâche ou strict. Le comportement des deux modes varie en fonction de la correspondance des paquets entrants avec les tuples d’adresses approuvés. Les modes ne diffèrent que lorsque l’adresse IP source seule ne correspond à aucune adresse IP approuvée. Le Tableau 1 compare le comportement des deux modes. Les paquets perdus sont considérés comme usurpés.

Tableau 1 : Comparaison des modes de validation des adresses MAC

Les adresses de paquets entrantes correspondent au tuple d’adresse approuvée

Action en mode lâche

Strict Mode Action

  • Correspondances d’adresses IP sources

    et

  • Adresses sources MAC correspondantes

Paquets transférés

Paquets transférés

  • Correspondances d’adresses IP sources

    mais

  • L’adresse source MAC ne correspond pas

Perte de paquets

Perte de paquets

  • L’adresse IP source ne correspond pas

    et

  • L’adresse source MAC correspond ou ne correspond pas

Paquets transférés

Perte de paquets

La configuration du mode strict est une stratégie plus conservatrice car elle nécessite que les deux adresses sources reçues correspondent aux adresses approuvées.

Lorsque vous configurez la validation de l’adresse MAC pour les interfaces de multiplexage IP dans un profil dynamique et que vous spécifiez une validation souple ou stricte, le comportement résultant est toujours une validation lâche. Pour activer un comportement strict pour une interface de multiplexeur IP dynamique, vous devez configurer une validation stricte pour l’interface de multiplexage IP et l’interface sous-jacente.

Documentation connexe