Filtrado y contabilidad de direcciones MAC en interfaces Ethernet
Para bloquear todos los paquetes entrantes desde una dirección MAC específica, puede habilitar el filtrado de direcciones MAC. Puede configurar una interfaz Ethernet para aprender dinámicamente las direcciones MAC de origen o destino. En este tema se describe cómo habilitar el filtrado de direcciones MAC y cómo configurar la contabilidad de direcciones MAC.
Configuración del filtrado de direcciones MAC para interfaces Ethernet
Habilitación del filtrado de direcciones de origen
En interfaces Ethernet agregadas, Ethernet rápida, Gigabit Ethernet, IQ de Gigabit y PIC de Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet incorporado en el enrutador M7i), puede habilitar el filtrado de direcciones de origen para bloquear todos los paquetes entrantes desde una dirección MAC específica.
Para habilitar el filtrado, incluya la source-filtering instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]Nota:Cuando integra un enrutador T640 independiente en una matriz de enrutamiento, las direcciones MAC de control de acceso a medios (MAC) de PIC para el enrutador T640 integrado se derivan de un conjunto de direcciones MAC que mantiene el enrutador de matriz de transmisión. Para cada dirección MAC que especifique en la configuración de un enrutador T640 antes independiente, debe especificar la misma dirección MAC en la configuración del enrutador de matriz de transmisión.
De manera similar, cuando integra un enrutador T1600 o T4000 en una matriz de enrutamiento, las direcciones MAC PIC para el enrutador T1600 o T4000 integrado se derivan de un conjunto de direcciones MAC que mantiene el enrutador de transmisión Matrix Plus. Para cada dirección MAC que especifique en la configuración de un enrutador T1600 o T4000 antes independiente, debe especificar la misma dirección MAC en la configuración del enrutador de transmisión Matrix Plus.
Cuando está habilitado el filtrado de direcciones de origen, puede configurar la interfaz para recibir paquetes de direcciones MAC específicas. Para ello, especifique las direcciones MAC en la source-address-filter mac-address instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]
Puede especificar la dirección MAC como nn:nn:nn:nn:nn:nn o nnnn .nnnn.nnnn, donde n es un número hexadecimal. Puede configurar hasta 64 direcciones de origen. Para especificar más de una dirección, incluya la source-address-filter instrucción varias veces.
La source-address-filter instrucción no se admite en PIC IQ y Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet incorporado en el enrutador M7i); en su lugar, incluya la accept-source-mac instrucción. Para obtener más información, consulte Configuración de policías Gigabit Ethernet.
Si cambia la tarjeta Ethernet remota, la interfaz no puede recibir paquetes de la nueva tarjeta porque tiene una dirección MAC diferente.
El filtrado de direcciones de origen no funciona cuando el Protocolo de control de agregación de vínculos (LACP) está habilitado. Este comportamiento no se aplica a los enrutadores serie T y los enrutadores de transporte de paquetes serie PTX. Para obtener más información acerca de LACP, consulte Interfaces Ethernet agregadas.
En interfaces de Gigabit Ethernet sin etiquetar, no debe configurar la source-address-filter instrucción en el [edit interfaces ge-fpc/pic/port gigether-options] nivel de jerarquía y la accept-source-mac instrucción en el [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] nivel de jerarquía simultáneamente. Si estas instrucciones se configuran para las mismas interfaces al mismo tiempo, se muestra un mensaje de error.
En interfaces Gigabit Ethernet etiquetadas, no debe configurar la source-address-filter instrucción en el nivel de jerarquía [edit interfaces [edit interfaces ge-fpc/pic/port gigether-options] y la accept-source-mac instrucción en el [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] nivel de jerarquía con una dirección MAC idéntica especificada en ambos filtros. Si estas instrucciones se configuran para las mismas interfaces con una dirección MAC idéntica especificada, se mostrará un mensaje de error.
La source-address-filter instrucción no se admite en enrutadores serie MX con MPC4E (números de modelo: MPC4E-3D-32XGE-SFPP y MPC4E-3D-2CGE-8XGE); en su lugar, incluya la accept-source-mac instrucción. Para obtener más información, consulte Configuración de policías Gigabit Ethernet.
Configuración del filtrado de direcciones MAC en enrutadores de transporte de paquetes serie PTX
En este tema se describe cómo configurar el filtrado MAC en enrutadores de transporte de paquetes serie PTX. El filtrado MAC le permite especificar las direcciones MAC desde las que la interfaz Ethernet puede recibir paquetes.
La compatibilidad con filtrado MAC en enrutadores de transporte de paquetes serie PTX incluye:
Filtrado de direcciones de origen y destino MAC para cada puerto.
Filtrado de direcciones de origen MAC para cada interfaz física.
Filtrado de direcciones de origen MAC para cada interfaz lógica.
Cuando filtra interfaces lógicas y físicas, puede especificar hasta 1000 direcciones de origen MAC por puerto.
Para configurar el filtrado de direcciones de origen MAC para una interfaz física, incluya las source-filtering instrucciones y source-address-filter en el [edit interfaces et-fpc/pic/port gigether-options] nivel jerárquico:
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
source-address-filter {
mac-address;
}
}
}
La source-address-filter instrucción configura qué direcciones mac de origen se filtran. La interfaz física especificada elimina todos los paquetes de las direcciones mac de origen que especifique. Puede especificar la dirección MAC como nn:nn:nn:nn:nn:nn dónde n es un dígito decimal. Para especificar más de una dirección, incluya varias mac-address opciones en la source-address-filter instrucción.
Para configurar el filtrado de direcciones de origen MAC para una interfaz lógica, incluya la accept-source-mac instrucción en el [edit interfaces et-fpc/pic/port unit logical-unit-number] nivel jerárquico:
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
}
unit logical-unit-number {
accept-source-mac {
mac-address mac-address;
}
}
}
La accept-source-mac instrucción configura qué direcciones de origen MAC se aceptan en la interfaz lógica. Puede especificar la dirección MAC como nn:nn:nn:nn:nn:nn dónde n es un dígito decimal. Para especificar más de una dirección, incluya varias mac-address mac-address opciones en la accept-source-mac instrucción.
Después de configurar un filtro de interfaz, hay una entrada de contabilidad que se asocia con el filtro de dirección MAC. Los contadores se acumulan si hay paquetes con direcciones MAC de origen coincidentes. Puede usar el comando de CLI de show interfaces mac-database Junos OS para ver el recuento de direcciones.
Consulte también
Configuración de la contabilidad de direcciones MAC
Para pic Gigabit Ethernet IQ y Gigabit Ethernet con SFP (excepto la PIC Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet incorporado en el enrutador M7i), para DPC Gigabit Ethernet en enrutadores serie MX, para PIC tipo 5 de 100 Gigabit Ethernet con CFP, y para MPC3E, MPC4E, MPC5E, MPC5EQ y MPC6E, puede configurar si las direcciones MAC de origen y destino se aprenden dinámicamente.
Para configurar la contabilidad de direcciones MAC en una interfaz Ethernet individual, incluya la mac-learn-enable instrucción en el [edit interfaces interface-name gigether-options ethernet-switch-profile] nivel jerárquico:
[edit interfaces interface-name gigether-options ethernet-switch-profile] mac-learn-enable;
Para configurar la contabilidad de direcciones MAC en una interfaz Ethernet agregada, incluya la mac-learn-enable instrucción en el [edit interfaces aex aggregated-ether-options ethernet-switch-profile] nivel jerárquico:
[edit interfaces aex aggregated-ether-options ethernet-switch-profile] mac-learn-enable;
Para prohibir que una interfaz aprenda dinámicamente las direcciones MAC de origen y destino, no incluya la mac-learn-enable instrucción.
Para deshabilitar el aprendizaje dinámico de las direcciones MAC de origen y destino después de configurarlo, debe eliminar mac-learn-enable de la configuración.
Los MPC admiten la contabilidad de direcciones MAC para una interfaz individual o un vínculo de miembro de interfaz Ethernet agregado solo después de que la interfaz haya recibido tráfico del origen MAC. Si el tráfico solo sale de una interfaz, no se aprende la dirección MAC y no se realiza la contabilización de direcciones MAC.