Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filtrado y contabilidad de direcciones MAC en interfaces Ethernet

Aprenda a habilitar el filtrado de direcciones MAC y a configurar la contabilidad de direcciones MAC en interfaces Ethernet.

El filtrado de direcciones MAC es una función de seguridad que controla el acceso a la red mediante el filtrado de direcciones MAC. Para bloquear todos los paquetes entrantes desde una dirección MAC específica, puede habilitar el filtrado de direcciones MAC. Puede configurar una interfaz Ethernet para aprender dinámicamente las direcciones MAC de origen o destino.

Configuración del filtrado de direcciones MAC para interfaces Ethernet

Habilitar el filtrado de direcciones de origen

En interfaces Ethernet agregadas, Fast Ethernet, Gigabit Ethernet, Gigabit Ethernet IQ y PIC de Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), puede habilitar el filtrado de direcciones de origen para bloquear todos los paquetes entrantes desde una dirección MAC específica.

Para habilitar el filtrado, incluya la source-filtering instrucción en los siguientes niveles de jerarquía:

  • [edit interfaces interface-name aggregated-ether-options]

  • [edit interfaces interface-name fastether-options]

  • [edit interfaces interface-name gigether-options]

    Nota:

    Cuando integra un enrutador T640 independiente en una matriz de enrutamiento, las direcciones MAC (PIC media access control) para el enrutador T640 integrado se derivan de un conjunto de direcciones MAC mantenidas por el enrutador TX Matrix. Para cada dirección MAC que especifique en la configuración de un enrutador T640 anteriormente independiente, debe especificar la misma dirección MAC en la configuración del enrutador TX Matrix.

    De manera similar, cuando integra un enrutador T1600 o T4000 en una matriz de enrutamiento, las direcciones MAC de PIC para el enrutador T1600 o T4000 integrado se derivan de un conjunto de direcciones MAC mantenidas por el enrutador TX Matrix Plus. Para cada dirección MAC que especifique en la configuración de un enrutador T1600 o T4000 anteriormente independiente, debe especificar la misma dirección MAC en la configuración del enrutador TX Matrix Plus.

Cuando el filtrado de direcciones de origen está habilitado, puede configurar la interfaz para recibir paquetes de direcciones MAC específicas. Para ello, especifique las direcciones MAC en la source-address-filter mac-address instrucción en los siguientes niveles de jerarquía:

  • [edit interfaces interface-name aggregated-ether-options]

  • [edit interfaces interface-name fastether-options]

  • [edit interfaces interface-name gigether-options]

Puede especificar la dirección MAC como nn:nn:nn:nn:nn:nn o nnnn .nnnn.nnnn, donde n es un número hexadecimal. Puede configurar hasta 64 direcciones de origen. Para especificar más de una dirección, incluya la source-address-filter instrucción varias veces.

Nota:

La source-address-filter instrucción no se admite en las PIC IQ y Gigabit Ethernet de Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i); en su lugar, incluya la accept-source-mac instrucción. Para obtener más información, consulte Configuración de políticas de Gigabit Ethernet.

Si se cambia la tarjeta Ethernet remota, la interfaz no puede recibir paquetes de la nueva tarjeta porque tiene una dirección MAC diferente.

El filtrado de direcciones de origen no funciona cuando el Protocolo de control de agregación de vínculos (LACP) está habilitado. Este comportamiento no es aplicable a enrutadores serie T y enrutadores de transporte de paquetes serie PTX. Para obtener más información acerca de LACP, consulte Interfaces Ethernet agregadas.

Nota:

En interfaces Gigabit Ethernet sin etiquetar, no debe configurar la source-address-filter instrucción en el nivel de jerarquía y la accept-source-mac instrucción en el nivel de [edit interfaces ge-fpc/pic/port gigether-options][edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] jerarquía simultáneamente. Si estas instrucciones están configuradas para las mismas interfaces al mismo tiempo, se muestra un mensaje de error.

En interfaces Gigabit Ethernet etiquetadas, no debe configurar la source-address-filter instrucción en el nivel de jerarquía de interfaces [edit interfaces [edit interfaces ge-fpc/pic/port gigether-options] ] y la accept-source-mac instrucción en el nivel de [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] jerarquía con una dirección MAC idéntica especificada en ambos filtros. Si estas instrucciones están configuradas para las mismas interfaces con una dirección MAC idéntica especificada, se muestra un mensaje de error.

Nota:

La source-address-filter instrucción no se admite en enrutadores de la serie MX con MPC4E (números de modelo: MPC4E-3D-32XGE-SFPP y MPC4E-3D-2CGE-8XGE); en su lugar, incluya la accept-source-mac instrucción. Para obtener más información, consulte Configuración de políticas de Gigabit Ethernet.

Configuración de la contabilidad de direcciones MAC

Para las PIC IQ y Gigabit Ethernet de Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), para las CPC de Gigabit Ethernet en enrutadores de la serie MX, para la PIC de 100 Gigabit Ethernet tipo 5 con CFP y para las MPC MPC3E, MPC4E, MPC5E, MPC5EQ y MPC6E, puede configurar si las direcciones MAC de origen y destino se aprenden dinámicamente.

Para configurar la contabilidad de direcciones MAC en una interfaz Ethernet individual, incluya la mac-learn-enable instrucción en el nivel de [edit interfaces interface-name gigether-options ethernet-switch-profile] jerarquía:

Para configurar la contabilidad de direcciones MAC en una interfaz Ethernet agregada, incluya la mac-learn-enable instrucción en el nivel de [edit interfaces aex aggregated-ether-options ethernet-switch-profile] jerarquía:

Para prohibir que una interfaz aprenda dinámicamente direcciones MAC de origen y destino, no incluya la mac-learn-enable instrucción.

Para deshabilitar el aprendizaje dinámico de las direcciones MAC de origen y destino después de que se haya configurado, debe eliminarlo mac-learn-enable de la configuración.

Nota:

Las MPC admiten la contabilización de direcciones MAC para una interfaz individual o un vínculo de miembro de interfaz Ethernet agregado solo después de que la interfaz haya recibido tráfico del origen MAC. Si el tráfico solo sale de una interfaz, no se aprende la dirección MAC y no se produce la contabilidad de direcciones MAC.