Filtrado y contabilidad de direcciones MAC en interfaces Ethernet
Para bloquear todos los paquetes entrantes desde una dirección MAC específica, puede habilitar el filtrado de direcciones MAC. Puede configurar una interfaz Ethernet para aprender dinámicamente las direcciones MAC de origen o destino. En este tema se describe cómo habilitar el filtrado de direcciones MAC y cómo configurar la contabilidad de direcciones MAC.
Configuración del filtrado de direcciones MAC para interfaces Ethernet
Habilitar el filtrado de direcciones de origen
En interfaces Ethernet agregadas, Fast Ethernet, Gigabit Ethernet, Gigabit Ethernet IQ y PIC de Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), puede habilitar el filtrado de direcciones de origen para bloquear todos los paquetes entrantes desde una dirección MAC específica.
Para habilitar el filtrado, incluya la instrucción en los siguientes niveles de jerarquía:source-filtering
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]Nota:Cuando integra un enrutador T640 independiente en una matriz de enrutamiento, las direcciones MAC (PIC media access control) para el enrutador T640 integrado se derivan de un conjunto de direcciones MAC mantenidas por el enrutador TX Matrix. Para cada dirección MAC que especifique en la configuración de un enrutador T640 anteriormente independiente, debe especificar la misma dirección MAC en la configuración del enrutador TX Matrix.
De manera similar, cuando integra un enrutador T1600 o T4000 en una matriz de enrutamiento, las direcciones MAC de PIC para el enrutador T1600 o T4000 integrado se derivan de un conjunto de direcciones MAC mantenidas por el enrutador TX Matrix Plus. Para cada dirección MAC que especifique en la configuración de un enrutador T1600 o T4000 anteriormente independiente, debe especificar la misma dirección MAC en la configuración del enrutador TX Matrix Plus.
Cuando el filtrado de direcciones de origen está habilitado, puede configurar la interfaz para recibir paquetes de direcciones MAC específicas. Para ello, especifique las direcciones MAC en la instrucción en los siguientes niveles de jerarquía:source-address-filter mac-address
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]
Puede especificar la dirección MAC como o , donde es un número hexadecimal.nn:nn:nn:nn:nn:nnnnnn .nnnn.nnnnn Puede configurar hasta 64 direcciones de origen. Para especificar más de una dirección, incluya la instrucción varias veces.source-address-filter
La instrucción no se admite en las PIC IQ y Gigabit Ethernet de Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i); en su lugar, incluya la instrucción.source-address-filteraccept-source-mac Para obtener más información, consulte Configuración de políticas de Gigabit Ethernet.Configuración de políticas de Gigabit Ethernet
Si se cambia la tarjeta Ethernet remota, la interfaz no puede recibir paquetes de la nueva tarjeta porque tiene una dirección MAC diferente.
El filtrado de direcciones de origen no funciona cuando el Protocolo de control de agregación de vínculos (LACP) está habilitado. Este comportamiento no es aplicable a enrutadores serie T y enrutadores de transporte de paquetes serie PTX. Para obtener más información acerca de LACP, consulte Interfaces Ethernet agregadas.Interfaces Ethernet agregadas
En interfaces Gigabit Ethernet sin etiquetar, no debe configurar la instrucción en el nivel de jerarquía y la instrucción en el nivel de jerarquía simultáneamente.source-address-filter[edit interfaces ge-fpc/pic/port gigether-options]accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] Si estas instrucciones están configuradas para las mismas interfaces al mismo tiempo, se muestra un mensaje de error.
En interfaces Gigabit Ethernet etiquetadas, no debe configurar la instrucción en el nivel de jerarquía de interfaces [edit interfaces] y la instrucción en el nivel de jerarquía con una dirección MAC idéntica especificada en ambos filtros.source-address-filter[edit interfaces ge-fpc/pic/port gigether-options]accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] Si estas instrucciones están configuradas para las mismas interfaces con una dirección MAC idéntica especificada, se muestra un mensaje de error.
La instrucción no se admite en enrutadores de la serie MX con MPC4E (números de modelo:source-address-filter MPC4E-3D-32XGE-SFPP y MPC4E-3D-2CGE-8XGE); en su lugar, incluya la instrucción.accept-source-mac Para obtener más información, consulte Configuración de políticas de Gigabit Ethernet.Configuración de políticas de Gigabit Ethernet
Configuración del filtrado de direcciones MAC en enrutadores de transporte de paquetes de la serie PTX
En este tema se describe cómo configurar el filtrado MAC en enrutadores de transporte de paquetes de la serie PTX. El filtrado MAC permite especificar las direcciones MAC desde las que la interfaz Ethernet puede recibir paquetes.
La compatibilidad con el filtrado MAC en los enrutadores de transporte de paquetes de la serie PTX incluye:
Filtrado de direcciones MAC de origen y destino para cada puerto.
Filtrado de direcciones de origen MAC para cada interfaz física.
Filtrado de direcciones de origen MAC para cada interfaz lógica.
Al filtrar interfaces lógicas y físicas, puede especificar hasta 1000 direcciones de origen MAC por puerto.
Para configurar el filtrado de direcciones de origen MAC para una interfaz física, incluya las instrucciones y en el nivel de jerarquía:source-filteringsource-address-filter[edit interfaces et-fpc/pic/port gigether-options]
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
source-address-filter {
mac-address;
}
}
}
La instrucción configura las direcciones de origen MAC que se filtran.source-address-filter La interfaz física especificada descarta todos los paquetes de las direcciones de origen MAC que especifique. Puede especificar la dirección MAC como donde es un dígito decimal.nn:nn:nn:nn:nn:nnn Para especificar más de una dirección, incluya varias opciones en la instrucción.mac-addresssource-address-filter
Para configurar el filtrado de direcciones de origen MAC para una interfaz lógica, incluya la instrucción en el nivel de jerarquía:accept-source-mac[edit interfaces et-fpc/pic/port unit logical-unit-number]
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
}
unit logical-unit-number {
accept-source-mac {
mac-address mac-address;
}
}
}
La instrucción configura qué direcciones de origen MAC se aceptan en la interfaz lógica.accept-source-mac Puede especificar la dirección MAC como donde es un dígito decimal.nn:nn:nn:nn:nn:nnn Para especificar más de una dirección, incluya varias opciones en la instrucción.mac-address mac-addressaccept-source-mac
Después de configurar un filtro de interfaz, hay una entrada de contabilidad asociada al filtro de dirección MAC. Los contadores se acumulan si hay paquetes con direcciones de origen MAC coincidentes. Puede utilizar el comando de la CLI de Junos OS para ver el recuento de direcciones.show interfaces mac-database
Consulte también
Configuración de la contabilidad de direcciones MAC
Para las PIC IQ y Gigabit Ethernet de Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), para las CPC de Gigabit Ethernet en enrutadores de la serie MX, para la PIC de 100 Gigabit Ethernet tipo 5 con CFP y para las MPC MPC3E, MPC4E, MPC5E, MPC5EQ y MPC6E, puede configurar si las direcciones MAC de origen y destino se aprenden dinámicamente.
Para configurar la contabilidad de direcciones MAC en una interfaz Ethernet individual, incluya la instrucción en el nivel de jerarquía:mac-learn-enable[edit interfaces interface-name gigether-options ethernet-switch-profile]
[edit interfaces interface-name gigether-options ethernet-switch-profile] mac-learn-enable;
Para configurar la contabilidad de direcciones MAC en una interfaz Ethernet agregada, incluya la instrucción en el nivel de jerarquía:mac-learn-enable[edit interfaces aex aggregated-ether-options ethernet-switch-profile]
[edit interfaces aex aggregated-ether-options ethernet-switch-profile] mac-learn-enable;
Para prohibir que una interfaz aprenda dinámicamente direcciones MAC de origen y destino, no incluya la instrucción.mac-learn-enable
Para deshabilitar el aprendizaje dinámico de las direcciones MAC de origen y destino después de que se haya configurado, debe eliminarlo de la configuración.mac-learn-enable
Las MPC admiten la contabilización de direcciones MAC para una interfaz individual o un vínculo de miembro de interfaz Ethernet agregado solo después de que la interfaz haya recibido tráfico del origen MAC. Si el tráfico solo sale de una interfaz, no se aprende la dirección MAC y no se produce la contabilidad de direcciones MAC.