Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción de la limitación de MAC y la limitación de movimiento de MAC

La limitación de MAC protege contra la inundación de la tabla de conmutación Ethernet y está habilitada en interfaces (puertos) de capa 2. La limitación de movimiento de MAC detecta el movimiento de MAC y la suplantación de MAC en las interfaces de acceso. Está habilitado en VLAN.

  • La limitación de MAC mejora la seguridad del puerto al limitar el número de direcciones MAC que se pueden aprender dentro de una VLAN. Limitar el número de direcciones MAC protege el conmutador de la inundación de la tabla de conmutación Ethernet (también conocida como tabla de reenvío MAC o tabla de reenvío de capa 2). La inundación se produce cuando el número de direcciones MAC nuevas que se aprenden hace que la tabla de conmutación Ethernet se desborde y las direcciones MAC aprendidas anteriormente se vacían de la tabla. Luego, el conmutador vuelve a inundar las direcciones MAC aprendidas anteriormente, lo que puede afectar el rendimiento e introducir vulnerabilidades de seguridad.

  • La limitación de movimiento de MAC proporciona seguridad adicional al controlar el número de movimientos de dirección MAC que se permiten en una VLAN en un segundo. Un movimiento de dirección MAC se produce cuando el conmutador recibe un paquete con una dirección MAC de origen que el conmutador ya ha aprendido, pero en una interfaz diferente. A continuación, la tabla de conmutación Ethernet se actualiza para reflejar la asociación de la dirección MAC con la nueva interfaz. Dado que la tabla de conmutación Ethernet debe actualizarse para cada movimiento de dirección MAC, los eventos de movimiento frecuentes pueden provocar el agotamiento de los recursos de procesamiento del conmutador. Esto puede ocurrir como resultado de un ataque de suplantación de MAC o un bucle en la red.

Limitación de MAC

Con la limitación de MAC, puede limitar las direcciones MAC que se pueden aprender en las interfaces de acceso de capa 2 limitando el número de direcciones MAC o especificando las direcciones MAC permitidas:

  • Limitar el número de direcciones MAC: puede configurar el número máximo de direcciones MAC que se pueden aprender dinámicamente (agregar a la tabla de conmutación Ethernet) por interfaz. Puede especificar que los paquetes entrantes con nuevas direcciones MAC se ignoren, descarten o registren cuando se supere el límite. También puede especificar que la interfaz se cierre o se deshabilite temporalmente.

    Nota:

    Las direcciones MAC estáticas no cuentan para el límite especificado para las direcciones MAC dinámicas.

  • Especificación de direcciones MAC permitidas: puede configurar las direcciones MAC permitidas para una interfaz. No se aprende ninguna dirección MAC que no esté en la lista de direcciones configuradas y el conmutador registra un mensaje apropiado. Una dirección MAC permitida está enlazada a una VLAN para que la dirección no se registre fuera de la VLAN. Si una configuración de MAC permitida entra en conflicto con una configuración de MAC dinámica, la configuración de MAC permitida tiene prioridad.

La limitación de MAC se configura en interfaces de capa 2. Puede especificar el número máximo de direcciones MAC dinámicas que se pueden aprender en una sola interfaz, en todas las interfaces o en una interfaz específica en función de su pertenencia dentro de una VLAN (límite MAC de pertenencia a VLAN).

Cuando configure el límite máximo de MAC para una interfaz, puede elegir la acción que se produce en los paquetes entrantes cuando se supera el límite de MAC. Puede especificar que los paquetes entrantes se ignoren, descarten o registren cuando se supere el límite. También puede especificar que la interfaz se cierre o se deshabilite temporalmente.

La limitación de MAC no está habilitada de forma predeterminada. Para obtener información adicional acerca de cómo configurar el límite de MAC para una interfaz en un dispositivo compatible con ELS, consulte Configuración de la limitación de MAC (ELS). Para obtener información adicional acerca de cómo configurar el límite de MAC para una interfaz en un dispositivo que no admite Enhanced Layer 2 Software (ELS), consulte Configuración de la limitación de MAC (no ELS).

Consulte Uso de la CLI del software mejorado de capa 2 para obtener información adicional sobre ELS.

Limitación de movimiento de MAC

Con la limitación de movimiento MAC, puede limitar el número de veces que una dirección MAC puede moverse a una nueva interfaz en un segundo. Cuando se configura la limitación de movimiento MAC, el conmutador realiza un seguimiento de los movimientos de la dirección MAC. La primera vez que una dirección MAC se mueve siempre se considera un buen movimiento y no contará para el límite de movimiento MAC configurado. La supervisión de los movimientos de direcciones MAC entra en vigor después del primer movimiento, incluso si el límite de movimientos de MAC está configurado como 1.

La limitación de movimiento de MAC se configura por VLAN. Aunque habilite esta función en VLAN, el límite de movimiento de MAC se aplica al número de movimientos para cada dirección MAC individual en lugar del número total de movimientos de dirección MAC en la VLAN. Por ejemplo, si el límite de movimiento de MAC se establece en 1, el conmutador permite un número ilimitado de movimientos de direcciones MAC dentro de la VLAN, siempre y cuando la misma dirección MAC no se mueva más de una vez en un segundo.

Puede configurar una acción que deba realizarse si se supera el límite de movimiento de direcciones MAC. Puede especificar que los paquetes entrantes se ignoren, descarten o registren cuando se supere el límite. También puede especificar que la interfaz se cierre o se deshabilite temporalmente.

La limitación de movimiento de MAC no está habilitada de forma predeterminada. Para obtener información adicional acerca de cómo configurar la limitación de movimiento de MAC en un dispositivo que no admite ELS, consulte Configuración de la limitación de movimiento de MAC (no ELS). Para obtener información adicional acerca de cómo configurar la limitación de movimiento de MAC en un dispositivo compatible con ELS, consulte Configuración de la limitación de movimiento de MAC (ELS).

Acciones para la limitación de MAC y la limitación de movimiento de MAC

Puede elegir que se realice una de las siguientes acciones cuando se supere el límite de MAC o el límite de movimiento de MAC:

  • drop: deje caer el paquete, pero no genere una alarma.

  • drop-and-log: suelte el paquete y genere una alarma, una captura SNMP o una entrada en el registro del sistema.

  • log: no deje caer el paquete, sino que genere una alarma, una captura SNMP o una entrada en el registro del sistema.

  • none: reenvíe paquetes con nuevas direcciones MAC de origen y aprenda la nueva dirección MAC de origen.

  • shutdown: deshabilite la interfaz en la VLAN y genere una alarma, una captura SNMP o una entrada en el registro del sistema.

  • vlan-member-shutdown—(Solo EX9200) A partir de Junos OS versión 15.1 para la limitación de MAC y la limitación de movimiento de MAC en conmutadores EX9200, se admite la vlan-member-shutdown instrucción para bloquear una interfaz en función de su pertenencia a una VLAN específica y generar una alarma, una captura SNMP o una entrada de registro del sistema.

En caso de apagado, puede configurar el conmutador para restaurar automáticamente las interfaces deshabilitadas al servicio después de un período de tiempo especificado. Para configurar la autorrecuperación en un dispositivo compatible con ELS, consulte Configuración de la autorrecuperación para eventos de seguridad de puertos. Para configurar la autorrecuperación en un dispositivo que no admite ELS, consulte Configuración de la autorrecuperación para eventos de seguridad de puertos.

Nota:

Para ver las entradas de registro del sistema para las funciones de límite de Mac, deberá configurar el registro del sistema con gravedad como aviso de registro. Consulte Descripción general del registro del sistema.
Nota:

Si no configura el conmutador para la recuperación automática de la condición deshabilitada, puede abrir las interfaces deshabilitadas ejecutando uno de los siguientes comandos:

Nota:

Con sesiones dot1x existentes:

  • Cuando establecemos el límite de MAC por primera vez, las sesiones dot1x existentes se borran y el puerto se mueve al estado de conexión.

  • Cuando aumentamos el límite de MAC, las sesiones no se borran y el puerto permanece en estado autenticado.

  • Cuando disminuimos el límite de MAC o eliminamos las configuraciones de opciones de conmutador, las sesiones dot1x existentes se borran y el puerto se mueve al estado de conexión.

En resumen, cuando el límite de MAC de interfaz configurado es inferior al número de MAC aprendidas, se produce el vaciado de MAC. Cuando el límite de MAC de interfaz configurado es mayor que el número de MAC aprendidas, no hay ningún impacto
Nota:

Se han introducido comprobaciones de confirmación para evitar errores de configuración. Solo las interfaces configuradas para L2 podrán configurarse bajo cualquiera de estas jerarquías.

  • Configure instancias de enrutamiento <nombre-de-instancia-de-enrutamiento> VLAN <nombre de > interfaz de opciones de conmutador <nombre-interfaz>

  • set routing-instances <routing-instance-name> bridge-domains <bridge-domain-name> bridge-options interface <interface-name>

  • Establezca VLAN <vlans-name> interfaz de opciones de conmutador <nombre-interfaz>

  • set bridge-domains <bridge-domain-name> bridge-options interface <interface-name>

  • Establecer VLAN <vlans-name> opciones de conmutador MAC-move-limit interfaz <nombre-interfaz>

Documentación relacionada

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
15.1
A partir de Junos OS versión 15.1 para la limitación de MAC y la limitación de movimiento de MAC en conmutadores EX9200, se admite la vlan-member-shutdown instrucción para bloquear una interfaz en función de su pertenencia a una VLAN específica y generar una alarma, una captura SNMP o una entrada de registro del sistema.