EN ESTA PÁGINA
Descripción de la limitación de MAC en interfaces de enrutamiento de capa 3
Visión general
La función de limitación de MAC proporciona un mecanismo para limitar las direcciones MAC en dispositivos conectados a una interfaz Gigabit Ethernet (GE), Fast Ethernet (FE) o 10 Gigabit Ethernet (XE) enrutada de capa 3. Con los filtros MAC, puede permitir tráfico con MAC de origen específico. Se admite la limitación de MAC basada en software. La limitación de MAC solo se aplica en interfaces con encapsulación etiquetada con Ethernet o VLAN simple.
Tanto la configuración de nivel source-address-filter de interfaz física como la de nivel accept-source-mac de interfaz lógica son compatibles con dispositivos SRX100, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340 y SRX650. (La compatibilidad con la plataforma depende de la versión de Junos OS en su instalación). Las siguientes consideraciones se aplican al configurar las source-address-filter instrucciones yaccept-source-mac:
Si solo se configura la instrucción de nivel
accept-source-maclógico, se permitirá el tráfico de solo las direcciones MAC configuradas en la interfaz lógica.Si solo se configura la instrucción de nivel
source-address-filterde interfaz física, las direcciones MAC permitidas de la interfaz física también se consideran las direcciones permitidas para todas las interfaces lógicas que pertenecen a la interfaz física. Los paquetes entrantes de cualquier otra dirección MAC de origen se descartan.Si el nivel
source-address-filterde interfaz física está configurado engigether-options(ofastether-options) yaccept-source-macestá configurado para una o más de sus interfaces lógicas o VLAN, la lista de direcciones permitidas es una combinación de direcciones MAC especificadas en ambas instrucciones. Para las interfaces lógicas y VLAN en las que laaccept-source-macinstrucción no está configurada, se considera la lista de direcciones permitidas de la interfaz física.
Puede configurar una interfaz para recibir paquetes de direcciones MAC específicas. Para ello, especifique las direcciones MAC en las source-address-filter instrucciones o accept-source-mac :
Logical level MAC filter configuration on an untagged interfacege-0/0/10 { unit 0 { accept-source-mac { mac-address 00:22:33:44:55:66; mac-address 00:26:88:e9:a3:01; } family inet { address 60.60.60.1/24; } } }Physical level MAC filter configuration on an untagged interfacege-0/0/10 { gigether-options { source-address-filter { 00:55:55:55:55:66; 00:26:88:e9:a3:01; } } unit 0 { family inet { address 60.60.60.1/24; } } }Physical and logical level MAC filter configurations on a tagged interfacege-0/0/10 { vlan-tagging; gigether-options { source-address-filter { 00:26:88:e9:a3:01; } } unit 0 { vlan-id 40; accept-source-mac { mac-address 00:22:33:44:55:66; } family inet { address 40.40.40.1/24; } } unit 1 { vlan-id 60; accept-source-mac { mac-address 00:55:55:55:55:66; } family inet { address 60.60.60.1/24; } } }
En las interfaces Gigabit Ethernet sin etiquetar, no debe configurar las source-address-filter instrucciones y simultáneamente accept-source-mac . Si estas instrucciones están configuradas para las mismas interfaces al mismo tiempo, aparece un mensaje de error. Sin embargo, en el caso de VLAN etiquetadas, ambas instrucciones se pueden configurar simultáneamente si no se especifican direcciones MAC idénticas.
Limitaciones
Las siguientes limitaciones se aplican a la compatibilidad con limitación de MAC en interfaces GE, AE, FE o XE enrutadas de capa 3:
Solo puede configurar 32 direcciones MAC por dispositivo (excepto en interfaces Ethernet agregadas, donde el límite es de 64 direcciones por interfaz lógica).
Solo se admite el filtrado MAC basado en software. El filtrado MAC basado en software afecta el rendimiento. El impacto en el rendimiento es proporcional al número de direcciones MAC configuradas.
No se admite el aplicador de políticas basado en MAC ni la limitación de velocidad.
No puede configurar la dirección de difusión o multidifusión en la
source-address-filterinstrucción.El filtrado MAC no se admite en interfaces Ethernet (AE) agregadas ( es compatible con algunas plataformas; consulte el Explorador de características para conocer las especificaciones de la plataforma); o en Ethernet de estructura, protocolo punto a punto a través de Ethernet (PPPoE), interfaz VLAN enrutada (RVI) o interfaces VLAN.
El filtrado MAC no se admite en los clústeres del chasis.
Si configura el filtrado MAC en la interfaz AE, debe configurar la interfaz con
accept-source-mac(es decir, no consource-address-filter) y confamily ethernet-switching.