Comprobación de que la limitación de MAC funciona correctamente
La limitación de MAC protege contra la inundación de la tabla de conmutación Ethernet al establecer un límite en el número de direcciones MAC que se pueden aprender en una sola interfaz de acceso (puerto) de capa 2.
Junos OS proporciona dos métodos para limitar la seguridad de los puertos en Mac:
-
Número máximo de direcciones MAC: puede configurar el número máximo de direcciones MAC dinámicas permitidas por interfaz. Cuando se supera el límite, los paquetes entrantes con nuevas direcciones MAC se pueden ignorar, descartar o registrar. También puede especificar que la interfaz se cierre o se deshabilite temporalmente.
-
Direcciones MAC permitidas: puede configurar direcciones MAC "permitidas" específicas para la interfaz de acceso. No se aprende ninguna dirección MAC que no esté en la lista de direcciones configuradas y el conmutador registra un mensaje apropiado. El método MAC permitido enlaza las direcciones MAC a una VLAN para que la dirección no se registre fuera de la VLAN. Si una configuración de MAC permitida entra en conflicto con una configuración de MAC dinámica, la configuración de MAC permitida tiene prioridad.
Junos OS también le permite establecer un límite de MAC en las VLAN. Sin embargo, establecer un límite de MAC en las VLAN no se considera una función de seguridad de puertos, ya que el conmutador no impide que se reenvíen los paquetes entrantes que hacen que se exceda el límite de MAC; solo registra las direcciones MAC de estos paquetes.
La información de este tema es para plataformas que no son ELS. Para las plataformas ELS, consulte Configuración de la limitación de MAC (ELS) para leer sobre la limitación de MAC.
Comprobación de que la limitación de MAC para direcciones MAC dinámicas funciona correctamente
Propósito
Verifique que la limitación de MAC para direcciones MAC dinámicas funcione en el conmutador.
Acción
Muestra las direcciones MAC que se han aprendido. La siguiente salida de ejemplo muestra los resultados cuando se enviaron dos paquetes desde hosts en ge-0/0/1 y se enviaron cinco solicitudes de paquetes desde hosts en ge-0/0/2, con ambas interfaces establecidas en un límite MAC de 4 con la caída de acción predeterminada:
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 6 learned VLAN MAC address Type Age Interfaces employee-vlan * Flood - ge-0/0/2.0 employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
Significado
La salida de ejemplo muestra que con un límite MAC de 4 para cada interfaz, el paquete para una quinta dirección MAC en ge-0/0/2 se descartó porque excedió el límite MAC. No se aprendió la dirección y, por lo tanto, aparece un asterisco (*) en lugar de una dirección en la columna Dirección MAC en la primera línea de la salida de muestra.
Verificar que la limitación de MAC para una interfaz específica dentro de una VLAN específica funcione correctamente
Propósito
Verifique que la limitación de MAC para una interfaz específica basada en su pertenencia a una VLAN específica esté funcionando en el conmutador.
Acción
Muestra las estadísticas detalladas de las direcciones MAC aprendidas:
user@switch> show ethernet-switching statistics mac-learning interface ge-0/0/28 detail
Interface: ge-0/0/28.0
Learning message from local packets: 0
Learning message from transit packets: 5
Learning message with error: 0
Invalid VLAN: 0 Invalid MAC: 0
Security violation: 0 Interface down: 0
Incorrect membership: 0 Interface limit: 0
MAC move limit: 0 VLAN limit: 0
VLAN membership limit: 20
Invalid VLAN index: 0 Interface not learning: 0
No nexthop: 0 MAC learning disabled: 0
Others: 0
Significado
El VLAN membership limit muestra el número de paquetes que se descartaron debido a que se superó el límite MAC de pertenencia a VLAN para la interfaz ge-0/0/28.0. En este caso, se dejaron caer 20 paquetes.
Comprobar que las direcciones MAC permitidas funcionan correctamente
Propósito
Verifique que las direcciones MAC permitidas funcionen en el conmutador.
Acción
Muestra la información de la caché de direcciones MAC después de configurar las direcciones MAC permitidas en una interfaz. El siguiente ejemplo muestra la caché de direcciones MAC después de que 5 direcciones MAC permitidas estuvieran en la interfaz ge-0/0/2. En este caso, la interfaz también se estableció en un límite de MAC dinámico de 4 con la caída de acción predeterminada.
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
Significado
Dado que el valor límite MAC para esta interfaz se estableció en 4, solo se aprendieron cuatro de las cinco direcciones permitidas configuradas y, por lo tanto, se agregaron a la caché de direcciones MAC. Dado que no se aprendió la quinta dirección, aparece un asterisco (*) en lugar de una dirección en la columna Dirección MAC en la última línea de la salida de ejemplo.
Verificar los resultados de varias configuraciones de acción cuando se supera el límite de MAC
Propósito
Verifique los resultados proporcionados por las diversas configuraciones de acción para los límites de MAC (eliminar, registrar, apagar y ninguno) cuando se superan los límites.
Acción
Muestra los resultados de los distintos ajustes de acción.
Puede ver los mensajes de registro mediante el show log messages comando. También puede hacer que se muestren los mensajes de registro configurando los mensajes de inicio del monitor con el monitor start messages comando.
-
acción de colocación: para la limitación de MAC configurada con una acción de colocación y con el límite de MAC establecido en 5:
user@switch> show ethernet-switching table Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee—vlan * Flood - ge-0/0/2.0 employee—vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0
-
acción de registro : para la limitación de MAC configurada con una acción de registro y con el límite de MAC establecido en 5:
user@switch> show ethernet-switching table Ethernet-switching table: 74 entries, 73 learned VLAN MAC address Type Age Interfaces employee—vlan * Flood - ge-0/0/2.0 employee—vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:82 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:84 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:87 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0 . . .
-
acción de apagado : para la limitación de MAC configurada con una acción de apagado y con el límite de MAC establecido en 3:
user@switch> show ethernet-switching table Ethernet-switching table: 4 entries, 3 learned VLAN MAC address Type Age Interfaces employee—vlan * Flood - ge-0/0/2.0 employee—vlan 00:05:85:3A:82:82 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:84 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:87 Learn 0 ge-0/0/2.0
-
ninguna acción: si establece un límite de MAC para que se aplique a todas las interfaces del conmutador, puede anular esa configuración para una interfaz determinada especificando esta acción para esa interfaz. Consulte Anular un límite de MAC aplicado a todas las interfaces.
Significado
Para los resultados de la acción de colocación : la sexta dirección MAC superó el límite MAC. Se descartó el paquete de solicitud para esa dirección. Sólo se han aprendido cinco direcciones MAC en ge-0/0/2.
Para los resultados de la acción de registro : la sexta dirección MAC superó el límite MAC. No se bloqueó ninguna dirección MAC.
Para los resultados de la acción de apagado : la cuarta dirección MAC superó el límite MAC. Sólo se han aprendido tres direcciones MAC en ge-0/0/2. La interfaz ge-0/0/1 está cerrada.
Para obtener más información acerca de las interfaces que se han cerrado, utilice el show ethernet-switching interfaces comando.
user@switch> show ethernet-switching interfaces Interface State VLAN members Tag Tagging Blocking bme0.32770 down mgmt untagged unblocked ge-1/0/0.0 down v1 untagged MAC limit exceeded ge-1/0/1.0 up v1 untagged unblocked ge-1/0/2.0 up v1 untagged unblocked me0.0 up mgmt untagged unblocked
Puede configurar el conmutador para que se recupere automáticamente de este tipo de condición de error especificando la port-error-disable instrucción con un valor de tiempo de espera de inhabilitación . El conmutador restaura automáticamente la interfaz deshabilitada al servicio cuando expira el tiempo de espera de desactivación. La configuración de desactivación de errores de puerto no se aplica a condiciones de error ya existentes. Solo afecta a las condiciones de error que se detectan después de habilitar y confirmar la desactivación de errores de puerto . Para borrar una condición de error ya existente y restaurar la interfaz al servicio, utilice el clear ethernet-switching port-error comando.
Comprobación de que las interfaces están cerradas
Propósito
Verifique que una interfaz se apague cuando se supere el límite de MAC.
Acción
Para obtener más información acerca de las interfaces que se cerraron porque se superó el límite de MAC, utilice el show ethernet-switching interfaces comando.
user@switch> show ethernet-switching interfaces Interface State VLAN members Tag Tagging Blocking bme0.32770 down mgmt untagged unblocked xe-0/0/0.0 down v1 untagged MAC limit exceeded xe- 0/0/1.0 up v1 untagged unblocked xe-0/0/2.0 up v1 untagged unblocked me0.0 up mgmt untagged unblocked
Puede configurar interfaces para que se recuperen automáticamente cuando se haya superado el límite de MAC especificando la instrucción con un valor de port-error-disable tiempo de espera de desactivación . El conmutador restaura automáticamente la interfaz deshabilitada al servicio cuando expira el tiempo de espera de desactivación. La configuración port-error-disable no se aplica a condiciones de error preexistentes: solo afecta a las condiciones de error que se detectan después de habilitar la port-error-disable instrucción y confirmar la configuración. Para borrar una condición de error preexistente y restaurar la interfaz al servicio, utilice el clear ethernet-switching port-error comando.
Personalización de la pantalla de la tabla de conmutación Ethernet para ver información de una interfaz específica
Propósito
Puede utilizar el show ethernet-switching table comando para ver información sobre las direcciones MAC aprendidas en una interfaz específica.
Acción
Por ejemplo, para mostrar las direcciones MAC aprendidas en la interfaz ge-0/0/2, escriba:
user@switch> show ethernet-switching table interface ge-0/0/2.0 Ethernet-switching table: 1 unicast entries VLAN MAC address Type Age Interfaces v1 * Flood - All-members v1 00:00:06:00:00:00 Learn 0 ge-2/0/0.0
Significado
El valor límite MAC para ge-0/0/2 se estableció en 1, y el resultado muestra que solo se aprendió una dirección MAC y, por lo tanto, se agregó a la caché de direcciones MAC. Aparece un asterisco (*) en lugar de una dirección en la columna Dirección MAC de la primera línea de la salida de ejemplo.