Configuración de la limitación de movimiento de MAC (ELS)
En este tema se utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Cuando se configura la limitación de movimiento de MAC, el conmutador rastrea los movimientos de direcciones MAC en las interfaces de acceso y troncales. Un movimiento de dirección MAC se produce cuando el conmutador recibe un paquete con una dirección MAC de origen que el conmutador ya ha aprendido, pero en una interfaz diferente. Si una dirección MAC cambia más del número de veces configurado en un segundo, los cambios en las direcciones MAC se descartan, se registran o se ignoran, o la interfaz se apaga, como se especifica en la configuración.
La limitación de movimiento de MAC no está configurada de forma predeterminada.
Puede elegir que se realice una de las siguientes acciones cuando se supere el límite de movimiento de MAC:
drop
—(EX2300, EX3400 y EX4300) Suelte el paquete, pero no genere una alarma.drop-and-log
—(Solo EX2300, EX3400 y EX4300) Suelte el paquete y genere una alarma, una captura SNMP o una entrada en el registro del sistema.log
—(EX4300 y EX9200) No deje caer el paquete, pero genere una alarma, una captura SNMP o una entrada en el registro del sistema.none
—(EX4300 y EX9200) Reenvíe paquetes con nuevas direcciones MAC de origen y aprenda la nueva dirección MAC de origen.shutdown
: deshabilite la interfaz en la VLAN y genere una alarma, una captura SNMP o una entrada en el registro del sistema. Si configura una interfaz con larecovery-timeout
instrucción, las interfaces deshabilitadas se recuperan automáticamente al expirar el tiempo de espera de deshabilitación especificado. Si no configura el conmutador para la recuperación automática de la condición deshabilitada, puede abrir las interfaces deshabilitadas ejecutando elclear ethernet-switching recovery-timeout
comando.vlan-member-shutdown
—(Solo EX9200) Bloquee una interfaz en función de su pertenencia a una VLAN específica y genere una alarma, una captura SNMP o una entrada de registro del sistema. Si configura una interfaz con larecovery-timeout
instrucción, las interfaces deshabilitadas se recuperan automáticamente al expirar el tiempo de espera de deshabilitación especificado. Si no configurarecovery-timeout
, la interfaz permanece bloqueada durante 180 segundos, después de lo cual se restaura automáticamente. Puede recuperar todas las interfaces bloqueadas ejecutando elclear ethernet-switching recovery-timeout
comando o recuperar una interfaz específica mediante elset ethernet-switching recovery-timeout interface interface-name vlan vlan-name
comando.
Para configurar un límite de movimiento MAC para direcciones MAC dentro de una VLAN específica:
Para limitar el número de movimientos de dirección MAC que puede realizar una dirección MAC individual dentro de la VLAN especificada:
[edit edit vlans vlan-name switch-options] user@switch# set mac-move-limit limit
Para limitar el número de movimientos de dirección MAC que puede realizar una dirección MAC individual y especificar la acción que debe realizarse cuando se alcanza el límite:
[edit edit vlans vlan-name switch-options] user@switch# set mac-move-limit limit packet-action action
El conmutador realiza la acción especificada si realiza un seguimiento de que una dirección MAC individual dentro de la VLAN especificada se ha movido más de la cantidad de veces especificadas en un segundo.
-
A partir de Junos OS versión 15.1 para conmutadores EX9200 con acciones configuradas para la limitación de movimiento de MAC, puede determinar la prioridad de una interfaz implicada en el movimiento de MAC que se seleccionará para la acción. Para determinar la prioridad de una interfaz implicada en el movimiento de MAC:
[edit edit vlans vlan-name switch-options] user@switch# set mac-move-limit interface interface-name action-priority value
La interfaz con el valor más bajo configurado para
action-priority
tiene la prioridad más alta.Nota:Puede utilizar la prioridad de acción para reducir la probabilidad de bloquear una interfaz de confianza. La interfaz de confianza debe tener la prioridad más baja si la acción configurada es
shutdown
ovlan-member-shutdown
. Para asignar una prioridad baja, configure un valor alto paraaction-priority
.Nota:mac-move-limit
la configuración no funciona con direcciones MAC autenticadas dot1x.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.