Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de la limitación de MAC

Configuración de la limitación de MAC (ELS)

En este tema se describen las diferentes formas de configurar una limitación en las direcciones MAC de los paquetes recibidos y reenviados por el dispositivo.

Nota:

Las tareas presentadas en esta sección utilizan Junos OS para conmutadores serie EX, conmutadores QFX3500 y QFX3600 y enrutadores serie PTX que admiten el estilo de configuración Enhanced Layer 2 Software (ELS). Consulte Uso de la CLI del software de capa 2 mejorada para obtener más información sobre las configuraciones de ELS.

Las diferentes formas de establecer un límite de MAC se describen en las siguientes secciones:

Configuración específica de la plataforma Comportamiento del límite global de MAC

Tabla 1: Comportamiento específico de la plataforma

Plataforma

Diferencia

Serie Junos Evolved ACX7000

ACX7000 actualmente no admite la acción de paquetes

Los números MAC predeterminados no son aplicables para ACX7000

Limitar el número de direcciones MAC aprendidas por una interfaz

Nota:

En los enrutadores de la serie PTX, puede limitar el número de direcciones MAC aprendidas únicamente por una interfaz.

Para proteger un puerto, puede establecer el número máximo de direcciones MAC que puede aprender una interfaz.

Establezca el límite de MAC en una interfaz y especifique una acción que realice el dispositivo después de superar el límite especificado.
Si desea establecer el límite de MAC en una interfaz que forma parte de la instancia de enrutamiento predeterminada:
Si desea establecer el límite de MAC en una interfaz que forma parte de una instancia de enrutamiento:
Si desea establecer el límite de MAC en todas las interfaces que forman parte de la instancia de enrutamiento predeterminada:
Si desea establecer el límite de MAC en todas las interfaces que forman parte de una instancia de enrutamiento:

Después de establecer un nuevo límite de MAC para la interfaz, el sistema borra las entradas existentes en la tabla de reenvío de direcciones MAC asociada a la interfaz.

Limitar el número de direcciones MAC aprendidas por una VLAN

Para limitar el número de direcciones MAC aprendidas por una VLAN, realice los pasos siguientes:

Configuración específica de la plataforma Comportamiento del límite de MAC

Tabla 2: Comportamiento específico de la plataforma

Plataforma

Diferencia

Serie Junos Evolved ACX7000

ACX7000 actualmente no admite la acción de paquetes

Los números MAC predeterminados no son aplicables para ACX7000
Establezca el número máximo de direcciones MAC que puede aprender una VLAN y especifique una acción que el dispositivo realiza después de superar el límite especificado:

Limitar el número de direcciones MAC aprendidas por una interfaz en una VLAN

Para limitar el número de direcciones MAC aprendidas por una interfaz en una VLAN, realice los pasos siguientes:

  1. Establezca el número máximo de direcciones MAC que puede aprender una interfaz en una VLAN y especifique una acción que el dispositivo realiza después de superar el límite especificado:
  2. Establezca el número máximo de direcciones MAC que pueden aprender una o todas las interfaces de la VLAN y especifique una acción que el dispositivo realice después de superar el límite especificado:
    Nota:

    Si especifica un límite de MAC y una acción de paquete para todas las interfaces de la VLAN y una interfaz específica en la VLAN, el límite de MAC y la acción de paquete especificada en el nivel de interfaz específico tienen prioridad. Además, en el nivel de interfaz VLAN, solo se admiten las drop opciones y drop-and-log .

    Después de establecer nuevos límites MAC para una VLAN mediante la mac-table-size instrucción o para las interfaces asociadas con una VLAN mediante la interface-mac-limit instrucción, el sistema borra las entradas existentes correspondientes en la tabla de reenvío de direcciones MAC.

    Nota:

    En un chasis virtual de la serie QFX, si incluye la shutdown opción en el nivel de [edit vlans vlan-name switch-options interface interface-name interface-mac-limit packet-action] jerarquía y emite la commit operación, el sistema genera un error de confirmación. El sistema no genera un error si se incluye la shutdown opción en el nivel jerárquico [edit switch-options interface interface-name interface-mac-limit packet-action] .

Configuración de la limitación de MAC (no ELS)

Esta tarea utiliza Junos OS para conmutadores serie EX y conmutadores QFX3500 y QFX3600 que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS).

En este tema se describen varias formas de configurar una limitación de direcciones MAC en paquetes que recibe y reenvía el conmutador.

Antes de poder cambiar un límite de MAC establecido previamente para una interfaz o una VLAN, primero debe borrar las entradas existentes en la tabla de reenvío de direcciones MAC que correspondan al cambio que desea realizar. Por lo tanto, para cambiar el límite en una interfaz, primero borre las entradas de la tabla de reenvío de direcciones MAC para esa interfaz. Para cambiar el límite en todas las interfaces y VLAN, desactive todas las entradas de la tabla de reenvío de direcciones MAC. Para cambiar el límite en una VLAN, desactive las entradas de la tabla de reenvío de direcciones MAC para esa VLAN.

Para borrar direcciones MAC de la tabla de reenvío:

  • Borre las entradas de dirección MAC de una interfaz específica (aquí, la interfaz es ge-0/0/1) en la tabla de reenvío:

  • Borre todas las entradas de dirección MAC en la tabla de reenvío:

  • Borre las entradas de dirección MAC de una VLAN específica (aquí, la VLAN es vlan-abc):

Las diferentes formas de establecer un límite de MAC se describen en las siguientes secciones:

Limitar el número de direcciones MAC que se pueden aprender en las interfaces

Para configurar la limitación de MAC para la seguridad de puertos estableciendo un número máximo de direcciones MAC que se pueden aprender en las interfaces.

  • Aplique el límite de MAC en una sola interfaz (aquí, la interfaz es ge-0/0/1):

    Cuando no se especifica ninguna acción para configurar el límite de MAC en una interfaz, el dispositivo realiza la caída de la acción predeterminada si se supera el límite.

  • Aplique el límite de MAC en una sola interfaz de acceso, en función de su pertenencia a una VLAN específica (aquí, la interfaz es ge-0/0/1 y la VLAN es v1.

    Con este tipo de configuración, el dispositivo descarta cualquier paquete adicional si se supera el límite y también registra un mensaje.

  • Aplique el límite a todas las interfaces de acceso:

    Cuando no se especifica ninguna acción para configurar el límite de MAC en todas las interfaces, el dispositivo realiza la caída de la acción predeterminada si se supera el límite:

Especificación de direcciones MAC permitidas

Debe borrar las entradas existentes en la tabla de reenvío de direcciones MAC antes de cambiar el límite de direcciones MAC.

Para configurar la limitación de MAC para la seguridad de puertos especificando las direcciones MAC permitidas:

  • En una sola interfaz (aquí, la interfaz es ge-0/0/2):
  • En todas las interfaces:

Configuración de la limitación de MAC para VLAN

Debe borrar las entradas existentes en la tabla de reenvío de direcciones MAC para poder cambiar el límite de direcciones MAC.

La limitación de MAC para una VLAN restringe las direcciones MAC que se pueden aprender para esa VLAN, pero no descarta el paquete. Por lo tanto, establecer el límite de MAC en una VLAN no se considera una función de seguridad de puertos.

Nota:

La configuración de direcciones MAC específicas permitidas no se aplica a las VLAN.

Para configurar la limitación de MAC para una VLAN mediante la CLI:

Limite el número de direcciones MAC dinámicas en una VLAN:

Si se supera el límite MAC de una VLAN específica, el dispositivo registra las direcciones MAC de los paquetes que hacen que se supere el límite. Ninguna otra acción es posible.

Nota:

Cuando aplique un límite de MAC en una VLAN, no establezca mac-limit en 1 para una VLAN compuesta por interfaces VLAN enrutadas (RVI) o una VLAN compuesta por paquetes de Ethernet agregados mediante LACP. En estos casos, establecer el mac-limit valor en 1 impide que el dispositivo aprenda direcciones MAC distintas de las direcciones automáticas:

  • Para las RVI, la primera dirección MAC insertada en la base de datos de reenvío es la dirección MAC de la RVI.

  • Para los paquetes Ethernet agregados que utilizan LACP, la primera dirección MAC insertada en la base de datos de reenvío en la tabla de reenvío es la dirección de origen del paquete de protocolo.

Si la VLAN está compuesta por interfaces troncales o de acceso regular, puede establecer el mac-limit en 1 si así lo desea.

Ver también

Configuración de la limitación de MAC en enrutadores de la serie MX

En este tema se describen las diferentes formas de configurar una limitación en las direcciones MAC de los paquetes recibidos y reenviados por los enrutadores de la serie MX.

Limitar el número de direcciones MAC aprendidas por una interfaz

Para proteger un puerto, puede establecer el número máximo de direcciones MAC que puede aprender una interfaz.

Los enrutadores de la serie MX solo admiten la acción de caída . Si no se especifica la acción, el enrutador realiza la caída de la acción predeterminada si se supera el límite.

Establezca el límite de MAC en una interfaz y especifique la acción que realiza el enrutador después de superar el límite especificado.
Si desea establecer el límite de MAC en una interfaz que forma parte de la instancia de enrutamiento predeterminada:
Si desea establecer el límite de MAC en una interfaz que forma parte de una instancia de enrutamiento:
Si desea establecer el límite de MAC en todas las interfaces que forman parte de la instancia de enrutamiento predeterminada:
Si desea establecer el límite de MAC en todas las interfaces que forman parte de una instancia de enrutamiento:

Después de establecer un nuevo límite de MAC para la interfaz, el sistema borra las entradas existentes en la tabla de reenvío de direcciones MAC asociada a la interfaz.

Limitar el número de direcciones MAC aprendidas por un dominio de puente

Para limitar el número de direcciones MAC aprendidas por un dominio de puente, realice los pasos siguientes:

Establezca el número máximo de direcciones MAC que un dominio de puente puede aprender y especifique una acción que el dispositivo realiza después de superar el límite especificado:

Limitar el número de direcciones MAC aprendidas por una interfaz en un dominio de puente

Para limitar el número de direcciones MAC aprendidas por una interfaz en un dominio de puente, realice los pasos siguientes:

  1. Establezca el número máximo de direcciones MAC que puede aprender una interfaz en un dominio de puente y especifique una acción que realice el dispositivo después de superar el límite especificado:
  2. Establezca el número máximo de direcciones MAC que pueden aprender una o todas las interfaces del dominio de puente y especifique una acción que realice el dispositivo después de superar el límite especificado:
    Nota:

    Si especifica un límite MAC y una acción de paquete para todas las interfaces del dominio de puente y una interfaz específica en el dominio de puente, el límite de MAC y la acción de paquete especificada en el nivel de interfaz específico tienen prioridad. Además, en el nivel de interfaz de dominio de puente, solo se admite la drop opción.

Configuración de la limitación de MAC (procedimiento J-Web)

La limitación de MAC protege contra la inundación de la tabla de conmutación Ethernet en un conmutador de la serie EX. La limitación de MAC establece un límite en el número de direcciones MAC que se pueden aprender en una sola interfaz de acceso (puerto) de capa 2.

Junos OS proporciona dos métodos de limitación de MAC:

  • Número máximo de direcciones MAC dinámicas permitidas por interfaz: si se supera el límite, se descartan los paquetes entrantes con nuevas direcciones MAC.

  • Direcciones MAC "permitidas" específicas para la interfaz de acceso: no se aprende ninguna dirección MAC que no esté en la lista de direcciones configuradas.

La limitación de MAC se configura para cada interfaz, no para cada VLAN. Puede especificar el número máximo de direcciones MAC dinámicas que se pueden aprender en una sola interfaz de acceso de capa 2 o en todas las interfaces de acceso de capa 2. La acción predeterminada que tomará el conmutador si se supera ese número máximo es descartar: soltar el paquete y generar una alarma, una captura SNMP o una entrada de registro del sistema.

Para habilitar la limitación de MAC en una o más interfaces mediante la interfaz J-Web:

  1. Seleccione Configurar>Seguridad>Seguridad de puertos.
  2. Seleccione una o más interfaces de la Lista de interfaces.
  3. Haga clic en el botón Editar . Si aparece un mensaje preguntándole si desea habilitar la seguridad del puerto, haga clic en .
  4. Para establecer un límite de MAC dinámico:

    1. Escriba un valor límite en el cuadro Límite MAC .

    2. Seleccione una acción en el cuadro Acción de límite MAC (opcional). El conmutador realiza esta acción cuando se supera el límite de MAC. Si no selecciona una acción, el modificador aplica la acción predeterminada, soltar.

      • Registro: genera una entrada de registro del sistema.

      • Drop: suelte los paquetes y genere una entrada en el registro del sistema. (predeterminado)

      • Apagar: cierre la VLAN y genere una entrada de registro del sistema. Para mitigar el efecto de esta opción, configure el conmutador para la recuperación automática desde el estado deshabilitado y especifique un valor de tiempo de espera de inhabilitación .

      • Ninguna: no se debe tomar ninguna medida.

  5. Para agregar direcciones MAC permitidas:

    1. Haga clic en Agregar.

    2. Escriba la dirección MAC permitida y haga clic en Aceptar.

    Repita este paso para agregar más direcciones MAC permitidas.

  6. Haga clic en Aceptar cuando haya terminado de establecer los límites de MAC.
  7. Haga clic en Aceptar después de que la configuración se haya entregado correctamente.
Nota:

Puede activar o desactivar la seguridad de puertos en el conmutador en cualquier momento haciendo clic en el botón Activar o desactivar de la página Configuración de seguridad de puertos. Si el estado de seguridad se muestra como Deshabilitado cuando intenta editar la configuración de cualquier VLAN o interfaz (puertos), aparecerá un mensaje en el que se le preguntará si desea habilitar la seguridad de puertos.

Ver también