Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción y uso del aprendizaje persistente de MAC

Descripción del aprendizaje persistente de MAC (MAC pegajoso)

El aprendizaje persistente de MAC, también conocido como MAC fijo, es una función de seguridad de puertos que permite que una interfaz conserve direcciones MAC aprendidas dinámicamente cuando se reinicia el conmutador o si la interfaz deja de funcionar y se vuelve a conectar.

El aprendizaje persistente de direcciones MAC está deshabilitado de forma predeterminada. Puede habilitar el aprendizaje de dirección MAC persistente junto con la limitación de MAC para restringir el número de direcciones MAC persistentes. Esta característica se habilita en las interfaces.

Configure el aprendizaje MAC persistente en una interfaz para:

  • Evite las pérdidas de tráfico para estaciones de trabajo y servidores de confianza, ya que la interfaz no tiene que volver a aprender las direcciones del tráfico de entrada después de un reinicio.

  • Proteja el conmutador contra ataques de seguridad. Utilice el aprendizaje MAC persistente en combinación con la limitación de MAC para protegerse contra ataques, como los ataques de denegación de servicio (DoS) de capa 2, los ataques de desbordamiento en la tabla de conmutación Ethernet y los ataques de inanición de DHCP, limitando las direcciones MAC permitidas y permitiendo que la interfaz aprenda dinámicamente un número específico de direcciones MAC. La interfaz está protegida porque, una vez alcanzado el límite, no se pueden conectar dispositivos adicionales al puerto.

Al configurar el aprendizaje MAC persistente junto con la limitación de MAC, permite que las interfaces aprendan las direcciones MAC de estaciones de trabajo y servidores de confianza desde el momento en que conecta la interfaz a la red hasta que se alcanza el límite de direcciones MAC, y se asegura de que, una vez alcanzado este límite, no se permitirá que nuevos dispositivos se conecten a la interfaz, incluso si el conmutador se reinicia. Como alternativa al uso del aprendizaje MAC persistente con limitación de MAC, puede configurar estáticamente cada dirección MAC en cada puerto o permitir que el puerto aprenda continuamente nuevas direcciones MAC después de reinicios o eventos de interrupción de la interfaz. Permitir que el puerto aprenda continuamente las direcciones MAC representa un riesgo para la seguridad.

Nota:
  • Mientras un conmutador se reinicia o una interfaz vuelve a funcionar, es posible que haya un breve retraso antes de que la interfaz pueda obtener más direcciones MAC. Este retraso se produce mientras el sistema vuelve a introducir las direcciones MAC persistentes aprendidas previamente en la base de datos de reenvío de la interfaz.

  • A partir de la versión 22.4R1 de Junos OS, puede habilitar el aprendizaje MAC persistente tanto en interfaces troncales (etiquetadas por VLAN) como en interfaces de acceso.

Tenga en cuenta las siguientes directrices de configuración al configurar el aprendizaje de MAC persistente:

  • No puede habilitar el aprendizaje MAC persistente en una interfaz en la que esté configurada la autenticación 802.1x.

  • No puede habilitar el aprendizaje MAC persistente en una interfaz que forma parte de un grupo de troncos redundantes.

  • No puede habilitar el aprendizaje MAC persistente en una interfaz en la que esté habilitado el aprendizaje sin Mac .

Propina:

Si mueve un dispositivo dentro de la red que tiene una entrada de dirección MAC persistente en el conmutador, utilice el clear ethernet-switching table persistent-learning <interface | mac-address> comando para borrar la entrada de dirección MAC persistente de la interfaz. Si mueve el dispositivo y no borra la dirección MAC persistente del puerto original en el que aprendió, el nuevo puerto no aprenderá la dirección MAC del dispositivo y el dispositivo no podrá conectarse. Si el puerto original no funciona cuando mueve el dispositivo, el nuevo puerto aprenderá la dirección MAC y el dispositivo podrá conectarse. Sin embargo, si no borra la dirección MAC persistente en el puerto original, cuando el puerto se reinicie, el sistema reinstalará la dirección MAC persistente en la tabla de reenvío de ese puerto. Si esto ocurre, la dirección MAC persistente se elimina del nuevo puerto y el dispositivo pierde conectividad.

Configuración del aprendizaje de MAC persistente (ELS)

Nota:

En esta sección se describe el uso de Junos OS compatible con Enhanced Layer 2 Software (ELS). Para obtener más información acerca de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software

Para configurar el aprendizaje MAC persistente en una interfaz y limitar el número de direcciones MAC permitidas:

  1. Habilite el aprendizaje MAC persistente en una interfaz:
  2. Configure el límite de MAC en una interfaz y especifique la acción que realiza el conmutador después de superar el límite especificado:

    Después de establecer un nuevo límite de MAC para la interfaz, el sistema borra las entradas existentes en la tabla de reenvío de direcciones MAC asociada a la interfaz.

Los valores para action son:

drop

Descarte paquetes con nuevas direcciones MAC de origen y no aprenda las nuevas direcciones MAC de origen.

drop-and-log

(Solo conmutadores de la serie EX) Descarte paquetes con nuevas direcciones MAC de origen y genere una alarma, una captura SNMP o una entrada en el registro del sistema.

log

(Solo conmutadores de la serie EX) Mantenga paquetes con nuevas direcciones MAC de origen y genere una alarma, una captura SNMP o una entrada en el registro del sistema.

none

(Solo conmutadores de la serie EX) Reenvíe paquetes con nuevas direcciones MAC de origen y aprenda la nueva dirección MAC de origen.

shutdown

(Solo conmutadores de la serie EX) Deshabilite la interfaz especificada y genere una alarma, una captura SNMP o una entrada de registro del sistema.

Propina:

Si mueve un dispositivo dentro de la red que tiene una entrada de dirección MAC persistente en el conmutador, utilice el clear ethernet-switching table persistent-learning comando para borrar la entrada de dirección MAC persistente de la interfaz. Si mueve el dispositivo y no borra la dirección MAC persistente del puerto original en el que aprendió, el nuevo puerto no aprenderá la dirección MAC del dispositivo y el dispositivo no podrá conectarse.

Si el puerto original no funciona cuando mueve el dispositivo, el nuevo puerto aprenderá la dirección MAC y el dispositivo podrá conectarse. Sin embargo, si no borra la dirección MAC persistente en el puerto original, cuando el puerto se reinicie, el sistema reinstalará la dirección MAC persistente en la tabla de reenvío de ese puerto. Si esto ocurre, la dirección MAC persistente se elimina del nuevo puerto y el dispositivo pierde conectividad.

Configuración del aprendizaje de MAC persistente (no ELS)

El aprendizaje persistente de direcciones MAC, también conocido como MAC adhesivo, está desactivado de forma predeterminada. Puede habilitarlo para permitir que las direcciones MAC aprendidas dinámicamente se conserven en una interfaz durante los reinicios del conmutador.

Nota:

En esta sección se describe el uso de Junos OS sin soporte para Enhanced Layer 2 Software (ELS). Para obtener más información acerca de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software

Utilice el aprendizaje de direcciones MAC persistentes para:

  • Ayude a evitar pérdidas de tráfico para estaciones de trabajo y servidores de confianza, ya que la interfaz no tiene que volver a aprender las direcciones del tráfico de entrada después de un reinicio.

  • Proteja el conmutador contra ataques de seguridad: utilice el aprendizaje persistente de MAC en combinación con la limitación de MAC para protegerse contra ataques y evitar la necesidad de configurar estáticamente las direcciones MAC. Cuando se realiza el aprendizaje inicial de direcciones MAC hasta el número especificado por el límite MAC, no se permitirán nuevas direcciones incluso después de un reinicio. El puerto está protegido porque, una vez alcanzado el límite, los dispositivos adicionales no pueden conectarse a la interfaz.

Los primeros dispositivos que envían tráfico después de conectarse se aprenden durante el período de conexión inicial. Puede supervisar las direcciones MAC y proporcionar el mismo nivel de seguridad que si hubiera configurado estáticamente cada dirección MAC en cada interfaz, excepto con menos esfuerzo manual. El aprendizaje MAC persistente también ayuda a evitar la pérdida de tráfico para estaciones de trabajo y servidores de confianza, ya que la interfaz no tiene que volver a aprender las direcciones del tráfico de entrada.

Para configurar el aprendizaje MAC persistente en una interfaz y limitar el número de direcciones MAC permitidas:

  1. Habilite el aprendizaje MAC persistente en una interfaz:
  2. Configure el límite de MAC en una interfaz y especifique la acción que realiza el conmutador después de superar el límite especificado:

    Después de establecer un nuevo límite de MAC para la interfaz, el sistema borra las entradas existentes en la tabla de reenvío de direcciones MAC asociada a la interfaz.

Verificar que el aprendizaje persistente de MAC funciona correctamente

Propósito

Verifique que el aprendizaje persistente de MAC, también conocido como MAC pegajoso, esté funcionando en la interfaz. El aprendizaje persistente de MAC permite conservar direcciones MAC aprendidas dinámicamente en una interfaz durante los reinicios del conmutador (o si la interfaz deja de funcionar).

Acción

Muestra las direcciones MAC que se han aprendido. La siguiente salida de ejemplo muestra los resultados cuando se habilita el aprendizaje MAC persistente en la interfaz ge-0/0/42:

Mostrar tabla de conmutación Ethernet MAC persistente

Significado

La salida de ejemplo muestra que las direcciones MAC aprendidas se almacenan en la tabla de conmutación Ethernet como entradas persistentes. Si se reinicia el conmutador o la interfaz deja de funcionar y vuelve a subir, estas direcciones se restaurarán en la tabla.