Фильтрация и учет MAC-адресов в интерфейсах Ethernet
Чтобы блокировать все входящие пакеты определенного MAC-адрес, можно включить MAC-адрес фильтрацию. Можно настроить интерфейс Ethernet для динамического изучить MAC-адреса источника или назначения. В этой теме описывается, как MAC-адрес фильтрацию и как настроить MAC-адрес учет.
Настройка фильтрации MAC-адресов для интерфейсов Ethernet
Включение фильтрации адресов источника
На агрегированных интерфейсах Ethernet, Fast Ethernet, Gigabit Ethernet, Gigabit Ethernet IQ и Gigabit Ethernet PIC с SFP (за исключением 10-портов Gigabit Ethernet PIC и встроенного порта Gigabit Ethernet на маршрутизаторе M7i), можно включить фильтрацию адреса источника, чтобы блокировать все входящие пакеты с конкретной MAC-адрес.
Чтобы включить фильтрацию, включим source-filtering утверждение на следующих уровнях иерархии:
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]Прим.:При интеграции автономных маршрутизаторов T640 в матрицу маршрутов, адреса PIC MAC-адрес (MAC) для интегрированного маршрутизатора T640 извлекаются из пула MAC-адресов, поддерживаемого матрицей TX. Для каждого MAC-адрес, заданная в конфигурации ранее автономных T640 маршрутизатора, необходимо указать то же MAC-адрес в конфигурации маршрутизатора матрицы TX.
Аналогичным образом, при интеграции маршрутизатора T1600 или T4000 в матрицу маршрутов MAC-адреса PIC для интегрированного маршрутизатора T1600 или T4000 извлекаются из пула MAC-адресов, поддерживаемого маршрутизатором TX Matrix Plus. Для MAC-адрес маршрутизатора, который указан в конфигурации ранее автономных T1600 или T4000, необходимо указать то же MAC-адрес в конфигурации маршрутизатора TX Matrix Plus.
Когда включена фильтрация адресов источника, можно настроить интерфейс на получение пакетов с определенных MAC-адресов. Для этого укажите MAC-адреса в утверждениях на следующих уровнях source-address-filter mac-address иерархии:
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]
Можно указать MAC-адрес или nn:nn:nn:nn:nn:nnnnnn .nnnn.nnnn где n – hexademal number. Можно настроить до 64 адресов источников. Чтобы указать несколько адресов, включив source-address-filter утверждение несколько раз.
Утверждение не поддерживается на CS source-address-filter Gigabit Ethernet IQ и Gigabit Ethernet с SFP (за исключением 10-портов GIGabit Ethernet PIC и встроенного порта Gigabit Ethernet на маршрутизаторе M7i); вместо этого включите accept-source-mac утверждение. Дополнительные сведения см. в конфигурировании policers Gigabit Ethernet.
Если удаленная карта Ethernet изменена, интерфейс не сможет получать пакеты с новой карты, так как у нее другая MAC-адрес.
Фильтрация адресов источника не работает при включенной работе протокола управления агрегацией соединений (LACP). Это поведение не применимо к маршрутизаторам серии T и серия PTX пакетно-транспортным маршрутизаторам. Дополнительные сведения о LACP см. в "Агрегированные интерфейсы Ethernet".
На непогрузке интерфейсов Gigabit Ethernet не следует одновременно настраивать утверждение на уровне иерархии и утверждение на source-address-filter[edit interfaces ge-fpc/pic/port gigether-options] уровне accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] иерархии. Если эти утверждения настроены для одинаковых интерфейсов одновременно, отображается сообщение об ошибке.
На помеченных интерфейсах Gigabit Ethernet не следует настраивать утверждение на source-address-filter [edit interfaces hierarchy level) и утверждение на уровне иерархии с одинаковым MAC-адрес, указанным в обоих [edit interfaces ge-fpc/pic/port gigether-options]accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] фильтрах. Если эти утверждения настроены для тех же интерфейсов с одинаковым MAC-адрес, отображается сообщение об ошибке.
Утверждение source-address-filter не поддерживается на серия MX с MPC4E (номера моделей: MPC4E-3D-32XGE-SFPP и MPC4E-3D-2CGE-8XGE); включим accept-source-mac утверждение. Дополнительные сведения см. в конфигурировании policers Gigabit Ethernet.
Настройка фильтрации MAC-адресов на серия PTX packet transport routers
В данной теме описывается настройка фильтрации MAC-серия PTX маршрутизаторов пакетной транспортировки. Фильтрация MAC-адресов позволяет указать MAC-адреса, с которых интерфейс Ethernet может принимать пакеты.
Поддержка фильтрации MAC-серия PTX пакетно-транспортных маршрутизаторов включает:
Фильтрация адреса источника и назначения MAC для каждого порта.
Фильтрация исходных MAC-адресов для каждого физического интерфейса.
Фильтрация адреса источника MAC для каждого логического интерфейса.
При фильтрации логических и физических интерфейсов можно указать до 1000 MAC-адресов источников на порт.
Чтобы настроить фильтрацию MAC-адресов источника для физического интерфейса, включим в себя утверждения и утверждения source-filteringsource-address-filter на уровне [edit interfaces et-fpc/pic/port gigether-options] иерархии:
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
source-address-filter {
mac-address;
}
}
}
Утверждение source-address-filter настраивает фильтруемые MAC-адреса источников. Указанный физический интерфейс сбрасывает все пакеты с MAC-адресов источника, указанных вами. Можно указать MAC-адрес где nn:nn:nn:nn:nn:nnn десятичной цифрой. Чтобы указать более одного адреса, включим в утверждение mac-address несколько source-address-filter параметров.
Чтобы настроить фильтрацию MAC-адреса источника для логического интерфейса, включите утверждение accept-source-mac на [edit interfaces et-fpc/pic/port unit logical-unit-number] уровне иерархии:
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
}
unit logical-unit-number {
accept-source-mac {
mac-address mac-address;
}
}
}
Утверждение accept-source-mac настраивает, какие MAC-адреса источника принимаются на логическом интерфейсе. Можно указать MAC-адрес где nn:nn:nn:nn:nn:nnn десятичной цифрой. Чтобы указать более одного адреса, включим в утверждение mac-address mac-address несколько accept-source-mac параметров.
После настройки фильтра интерфейса имеется запись учета, связанная с MAC-адрес фильтром. Счетчики накапливаются в случае, если имеются пакеты с совпадающих MAC-адресов источников. Для просмотра подсчета show interfaces mac-database адресов Junos OS интерфейс командной строки команду Junos OS интерфейс командной строки использовать команду "Junos OS интерфейс командной строки".
См. также
Настройка учета MAC-адресов
Для CS Gigabit Ethernet IQ и Gigabit Ethernet с SFP (за исключением 10-портов GIGabit Ethernet PIC и встроенного порта Gigabit Ethernet на M7i маршрутизаторе) для DDP Gigabit Ethernet на серия MX маршрутизаторах, для PIC 100-Gigabit Ethernet типа 5 с CFP, а также для MPC3E, MPC4E, MPC5E, MPC5EQ и MPC6E MPC6E MMPC, можно настроить динамическое заучение MAC-адресов источника и назначения.
Для настройки MAC-адрес учета на отдельном интерфейсе Ethernet включите утверждение mac-learn-enable на [edit interfaces interface-name gigether-options ethernet-switch-profile] уровне иерархии:
[edit interfaces interface-name gigether-options ethernet-switch-profile] mac-learn-enable;
Чтобы настроить MAC-адрес на агрегированном интерфейсе Ethernet, включите утверждение mac-learn-enable на [edit interfaces aex aggregated-ether-options ethernet-switch-profile] уровне иерархии:
[edit interfaces aex aggregated-ether-options ethernet-switch-profile] mac-learn-enable;
Чтобы запретить интерфейсу динамическое изучение MAC-адресов источника и назначения, не включайmac-learn-enable утверждение.
Чтобы отключить динамическое изучение MAC-адресов источника и назначения после настройки, необходимо удалить mac-learn-enable из конфигурации.
MPC поддерживают MAC-адрес учет отдельных интерфейсов или агрегированных интерфейсов-членов Ethernet только после того, как интерфейс получил трафик от источника MAC. Если трафик только выходит из интерфейса, MAC-адрес данные не узнаются и MAC-адрес учета не происходит.