以太网接口上的 MAC 地址过滤和计费
要阻止来自特定 MAC 地址的所有传入数据包,您可以启用 MAC 地址过滤。您可以将以太网接口配置为动态学习源或目标 MAC 地址。本文介绍如何开启MAC地址过滤,如何配置MAC地址计费。
为以太网接口配置 MAC 地址过滤
启用源地址过滤
在聚合以太网接口、快速以太网、千兆以太网、千兆以太网 IQ 和带 SFP 的千兆以太网 PIC(M7i 路由器上的 10 端口千兆以太网 PIC 和内置千兆以太网端口除外)上,您可以启用源地址过滤以阻止来自特定 MAC 地址的所有传入数据包。
要启用筛选,请在以下层次结构级别包含 语句:source-filtering
[edit interfaces interface-name aggregated-ether-options]
[edit interfaces interface-name fastether-options]
[edit interfaces interface-name gigether-options]
注:将独立 T640 路由器集成到路由矩阵中时,集成 T640 路由器的 PIC 媒体访问控制 (MAC) 地址派生自 TX Matrix 路由器维护的 MAC 地址池。对于在以前独立的 T640 路由器的配置中指定的每个 MAC 地址,您必须在 TX Matrix 路由器的配置中指定相同的 MAC 地址。
同样,将 T1600 或 T4000 路由器集成到路由矩阵中时,集成 T1600 或 T4000 路由器的 PIC MAC 地址派生自 TX Matrix Plus 路由器维护的 MAC 地址池。对于在以前独立的 T1600 或 T4000 路由器的配置中指定的每个 MAC 地址,您必须在 TX Matrix Plus 路由器的配置中指定相同的 MAC 地址。
启用源地址过滤后,您可以将接口配置为接收来自特定 MAC 地址的数据包。为此,请在语句中 指定以下层次结构级别的 MAC 地址:source-address-filter mac-address
[edit interfaces interface-name aggregated-ether-options]
[edit interfaces interface-name fastether-options]
[edit interfaces interface-name gigether-options]
您可以将 MAC 地址指定为 或 ,其中 是十六进制数字。nn:nn:nn:nn:nn:nn
nnnn .nnnn.nnnn
n
您最多可以配置 64 个源地址。要指定多个地址,请多次包含该 语句。source-address-filter
该 语句在具有 SFP 的千兆以太网 IQ 和千兆以太网 PIC 上不受支持(M7i 路由器上的 10 端口千兆以太网 PIC 和内置千兆以太网端口除外);而是包含该 语句。source-address-filter
accept-source-mac
有关更多信息,请参阅 配置千兆以太网监管器。配置千兆以太网监管器
如果更改了远程以太网卡,接口将无法从新卡接收数据包,因为它具有不同的 MAC 地址。
启用链路聚合控制协议 (LACP) 时,源地址过滤不起作用。此行为不适用于 T 系列路由器和 PTX 系列数据包传输路由器。有关 LACP 的详细信息,请参阅 聚合以太网接口。聚合以太网接口
在未标记的千兆以太网接口上,不应同时在层次结构级别配置语句和在层次结构级别配置语句。source-address-filter
[edit interfaces ge-fpc/pic/port gigether-options]
accept-source-mac
[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number]
如果同时为相同的接口配置了这些语句,则会显示一条错误消息。
在标记的千兆以太网接口上,不应 使用两个过滤器中指定的相同 MAC 地址,在 [编辑接口 层次结构级别配置语句,在 层次结构级别配置 语句。source-address-filter
[edit interfaces ge-fpc/pic/port gigether-options]
accept-source-mac
[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number]
如果为指定了相同 MAC 地址的相同接口配置了这些语句,则会显示一条错误消息。
带有 MPC4E 的 MX 系列路由器(型号:source-address-filter
MPC4E-3D-32XGE-SFPP 和 MPC4E-3D-2CGE-8XGE);相反,请包含该 语句。accept-source-mac
有关更多信息,请参阅 配置千兆以太网监管器。配置千兆以太网监管器
在 PTX 系列数据包传输路由器上配置 MAC 地址过滤
本主题介绍如何在 PTX 系列数据包传输路由器上配置 MAC 过滤。通过 MAC 过滤,您可以指定以太网接口可以从中接收数据包的 MAC 地址。
PTX 系列数据包传输路由器上的 MAC 过滤支持包括:
每个端口的 MAC 源地址和目标地址过滤。
每个物理接口的 MAC 源地址过滤。
每个逻辑接口的 MAC 源地址过滤。
过滤逻辑和物理接口时,每个端口最多可以指定 1000 个 MAC 源地址。
要为物理接口配置 MAC 源地址过滤,请在层次结构级别包含 and 语句 :source-filtering
source-address-filter
[edit interfaces et-fpc/pic/port gigether-options]
[edit interfaces] et-x/y/z { gigether-options { source-filtering; source-address-filter { mac-address; } } }
该 语句配置过滤哪些 MAC 源地址。source-address-filter
指定的物理接口会丢弃来自您指定的 MAC 源地址的所有数据包。您可以将 MAC 地址指定为 其中 是十进制数字。nn:nn:nn:nn:nn:nn
n
要指定多个地址,请在语句中包含多个选项。mac-address
source-address-filter
要为逻辑接口配置 MAC 源地址过滤,请在层次结构级别包含语句:accept-source-mac
[edit interfaces et-fpc/pic/port unit logical-unit-number]
[edit interfaces] et-x/y/z { gigether-options { source-filtering; } unit logical-unit-number { accept-source-mac { mac-address mac-address; } } }
该 语句配置逻辑接口上接受哪些 MAC 源地址。accept-source-mac
您可以将 MAC 地址指定为 其中 是十进制数字。nn:nn:nn:nn:nn:nn
n
要指定多个地址,请在语句中包含多个选项。mac-address mac-address
accept-source-mac
配置接口过滤器后,将有一个与 MAC 地址过滤器关联的记帐条目。如果存在具有匹配 MAC 源地址的数据包,则计数器会累积。您可以使用 Junos OS CLI 命令查看地址计数。show interfaces mac-database
另请参阅
配置 MAC 地址记帐
对于带 SFP 的千兆以太网 IQ 和千兆以太网 PIC(M7i 路由器上的 10 端口千兆以太网 PIC 和内置千兆以太网端口除外)、MX 系列路由器上的千兆以太网 DPC、带 CFP 的 100 千兆以太网类型 5 PIC 以及 MPC3E、MPC4E、 MPC5E、MPC5EQ 和 MPC6E MPC,您可以配置是否动态学习源和目标 MAC 地址。
要在单个以太网接口上配置 MAC 地址记帐,请在层次结构级别包含语句:mac-learn-enable
[edit interfaces interface-name gigether-options ethernet-switch-profile]
[edit interfaces interface-name gigether-options ethernet-switch-profile] mac-learn-enable;
要在聚合以太网接口上配置 MAC 地址记帐,请在层次结构级别包含语句:mac-learn-enable
[edit interfaces aex aggregated-ether-options ethernet-switch-profile]
[edit interfaces aex aggregated-ether-options ethernet-switch-profile] mac-learn-enable;
要禁止接口动态学习源和目标 MAC 地址 ,请不要包含 该 语句。mac-learn-enable
要在配置源和目标 MAC 地址后禁用动态学习,必须从配置中删除 。mac-learn-enable
MPC 仅在接口收到来自 MAC 源的流量后,才支持单个接口或聚合以太网接口成员链路的 MAC 地址核算。如果流量仅退出接口,则不会学习 MAC 地址,也不会进行 MAC 地址记帐。