Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

以太网接口上的 MAC 地址过滤和计费

要阻止来自特定 MAC 地址的所有传入数据包,您可以启用 MAC 地址过滤。您可以将以太网接口配置为动态学习源或目标 MAC 地址。本文介绍如何开启MAC地址过滤,如何配置MAC地址计费。

为以太网接口配置 MAC 地址过滤

启用源地址过滤

在聚合以太网接口、快速以太网、千兆以太网、千兆以太网 IQ 和带 SFP 的千兆以太网 PIC(M7i 路由器上的 10 端口千兆以太网 PIC 和内置千兆以太网端口除外)上,您可以启用源地址过滤以阻止来自特定 MAC 地址的所有传入数据包。

要启用筛选,请在以下层次结构级别包含 语句:source-filtering

  • [edit interfaces interface-name aggregated-ether-options]

  • [edit interfaces interface-name fastether-options]

  • [edit interfaces interface-name gigether-options]

    注:

    将独立 T640 路由器集成到路由矩阵中时,集成 T640 路由器的 PIC 媒体访问控制 (MAC) 地址派生自 TX Matrix 路由器维护的 MAC 地址池。对于在以前独立的 T640 路由器的配置中指定的每个 MAC 地址,您必须在 TX Matrix 路由器的配置中指定相同的 MAC 地址。

    同样,将 T1600 或 T4000 路由器集成到路由矩阵中时,集成 T1600 或 T4000 路由器的 PIC MAC 地址派生自 TX Matrix Plus 路由器维护的 MAC 地址池。对于在以前独立的 T1600 或 T4000 路由器的配置中指定的每个 MAC 地址,您必须在 TX Matrix Plus 路由器的配置中指定相同的 MAC 地址。

启用源地址过滤后,您可以将接口配置为接收来自特定 MAC 地址的数据包。为此,请在语句中 指定以下层次结构级别的 MAC 地址:source-address-filter mac-address

  • [edit interfaces interface-name aggregated-ether-options]

  • [edit interfaces interface-name fastether-options]

  • [edit interfaces interface-name gigether-options]

您可以将 MAC 地址指定为 或 ,其中 是十六进制数字。nn:nn:nn:nn:nn:nnnnnn .nnnn.nnnnn 您最多可以配置 64 个源地址。要指定多个地址,请多次包含该 语句。source-address-filter

注:

该 语句在具有 SFP 的千兆以太网 IQ 和千兆以太网 PIC 上不受支持(M7i 路由器上的 10 端口千兆以太网 PIC 和内置千兆以太网端口除外);而是包含该 语句。source-address-filteraccept-source-mac 有关更多信息,请参阅 配置千兆以太网监管器。配置千兆以太网监管器

如果更改了远程以太网卡,接口将无法从新卡接收数据包,因为它具有不同的 MAC 地址。

启用链路聚合控制协议 (LACP) 时,源地址过滤不起作用。此行为不适用于 T 系列路由器和 PTX 系列数据包传输路由器。有关 LACP 的详细信息,请参阅 聚合以太网接口。聚合以太网接口

注:

在未标记的千兆以太网接口上,不应同时在层次结构级别配置语句和在层次结构级别配置语句。source-address-filter[edit interfaces ge-fpc/pic/port gigether-options]accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] 如果同时为相同的接口配置了这些语句,则会显示一条错误消息。

在标记的千兆以太网接口上,不应 使用两个过滤器中指定的相同 MAC 地址,在 [编辑接口 层次结构级别配置语句,在 层次结构级别配置 语句。source-address-filter[edit interfaces ge-fpc/pic/port gigether-options]accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] 如果为指定了相同 MAC 地址的相同接口配置了这些语句,则会显示一条错误消息。

注:

带有 MPC4E 的 MX 系列路由器(型号:source-address-filter MPC4E-3D-32XGE-SFPP 和 MPC4E-3D-2CGE-8XGE);相反,请包含该 语句。accept-source-mac 有关更多信息,请参阅 配置千兆以太网监管器。配置千兆以太网监管器

在 PTX 系列数据包传输路由器上配置 MAC 地址过滤

本主题介绍如何在 PTX 系列数据包传输路由器上配置 MAC 过滤。通过 MAC 过滤,您可以指定以太网接口可以从中接收数据包的 MAC 地址。

PTX 系列数据包传输路由器上的 MAC 过滤支持包括:

  • 每个端口的 MAC 源地址和目标地址过滤。

  • 每个物理接口的 MAC 源地址过滤。

  • 每个逻辑接口的 MAC 源地址过滤。

过滤逻辑和物理接口时,每个端口最多可以指定 1000 个 MAC 源地址。

要为物理接口配置 MAC 源地址过滤,请在层次结构级别包含 and 语句 :source-filteringsource-address-filter[edit interfaces et-fpc/pic/port gigether-options]

该 语句配置过滤哪些 MAC 源地址。source-address-filter 指定的物理接口会丢弃来自您指定的 MAC 源地址的所有数据包。您可以将 MAC 地址指定为 其中 是十进制数字。nn:nn:nn:nn:nn:nnn 要指定多个地址,请在语句中包含多个选项。mac-addresssource-address-filter

要为逻辑接口配置 MAC 源地址过滤,请在层次结构级别包含语句:accept-source-mac[edit interfaces et-fpc/pic/port unit logical-unit-number]

该 语句配置逻辑接口上接受哪些 MAC 源地址。accept-source-mac 您可以将 MAC 地址指定为 其中 是十进制数字。nn:nn:nn:nn:nn:nnn 要指定多个地址,请在语句中包含多个选项。mac-address mac-addressaccept-source-mac

配置接口过滤器后,将有一个与 MAC 地址过滤器关联的记帐条目。如果存在具有匹配 MAC 源地址的数据包,则计数器会累积。您可以使用 Junos OS CLI 命令查看地址计数。show interfaces mac-database

配置 MAC 地址记帐

对于带 SFP 的千兆以太网 IQ 和千兆以太网 PIC(M7i 路由器上的 10 端口千兆以太网 PIC 和内置千兆以太网端口除外)、MX 系列路由器上的千兆以太网 DPC、带 CFP 的 100 千兆以太网类型 5 PIC 以及 MPC3E、MPC4E、 MPC5E、MPC5EQ 和 MPC6E MPC,您可以配置是否动态学习源和目标 MAC 地址。

要在单个以太网接口上配置 MAC 地址记帐,请在层次结构级别包含语句:mac-learn-enable[edit interfaces interface-name gigether-options ethernet-switch-profile]

要在聚合以太网接口上配置 MAC 地址记帐,请在层次结构级别包含语句:mac-learn-enable[edit interfaces aex aggregated-ether-options ethernet-switch-profile]

要禁止接口动态学习源和目标 MAC 地址 ,请不要包含 该 语句。mac-learn-enable

要在配置源和目标 MAC 地址后禁用动态学习,必须从配置中删除 。mac-learn-enable

注:

MPC 仅在接口收到来自 MAC 源的流量后,才支持单个接口或聚合以太网接口成员链路的 MAC 地址核算。如果流量仅退出接口,则不会学习 MAC 地址,也不会进行 MAC 地址记帐。