Cisco Sticky Mac 與 Juniper Persistant-Mac
我試圖弄清楚 JUNOS 處理
sticky-mac
其交換機埠地址的方式與 Cisco 處理它們的方式是否存在固有缺陷。我會詳細說明。在下面,您可以看到該埠
Fa0/1
已配置為sticky-mac
,並且一旦將設備插入該埠,它就會running-configuration
為該單個埠載入 MAC 地址。interface FastEthernet0/1 switchport mode access switchport port-security switchport port-security violation restrict switchport port-security mac-address sticky switchport port-security mac-address sticky 0010.9400.0002 !
現在,假設最終使用者擁有筆記型電腦的移動性,並決定將筆記型電腦插入其他地方;我們假設它們插入
Fa0/2
同一交換機上的埠。顯然,Cisco 交換機會將埠置於某種
err-disabled
狀態,因為埠Fa0/2
正在嘗試連接已在交換機上註冊的 MAC 地址。CiscoSwitch>show interface status Port Name Status Vlan Duplex Speed Type Fa0/1 notconnect 1 auto auto 10/100BaseTX Fa0/2 err-disabled 1 auto auto 10/100BaseTX Fa0/3 notconnect 1 auto auto 10/100BaseTX Fa0/4 notconnect 1 auto auto 10/100BaseTX Fa0/5 notconnect 1 auto auto 10/100BaseTX Fa0/6 notconnect 1 auto auto 10/100BaseTX
現在,據我了解,這不一定是一種安全機制。它更像是一個基本的開關功能;真的不知道如何處理在同一交換機上註冊的超過 2 個 mac-address 整數。儘管這本身不是一種安全控制,但它確實具有雙重作用,可確保管理員擁有適當的埠控制;對於完全填充的 6550,這可能意味著整個樓層、VLAN 甚至子網的差異。
現在,可以讓您在 JUNOS 中獲得相同期望結果的配置如下。另外,是的,我知道
family ethernet-switching
缺少命令。我們還將假設我們在 Cisco 範例中使用的是同一台筆記型電腦。user@switch# show interface ge-0/0/0.0 { mac-limit 1; persistent-learning; } interface ge-0/0/1.0 { mac-limit 1; persistent-learning; }
驗證 MAC 地址已永久註冊後。
user@switch> show ethernet-switching table persistent-mac VLAN MAC address Type Interface default 00:10:94:00:00:02 installed ge-0/0/0.0
現在出現了奇怪的部分,如果您更改埠,JUNOS 會自動將 mac-address 遷移到它在下一個看到 mac-address 的埠。
user@switch> show ethernet-switching table persistent-mac VLAN MAC address Type Interface default 00:10:94:00:00:02 installed ge-0/0/1.0
我不確定這是否是設計目標,但對於正在向 Juniper 過渡的人來說,我發現這個缺點很重要,因為 802.1X 在我們的環境中還不可行。
別人做了什麼?有沒有其他人找到動態解決這個問題的方法?
奇怪的是,這個答案是多麼難以找到。模仿 Cisco
switchport port-security mac-address sticky
在瞻博網路平台上的功能的功能是ethernet-switching-options secure-access-port vlan (all | vlan-name) mac-move-limit;
.瞻博網路關於 MAC 移動限制的技術文件:
MAC 移動限制
MAC 移動限制可防止交換機未獲知 MAC 地址的主機訪問網路。主機發送 DHCP 請求時的初始學習結果。如果在介面上檢測到新的 MAC 地址,則將數據包擷取到交換機。通常,當主機從一個介面移動到另一個介面時,主機必須重新協商其 IP 地址並租用(如果在交換機上配置了 802.1X,則需要重新進行身份驗證)。主機發送的 DHCP 請求可以是新 IP 地址,也可以是驗證舊 IP 地址。如果未配置 802.1X,則乙太網交換錶條目會從原始介面中刷新並添加到新介面中。跟踪這些 MAC 移動,如果在一秒鐘內發生超過配置的移動次數,則執行配置的操作。
MAC 限制和 MAC 移動限制的操作
當達到 MAC 地址限製或 MAC 移動限制時,您可以選擇執行以下操作之一:
- drop - 丟棄數據包並生成警報、SNMP 陷阱或系統日誌條目。
- log - 不丟棄數據包,但會生成警報、SNMP 陷阱或系統日誌條目。
- none - 不採取任何行動。
- shutdown - 阻止介面上的數據流量並生成警報。如果您不設置操作,則操作為無。您還可以將 none 顯式設置為操作。
我對 Juniper 交換機不太熟悉,但我確信它支持本地 RADIUS 伺服器(即在交換機本身上執行的 RADIUS 伺服器)和 MAC 身份驗證。事實上,在您的情況下,使用本地 RADIUS 伺服器和 MAC 身份驗證將是我的首選,而不是試圖模仿 Cisco 設備的專有行為。無法使用 802.1x 的原因是什麼?客戶不支持嗎?