Networking

Cisco Sticky Mac 與 Juniper Persistant-Mac

  • February 10, 2013

我試圖弄清楚 JUNOS 處理sticky-mac其交換機埠地址的方式與 Cisco 處理它們的方式是否存在固有缺陷。我會詳細說明。

在下面,您可以看到該埠Fa0/1已配置為sticky-mac,並且一旦將設備插入該埠,它就會running-configuration為該單個埠載入 MAC 地址。

interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0010.9400.0002
!

現在,假設最終使用者擁有筆記型電腦的移動性,並決定將筆記型電腦插入其他地方;我們假設它們插入Fa0/2同一交換機上的埠。

顯然,Cisco 交換機會將埠置於某種err-disabled狀態,因為埠Fa0/2正在嘗試連接已在交換機上註冊的 MAC 地址。

CiscoSwitch>show interface status

Port      Name               Status       Vlan       Duplex  Speed Type
Fa0/1                        notconnect   1            auto   auto 10/100BaseTX
Fa0/2                        err-disabled 1            auto   auto 10/100BaseTX
Fa0/3                        notconnect   1            auto   auto 10/100BaseTX
Fa0/4                        notconnect   1            auto   auto 10/100BaseTX
Fa0/5                        notconnect   1            auto   auto 10/100BaseTX
Fa0/6                        notconnect   1            auto   auto 10/100BaseTX

現在,據我了解,這不一定是一種安全機制。它更像是一個基本的開關功能;真的不知道如何處理在同一交換機上註冊的超過 2 個 mac-address 整數。儘管這本身不是一種安全控制,但它確實具有雙重作用,可確保管理員擁有適當的埠控制;對於完全填充的 6550,這可能意味著整個樓層、VLAN 甚至子網的差異。

現在,可以讓您在 JUNOS 中獲得相同期望結果的配置如下。另外,是的,我知道family ethernet-switching缺少命令。我們還將假設我們在 Cisco 範例中使用的是同一台筆記型電腦。

user@switch# show
interface ge-0/0/0.0 {
   mac-limit 1;
   persistent-learning;
}
interface ge-0/0/1.0 {
   mac-limit 1;
   persistent-learning;
}

驗證 MAC 地址已永久註冊後。

user@switch> show ethernet-switching table persistent-mac
VLAN              MAC address       Type       Interface
default           00:10:94:00:00:02 installed    ge-0/0/0.0

現在出現了奇怪的部分,如果您更改埠,JUNOS 會自動將 mac-address 遷移到它在下一個看到 mac-address 的埠。

user@switch> show ethernet-switching table persistent-mac
VLAN              MAC address       Type       Interface
default           00:10:94:00:00:02 installed    ge-0/0/1.0

我不確定這是否是設計目標,但對於正在向 Juniper 過渡的人來說,我發現這個缺點很重要,因為 802.1X 在我們的環境中還不可行。

別人做了什麼?有沒有其他人找到動態解決這個問題的方法?

奇怪的是,這個答案是多麼難以找到。模仿 Ciscoswitchport port-security mac-address sticky在瞻博網路平台上的功能的功能是ethernet-switching-options secure-access-port vlan (all | vlan-name) mac-move-limit;.

瞻博網路關於 MAC 移動限制的技術文件:

MAC 移動限制

MAC 移動限制可防止交換機未獲知 MAC 地址的主機訪問網路。主機發送 DHCP 請求時的初始學習結果。如果在介面上檢測到新的 MAC 地址,則將數據包擷取到交換機。通常,當主機從一個介面移動到另一個介面時,主機必須重新協商其 IP 地址並租用(如果在交換機上配置了 802.1X,則需要重新進行身份驗證)。主機發送的 DHCP 請求可以是新 IP 地址,也可以是驗證舊 IP 地址。如果未配置 802.1X,則乙太網交換錶條目會從原始介面中刷新並添加到新介面中。跟踪這些 MAC 移動,如果在一秒鐘內發生超過配置的移動次數,則執行配置的操作。

MAC 限制和 MAC 移動限制的操作

當達到 MAC 地址限製或 MAC 移動限制時,您可以選擇執行以下操作之一:

  • drop - 丟棄數據包並生成警報、SNMP 陷阱或系統日誌條目。
  • log - 不丟棄數據包,但會生成警報、SNMP 陷阱或系統日誌條目。
  • none - 不採取任何行動。
  • shutdown - 阻止介面上的數據流量並生成警報。如果您不設置操作,則操作為無。您還可以將 none 顯式設置為操作。

我對 Juniper 交換機不太熟悉,但我確信它支持本地 RADIUS 伺服器(即在交換機本身上執行的 RADIUS 伺服器)和 MAC 身份驗證。事實上,在您的情況下,使用本地 RADIUS 伺服器和 MAC 身份驗證將是我的首選,而不是試圖模仿 Cisco 設備的專有行為。無法使用 802.1x 的原因是什麼?客戶不支持嗎?

引用自:https://serverfault.com/questions/425784

相關問答

Networking

哪個 10Gb 交換機具有本地 CX4 銅纜埠?

  • January 8, 2011
檢視問答
Networking

針對 HSRP WAN 冗餘的基本 Cisco 交換機建議

  • October 17, 2019
檢視問答
Networking

送出時通過 scp 進行的配置傳輸在瞻博網路 EX-2200 交換機上不起作用

  • August 20, 2019
檢視問答
Networking

在本地網路上將子網遮罩從 /24 更改為 /23

  • July 22, 2019
檢視問答
Networking

配置瞻博網路 EX2200 乙太網交換

  • November 12, 2018
檢視問答
Networking

插入 SFP 後,Cisco 3850 所有埠都變為琥珀色

  • June 1, 2018
檢視問答