服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 思科Sticky Mac与Juniper持久Mac
Intereting Posts
为什么BFD添加euid = 0到APF IP deny_host.rules? 关于Linux系统的完整备份和恢复 systemd-networkd和直接路由 Shorewall:logging到自定义文件 存储在%Windir%\ System32 \ LogFiles \ WMI \ RtBackup中的内容? OpenVZ主机节点和IPTables Logrotate不能正常工作 2003 AD到2008 AD升级导致随机电脑与Intranet脱离 用于高stream量网站的广告服务器软件 使用Gitlab CE如何在专用networking上将主机名redirect到FQDN? Windows Server 2003明显重启或冻结,没有明显的原因? 具有一个外部IP地址的Hyper-V主机。 我如何为访客虚拟机分配内部IP并configurationNAT? 为什么复制失败,错误重复input密钥? 在端口80上运行本地gae服务器 ipmitool传感器:不检测备用电源

思科Sticky Mac与Juniper持久Mac

我试图弄清楚JUNOS在交换机端口处理sticky-mac地址的方式是否存在固有的缺陷,以及思科如何处理它们。 我会详细说明。

下面,您可以看到端口Fa0/1configuration为sticky-mac ,一旦设备插入端口,就会将mac地址加载到该端口的running-configuration中。 

 interface FastEthernet0/1 switchport mode access switchport port-security switchport port-security violation restrict switchport port-security mac-address sticky switchport port-security mac-address sticky 0010.9400.0002 !

现在,假设最终用户具有笔记本电脑的移动性,并决定将笔记本电脑插入其他地方; 我们假定它们插入同一个交换机的端口Fa0/2

显然,由于端口Fa0/2尝试连接已经在交换机上注册的mac地址,Cisco交换机将把端口置于err-disabled状态。 

 CiscoSwitch>show interface status Port Name Status Vlan Duplex Speed Type Fa0/1 notconnect 1 auto auto 10/100BaseTX Fa0/2 err-disabled 1 auto auto 10/100BaseTX Fa0/3 notconnect 1 auto auto 10/100BaseTX Fa0/4 notconnect 1 auto auto 10/100BaseTX Fa0/5 notconnect 1 auto auto 10/100BaseTX Fa0/6 notconnect 1 auto auto 10/100BaseTX

现在,从我的理解,这不一定是一个安全机制。 这更多的是一个基本的开关function。 不知道在同一台交换机上注册超过2个mac-address的情况下该怎么办。 虽然这不是一个安全控制,但它确实有双重作用,确保pipe理员具有适当的端口控制; 有一个完全填充的6550,这可能意味着整个楼层,VLAN或甚至子网的差异。

现在,将在JUNOS中获得相同期望结果的configuration如下。 另外,是的,我知道family ethernet-switching命令丢失。 我们也将假设我们在思科示例中使用的是同一台笔记本电脑。 

 user@switch# show interface ge-0/0/0.0 { mac-limit 1; persistent-learning; } interface ge-0/0/1.0 { mac-limit 1; persistent-learning; }

validationMAC地址已被永久注册后。 

 user@switch> show ethernet-switching table persistent-mac VLAN MAC address Type Interface default 00:10:94:00:00:02 installed ge-0/0/0.0

现在出现了奇怪的部分,如果你改变了端口,JUNOS会自动将MAC地址迁移到它看到下一个MAC地址的端口。 

 user@switch> show ethernet-switching table persistent-mac VLAN MAC address Type Interface default 00:10:94:00:00:02 installed ge-0/0/1.0

我不确定这是否是devise目标,但是从正在向瞻博networking过渡的人员,我发现这个缺点是很大的,因为802.1X在我们的环境中还不可行。

别人做了什么? 有没有其他人find解决这个dynamic?

我对Juniper交换机不太熟悉,但我确定它支持本地RADIUS服务器(即在交换机上运行的RADIUS服务器)和MACauthentication。 事实上,使用本地RADIUS服务器和MAC身份validation将是我的首选,而不是试图模仿思科设备的专有行为。 什么是不能使用802.1x的原因? 客户不支持吗?

奇怪的是这个答案有多难。 在Juniper平台上模拟思科switchport port-security mac-address stickyfunction的function是ethernet-switching-options secure-access-port vlan (all | vlan-name) mac-move-limit;

瞻博networkingMAC移动限制的技术文档:

MAC移动限制

MAC限制function可以防止交换机没有学习到MAC地址的主机访问networking。 主机发送DHCP请求时的初始学习结果。 如果在接口上检测到新的MAC地址,则该数据包被困在交换机上。 通常,当主机从一个接口移动到另一个时,主机必须重新协商其IP地址并进行租用(如果在交换机上configuration了802.1X,则需要重新进行身份validation)。 主机发送的DHCP请求可以是一个新的IP地址,或者一个validation旧的IP地址。 如果没有configuration802.1X,则从原始接口刷新以太网交换表项并添加到新接口。 跟踪这些MAC移动,如果在一秒内发生超过configuration的移动次数,则执行configuration的操作。

MAC限制和MAC移动限制的操作

当MAC地址的限制或MAC移动的限制达到时,可以select执行以下操作之一:

  • 丢弃 – 丢弃数据包并生成警报,SNMP陷阱或系统日志条目。
  • 日志 – 不要丢弃数据包,但会生成警报,SNMP陷阱或系统日志条目。
  • 无 – 不采取行动。
  • closures – 阻止接口上的数据stream量并生成警报。 如果你没有设置一个动作,那么这个动作是没有的。 您也可以明确地将none设置为该操作。