Cisco Sticky Mac 与 Juniper Persistant-Mac 对比

tag-icon tag-icon networking cisco juniper switch junos
Cisco Sticky Mac 与 Juniper Persistant-Mac 对比

我正在尝试弄清楚 JUNOS 处理sticky-mac其交换机端口上的地址的方式与 Cisco 处理方式相比是否存在固有缺陷。我会详细说明。

下面,您可以看到端口Fa0/1已配置为sticky-mac,并且一旦设备插入端口,它就会将 mac 地址加载到running-configuration该单个端口中。

interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0010.9400.0002
!

现在,假设最终用户拥有笔记本电脑的移动性,并决定将笔记本电脑插入其他地方;我们假设他们插入Fa0/2同一交换机上的端口。

显然,思科交换机将使端口进入某种err-disabled状态,因为端口Fa0/2正试图连接已经在交换机上注册的 mac 地址。

CiscoSwitch>show interface status

Port      Name               Status       Vlan       Duplex  Speed Type
Fa0/1                        notconnect   1            auto   auto 10/100BaseTX
Fa0/2                        err-disabled 1            auto   auto 10/100BaseTX
Fa0/3                        notconnect   1            auto   auto 10/100BaseTX
Fa0/4                        notconnect   1            auto   auto 10/100BaseTX
Fa0/5                        notconnect   1            auto   auto 10/100BaseTX
Fa0/6                        notconnect   1            auto   auto 10/100BaseTX

现在,据我所知,这不一定是一种安全机制。它更像是一种基本的交换机功能;不知道如何处理在同一台交换机上注册了 2 个以上 MAC 地址的情况。虽然这本身并不是安全控制,但它确实起到了双重作用,确保管理员拥有适当的端口控制;对于完全填充的 6550,这可能意味着整个楼层、VLAN 甚至子网的差异。

现在,在 JUNOS 中,您可以按照以下配置获得相同的预期结果。另外,是的,我知道family ethernet-switching缺少命令。我们还假设我们在 Cisco 示例中使用的是同一台笔记本电脑。

user@switch# show
interface ge-0/0/0.0 {
    mac-limit 1;
    persistent-learning;
}
interface ge-0/0/1.0 {
    mac-limit 1;
    persistent-learning;
}

验证 mac 地址已被持久注册后。

user@switch> show ethernet-switching table persistent-mac
VLAN              MAC address       Type       Interface
default           00:10:94:00:00:02 installed    ge-0/0/0.0

现在到了奇怪的部分,如果你更改端口,JUNOS 会自动将 mac 地址迁移到它接下来看到的 mac 地址的端口。

user@switch> show ethernet-switching table persistent-mac
VLAN              MAC address       Type       Interface
default           00:10:94:00:00:02 installed    ge-0/0/1.0

我不确定这是否是设计目标,但作为一个正在向 Juniper 转型的人,我发现这个缺点很严重,因为 802.1X 在我们的环境中尚不可行。

其他人做了什么?还有人找到动态解决此问题的方法吗?

答案1

奇怪的是,这个答案竟然如此难以找到。switchport port-security mac-address sticky在 Juniper 平台上模仿思科功能的功能是ethernet-switching-options secure-access-port vlan (all | vlan-name) mac-move-limit;

Juniper 关于 MAC 移动限制的技术文档:

MAC 移动限制

MAC 移动限制可防止交换机尚未学习 MAC 地址的主机访问网络。当主机发送 DHCP 请求时,初始学习结果将产生。如果在接口上检测到新的 MAC 地址,则数据包将被捕获到交换机。通常,当主机从一个接口移动到另一个接口时,主机必须重新协商其 IP 地址和租约(如果交换机上配置了 802.1X,则必须重新进行身份验证)。主机发送的 DHCP 请求可以是新 IP 地址的请求,也可以是验证旧 IP 地址的请求。如果未配置 802.1X,则以太网交换表条目将从原始接口刷新并添加到新接口。这些 MAC 移动将被跟踪,如果在一秒钟内发生的移动次数超过配置的次数,则执行配置的操作。

MAC 限制和 MAC 移动限制的操作

您可以选择在达到 MAC 地址限制或 MAC 移动限制时执行以下操作之一:

  • drop—丢弃数据包并生成警报、SNMP 陷阱或系统日志条目。
  • log—不丢弃数据包,但生成警报、SNMP 陷阱或系统日志条目。
  • none——不采取任何行动。
  • 关闭—阻止接口上的数据流量并生成警报。如果您未设置操作,则操作为无。您也可以明确将无设置为操作。

答案2

我对 Juniper 交换机不太熟悉,但我确信它支持本地 RADIUS 服务器(即交换机本身上运行的 RADIUS 服务器)和 MAC 身份验证。事实上,在您的情形下,使用本地 RADIUS 服务器和 MAC 身份验证将是我的首选,而不是尝试模仿 Cisco 设备的专有行为。无法使用 802.1x 的原因是什么?客户端不支持它吗?

相关内容