web-dev-qa-db-ja.com

Cisco StickyMacとJuniperPersistent-Mac

JUNOSがスイッチポート全体でsticky-macアドレスを処理する方法と、Ciscoがそれらを処理する方法に固有の欠陥があるかどうかを調べようとしています。詳しく説明します。

以下では、ポートFa0/1sticky-mac用に構成されており、デバイスがポートに接続されると、その単一ポートのrunning-configurationにMACアドレスがロードされることがわかります。

interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0010.9400.0002
!

ここで、エンドユーザーがラップトップのモビリティを持っていて、ラップトップを別の場所に接続することにしたとします。同じスイッチのポートFa0/2に接続していると仮定します。

明らかに、ポートerr-disabledがスイッチにすでに登録されているMACアドレスに接続しようとしているため、CiscoスイッチはポートをFa0/2状態にします。

CiscoSwitch>show interface status

Port      Name               Status       Vlan       Duplex  Speed Type
Fa0/1                        notconnect   1            auto   auto 10/100BaseTX
Fa0/2                        err-disabled 1            auto   auto 10/100BaseTX
Fa0/3                        notconnect   1            auto   auto 10/100BaseTX
Fa0/4                        notconnect   1            auto   auto 10/100BaseTX
Fa0/5                        notconnect   1            auto   auto 10/100BaseTX
Fa0/6                        notconnect   1            auto   auto 10/100BaseTX

さて、私の理解では、これは必ずしもセキュリティメカニズムではありません。これは、より基本的なスイッチ機能です。同じスイッチに登録されている2つ以上のMACアドレス全体をどうするか本当にわからない。これはセキュリティ制御ではありませんが、それ自体、管理者が適切なポート制御を確実に行えるようにするために2つの役割を果たします。完全に実装された6550の場合、これはフロア全体、VLAN、さらにはサブネットの違いを意味する場合があります。

これで、JUNOSで同じ望ましい結果が得られる構成は次のとおりです。また、はい、family ethernet-switchingコマンドが欠落していることを理解しています。また、シスコの例では同じラップトップを使用していると想定します。

user@switch# show
interface ge-0/0/0.0 {
    mac-limit 1;
    persistent-learning;
}
interface ge-0/0/1.0 {
    mac-limit 1;
    persistent-learning;
}

MACアドレスが永続的に登録されていることを確認した後。

user@switch> show ethernet-switching table persistent-mac
VLAN              MAC address       Type       Interface
default           00:10:94:00:00:02 installed    ge-0/0/0.0

ここで奇妙な部分があります。ポートを変更すると、JUNOSは自動的にmac-addressを、次にmac-addressが表示されるポートに移行します。

user@switch> show ethernet-switching table persistent-mac
VLAN              MAC address       Type       Interface
default           00:10:94:00:00:02 installed    ge-0/0/1.0

これが設計目標であったかどうかはわかりませんが、ジュニパーへの移行が進んでいる人からは、802.1Xがまだ実現可能ではないため、この欠点が大きな問題であることがわかりました。

他の人は何をしましたか?他の誰かがこれを動的に回避する方法を見つけましたか?

networkingciscojuniperswitchjunos
2
Ryan Foley

この答えを見つけるのがどれほど難しいかは奇妙です。ジュニパープラットフォームでシスコの_switchport port-security mac-address sticky_機能を模倣する機能はethernet-switching-options secure-access-port vlan (all | vlan-name) mac-move-limit;です。

MAC移動制限に関するジュニパーの技術文書:

MAC移動制限

MAC移動制限は、スイッチがMACアドレスを学習していないホストがネットワークにアクセスするのを防ぎます。ホストがDHCP要求を送信したときの初期学習結果。インターフェイスで新しいMACアドレスが検出されると、パケットはスイッチにトラップされます。一般に、ホストがあるインターフェイスから別のインターフェイスに移動すると、ホストはIPアドレスを再ネゴシエートしてリースする必要があります(または、スイッチに802.1Xが設定されている場合は再認証されます)。ホストによって送信されるDHCP要求は、新しいIPアドレスに対するものでも、古いIPアドレスを検証するためのものでもかまいません。 802.1Xが設定されていない場合、イーサネットスイッチングテーブルエントリは元のインターフェイスからフラッシュされ、新しいインターフェイスに追加されます。これらのMAC移動は追跡され、1秒以内に構成された数を超える移動が発生した場合、構成されたアクションが実行されます。

MAC制限およびMAC移動制限のアクション

MACアドレスの制限またはMAC移動の制限に達したときに、次のいずれかのアクションを実行するように選択できます。

  • drop:パケットをドロップして、アラーム、SNMPトラップ、またはシステムログエントリを生成します。
  • log:パケットをドロップせずに、アラーム、SNMPトラップ、またはシステムログエントリを生成します。
  • none-アクションを実行しません。
  • shutdown:インターフェイス上のデータトラフィックをブロックし、アラームを生成します。アクションを設定しない場合、アクションはnoneです。アクションとして明示的にnoneを設定することもできます。
0
Ryan Foley

私はジュニパースイッチにあまり詳しくありませんが、ローカルRADIUSサーバー(つまり、スイッチ自体で実行されているRADIUSサーバー))とMAC認証をサポートしていると確信しています。 。実際、ローカルRADIUSサーバーとMAC認証を使用することは、シスコデバイスの独自の動作を模倣しようとするのではなく、あなたの状況での私の最初の選択でした。それができない理由は何ですか。 802.1xを使用しますか?クライアントはそれをサポートしていませんか?

0
wookie919