Cisco Mac Pegajosa vs Juniper Persistente-Mac

2

Estou tentando descobrir se existe uma falha inerente na maneira como o JUNOS lida com sticky-mac endereços em suas portas de switch em relação à maneira como a Cisco lida com elas. Vou elaborar.

Abaixo, você pode ver que a porta Fa0/1 está configurada para sticky-mac e, quando um dispositivo é conectado à porta, ele carrega o endereço MAC em running-configuration para essa porta única.

interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0010.9400.0002
!

Agora, digamos que um usuário final tenha a mobilidade de um laptop e decida conectar o laptop em outro lugar; Vamos supor que eles se conectam à porta Fa0/2 no mesmo switch.

Obviamente, os switches da Cisco lançarão a porta em um estado err-disabled , pois a porta Fa0/2 está tentando se conectar a um endereço MAC que já está registrado no switch.

CiscoSwitch>show interface status

Port      Name               Status       Vlan       Duplex  Speed Type
Fa0/1                        notconnect   1            auto   auto 10/100BaseTX
Fa0/2                        err-disabled 1            auto   auto 10/100BaseTX
Fa0/3                        notconnect   1            auto   auto 10/100BaseTX
Fa0/4                        notconnect   1            auto   auto 10/100BaseTX
Fa0/5                        notconnect   1            auto   auto 10/100BaseTX
Fa0/6                        notconnect   1            auto   auto 10/100BaseTX

Agora, pelo que entendi, isso não é necessariamente um mecanismo de segurança. É mais uma função básica de switch; Na verdade, não sabendo o que fazer com mais de 2 endereços MAC, sendo registrados no mesmo switch. Embora isso não seja um controle de segurança, ele funciona duplamente para garantir que o administrador tenha o controle de porta adequado. com um 6550 totalmente preenchido, isso pode significar a diferença de andares inteiros, VLANs ou até mesmo sub-redes.

Agora, a configuração que lhe renderá o mesmo resultado desejado no JUNOS é a seguinte. Além disso, sim, eu entendo que os comandos family ethernet-switching estão faltando. Também vamos assumir que estamos usando o mesmo laptop no exemplo da Cisco.

user@switch# show
interface ge-0/0/0.0 {
    mac-limit 1;
    persistent-learning;
}
interface ge-0/0/1.0 {
    mac-limit 1;
    persistent-learning;
}

Após verificar se o endereço MAC foi registrado persistentemente.

user@switch> show ethernet-switching table persistent-mac
VLAN              MAC address       Type       Interface
default           00:10:94:00:00:02 installed    ge-0/0/0.0

Agora vem a parte estranha, se você alterar a porta, o JUNOS migrará automaticamente o endereço MAC para a porta na qual ele verá o endereço MAC na próxima vez.

user@switch> show ethernet-switching table persistent-mac
VLAN              MAC address       Type       Interface
default           00:10:94:00:00:02 installed    ge-0/0/1.0

Não sei se esse era o objetivo do design, mas de alguém que está em uma transição pesada para a Juniper, acho que essa falha é grande, já que o 802.1X ainda não é viável em nosso ambiente.

O que outros fizeram? Alguém mais descobriu isso dinamicamente?

    
por Ryan Foley 10.09.2012 / 00:10

2 respostas

0

É estranho como essa resposta foi difícil de encontrar. O recurso que imita o recurso switchport port-security mac-address sticky da Cisco nas plataformas Juniper é ethernet-switching-options secure-access-port vlan (all | vlan-name) mac-move-limit; .

Documentação técnica da Juniper sobre limitação de movimentos MAC:

MAC Move Limiting

MAC move limiting prevents hosts whose MAC addresses have not been learned by the switch from accessing the network. Initial learning results when the host sends DHCP requests. If a new MAC address is detected on an interface, the packet is trapped to the switch. In general, when a host moves from one interface to another, the host has to renegotiate its IP address and lease (or be reauthenticated if 802.1X is configured on the switch). The DHCP request sent by the host can be one for a new IP address or one to validate the old IP address. If 802.1X is not configured, the Ethernet switching table entry is flushed from the original interface and added to the new interface. These MAC movements are tracked, and if more than the configured number of moves happens within one second, the configured action is performed.

Actions for MAC Limiting and MAC Move Limiting

You can choose to have one of the following actions performed when the limit of MAC addresses or the limit of MAC moves is reached:

  • drop—Drop the packet and generate an alarm, an SNMP trap, or a system log entry.
  • log—Do not drop the packet but generate an alarm, an SNMP trap, or a system log entry.
  • none—Take no action.
  • shutdown—Block data traffic on the interface and generate an alarm. If you do not set an action, then the action is none. You can also explicitly set none as the action.
    
por 10.02.2013 / 23:11
0

Eu não sou muito familiarizado com os switches Juniper, mas tenho certeza de que ele suporta servidor RADIUS Local (ou seja, o servidor RADIUS em execução no próprio switch) e autenticação MAC. De fato, usar o servidor RADIUS local e a autenticação MAC teria sido minha primeira escolha em sua situação, em vez de tentar imitar o comportamento proprietário dos dispositivos Cisco. Qual a razão para não poder usar o 802.1x? Os clientes não suportam isso?

    
por 10.02.2013 / 22:25