思科Sticky Mac与Juniper Persistant Mac

Question

我试图找出朱诺斯通过交换机端口处理sticky-mac地址的方式是否存在固有的缺陷，而不是思科如何处理这些地址。我会详细说明的。

下面，您可以看到端口Fa0/1是为sticky-mac配置的，一旦设备插入端口，它就会将mac地址加载到该单个端口的running-configuration中。

interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0010.9400.0002
!

现在，假设终端用户具有膝上型计算机的移动性，并决定将笔记本电脑插入其他地方；我们假设他们在同一个交换机上插入端口Fa0/2。

显然，思科交换机会将端口抛入err-disabled状态，因为端口Fa0/2正在尝试连接已在交换机上注册的mac地址。

CiscoSwitch>show interface status

Port      Name               Status       Vlan       Duplex  Speed Type
Fa0/1                        notconnect   1            auto   auto 10/100BaseTX
Fa0/2                        err-disabled 1            auto   auto 10/100BaseTX
Fa0/3                        notconnect   1            auto   auto 10/100BaseTX
Fa0/4                        notconnect   1            auto   auto 10/100BaseTX
Fa0/5                        notconnect   1            auto   auto 10/100BaseTX
Fa0/6                        notconnect   1            auto   auto 10/100BaseTX

现在，据我所知，这不一定是一种安全机制。它更像是一个基本的交换功能；不知道如何处理两个以上的mac地址实体在同一个交换机上注册。虽然这本身并不是一个安全控制，但它在确保管理员有正确的端口控制方面确实有两方面的工作；对于一个完全填充的6550，这可能意味着整个楼层、VLAN，甚至子网的不同。

现在，将使您在JUNOS中获得相同预期结果的配置如下所示。另外，是的，我知道family ethernet-switching命令丢失了。我们还将假设在Cisco示例中使用的是同一台笔记本电脑。

user@switch# show
interface ge-0/0/0.0 {
    mac-limit 1;
    persistent-learning;
}
interface ge-0/0/1.0 {
    mac-limit 1;
    persistent-learning;
}

在验证了mac地址之后，已经永久注册了。

user@switch> show ethernet-switching table persistent-mac
VLAN              MAC address       Type       Interface
default           00:10:94:00:00:02 installed    ge-0/0/0.0

现在出现了奇怪的部分，如果您更改端口，JUNOS会自动将mac地址迁移到它接下来看到的mac地址的端口。

user@switch> show ethernet-switching table persistent-mac
VLAN              MAC address       Type       Interface
default           00:10:94:00:00:02 installed    ge-0/0/1.0

我不确定这是否是设计目标，但从一个正在向Juniper过渡的人看来，这个缺点是一个很大的问题，因为802.1X在我们的环境中还不可行。

其他人做了什么？有没有其他人能动态地找到解决这一问题的方法？

Answer 1

奇怪的是这个答案很难找到。在Juniper平台上模仿思科switchport port-security mac-address sticky功能的功能是ethernet-switching-options secure-access-port vlan (all | vlan-name) mac-move-limit;。

Juniper关于MAC移动限制的技术文档：

MAC移动限制MAC移动限制防止交换机未学习其MAC地址的主机访问网络。当主机发送DHCP请求时，初始学习结果。如果在接口上检测到新的MAC地址，则数据包被困在交换机上。通常，当主机从一个接口移动到另一个接口时，主机必须重新协商其IP地址和租约(如果在交换机上配置802.1X，则重新验证)。主机发送的DHCP请求可以是新IP地址的请求，也可以是验证旧IP地址的请求。如果未配置802.1X，则会将以太网交换表项从原始接口刷新并添加到新接口中。跟踪这些MAC移动，如果在一秒钟内发生超过配置的移动次数，则执行配置的操作。MAC限制和MAC移动限制操作--当达到MAC地址限制或MAC移动限制时，可以选择执行下列操作之一：

• 丢弃数据包并生成警报、SNMP陷阱或系统日志条目.
• 日志-不要丢弃数据包，而是生成警报、SNMP陷阱或系统日志条目。
• 不-不采取行动。
• 关闭-阻止接口上的数据通信并生成警报。如果不设置操作，则操作为none。您也可以显式地将none设置为操作。

Answer 2

我不太熟悉Juniper交换机，但我确信它支持本地RADIUS服务器(即运行在交换机上的RADIUS服务器)和MAC身份验证。事实上，在您的情况下，使用本地RADIUS服务器和MAC身份验证将是我的首选，而不是试图模仿Cisco设备的专有行为。不能使用802.1x的原因是什么？客户不支持吗？