イーサネット インターフェイスでの MAC アドレス フィルタリングとアカウンティング
特定の MAC アドレスからのすべての着信パケットをブロックするには、MAC アドレス フィルタリングを有効にします。送信元または送信先のMACアドレスを動的に学習するようにイーサネットインターフェイスを設定できます。このトピックでは、MAC アドレス フィルタリングを有効にする方法と、MAC アドレス アカウンティングを構成する方法について説明します。
イーサネット インターフェイスの MAC アドレス フィルタリングの設定
送信元アドレス フィルタリングの有効化
集合型イーサネットインターフェイス、ファストイーサネット、ギガビットイーサネット、ギガビットイーサネットIQ、SFP付きギガビットイーサネットPIC(10ポートギガビットイーサネットPICとM7iルーターの内蔵ギガビットイーサネットポートを除く)では、送信元アドレスフィルタリングを有効にして、特定のMACアドレスからのすべての着信パケットをブロックできます。
フィルタリングを有効にするには、次の階層レベルでステートメント を含めます。source-filtering
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]注:スタンドアロンの T640 ルーターをルーティングマトリクスに統合する場合、統合された T640 ルーターの PIC メディアアクセス制御(MAC)アドレスは、TX マトリクスルーターが管理する MAC アドレスのプールから取得されます。以前のスタンドアローンの T640 ルーターの設定で指定した MAC アドレスごとに、TX Matrix ルーターの設定で同じ MAC アドレスを指定する必要があります。
同様に、T1600またはT4000ルーターをルーティングマトリクスに統合した場合、統合されたT1600またはT4000ルーターのPIC MACアドレスは、TX Matrix Plusルーターが管理するMACアドレスのプールから取得されます。以前のスタンドアロンの T1600 または T4000 ルーターの設定で指定した MAC アドレスごとに、TX Matrix Plus ルーターの設定で同じ MAC アドレスを指定する必要があります。
送信元アドレス フィルタリングが有効になっている場合、特定の MAC アドレスからパケットを受信するようにインターフェイスを設定できます。これを行うには、以下の階層レベルで ステートメントで MACアドレスを指定します。source-address-filter mac-address
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]
MACアドレス は または として指定できます。ここで 、は16進数です。nn:nn:nn:nn:nn:nnnnnn .nnnn.nnnnn 最大 64 個の送信元アドレスを設定できます。複数のアドレスを指定するには、 ステートメントを 複数回含めます。source-address-filter
ステートメント は、SFPを搭載したギガビットイーサネットIQおよびギガビットイーサネットPIC(10ポートギガビットイーサネットPICとM7iルーターの内蔵ギガビットイーサネットポートを除く)ではサポートされていません。代わりに、 ステートメントを含めます。source-address-filteraccept-source-mac 詳細については、 ギガビットイーサネットポリサーの設定を参照してください。ギガビット イーサネット ポリサーの設定
リモートイーサネットカードが変更された場合、インターフェイスはMACアドレスが異なるため、新しいカードからパケットを受信できません。
リンクアグリゲーション制御プロトコル(LACP)が有効になっている場合、送信元アドレスフィルタリングは機能しません。この動作は、T シリーズルーターおよび PTX シリーズパケットトランスポートルーターには適用されません。LACPの詳細については、 集合型イーサネットインターフェイスを参照してください。集合型イーサネットインターフェイス
タグなしギガビットイーサネットインターフェイスでは、 階層レベルの ステートメントと 階層レベルの ステートメントを同時に設定しないでください。source-address-filter[edit interfaces ge-fpc/pic/port gigether-options]accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] これらのステートメントが同じインターフェイスに同時に設定されている場合、エラー メッセージが表示されます。
タグ付きギガビット イーサネット インターフェイスでは、[edit interfaces 階層レベルの ステートメントと 階層レベルの ステートメントを、両方のフィルターで同一のMACアドレスを指定して設定しないでください。source-address-filter[edit interfaces ge-fpc/pic/port gigether-options]accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] これらのステートメントが、指定された同一のMACアドレスを持つ同じインターフェイスに設定されている場合、エラーメッセージが表示されます。
ステートメント は、MPC4Eを搭載したMXシリーズルーターではサポートされていません(モデル番号:source-address-filter MPC4E-3D-32XGE-SFPP および MPC4E-3D-2CGE-8XGE);代わりに、 ステートメントを含めます 。accept-source-mac 詳細については、 ギガビットイーサネットポリサーの設定を参照してください。ギガビット イーサネット ポリサーの設定
PTXシリーズパケットトランスポートルーターでのMACアドレスフィルタリングの設定
このトピックでは、PTXシリーズパケットトランスポートルーターでMACフィルタリングを設定する方法について説明します。MAC フィルタリングにより、イーサネット インターフェイスがパケットを受信できる MAC アドレスを指定できます。
PTXシリーズパケットトランスポートルーターのMACフィルタリングサポートには以下が含まれます。
各ポートのMAC送信元および宛先アドレスフィルタリング。
各物理インターフェイスのMAC送信元アドレスフィルタリング。
各論理インターフェイスのMAC送信元アドレスフィルタリング。
論理インターフェイスおよび物理インターフェイスをフィルタリングする場合、ポートごとに最大 1000 の MAC 送信元アドレスを指定できます。
物理インターフェイスにMAC送信元アドレス フィルタリングを設定するには、 階層レベルで および ステートメントを含めます。source-filteringsource-address-filter[edit interfaces et-fpc/pic/port gigether-options]
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
source-address-filter {
mac-address;
}
}
}
ステートメントは 、どのMAC送信元アドレスをフィルタリングするかを設定します。source-address-filter 指定された物理インターフェイスは、指定した MAC 送信元アドレスからのすべてのパケットをドロップします。MACアドレスは、 として指定できます。ここで、は10進数です。nn:nn:nn:nn:nn:nnn 複数のアドレスを指定するには、ステートメントに複数の オプションを含めます 。mac-addresssource-address-filter
論理インターフェイスにMAC送信元アドレスフィルタリングを設定するには、 階層レベルで ステートメントを含め ます 。accept-source-mac[edit interfaces et-fpc/pic/port unit logical-unit-number]
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
}
unit logical-unit-number {
accept-source-mac {
mac-address mac-address;
}
}
}
ステートメントは 、論理インターフェイスで受け入れられるMAC送信元アドレスを設定します。accept-source-mac MACアドレスは、 として指定できます。ここで、は10進数です。nn:nn:nn:nn:nn:nnn 複数のアドレスを指定するには、ステートメントに複数の オプションを含めます 。mac-address mac-addressaccept-source-mac
インターフェイス フィルターが設定された後、MAC アドレス フィルターに関連付けられるアカウンティング エントリがあります。MAC送信元アドレスが一致するパケットがある場合、カウンターが累積されます。 Junos OS CLI コマンドを使用して、アドレス数を表示できます。show interfaces mac-database
関連項目
MAC アドレス アカウンティングの設定
SFP搭載のギガビットイーサネットIQおよびギガビットイーサネットPIC(10ポートギガビットイーサネットPICとM7iルーターの内蔵ギガビットイーサネットポートを除く)、MXシリーズルーターのギガビットイーサネットDPC、CFP付き100ギガビットイーサネットタイプ5 PIC、MPC3E、MPC4E、MPC5E、MPC5EQ、MPC6E MPCの場合、 送信元および宛先MACアドレスを動的に学習するかどうかを設定できます。
個々のイーサネットインターフェイスでMACアドレスアカウンティングを設定するには、 階層レベルで ステートメントを含め ます 。mac-learn-enable[edit interfaces interface-name gigether-options ethernet-switch-profile]
[edit interfaces interface-name gigether-options ethernet-switch-profile] mac-learn-enable;
集合型イーサネットインターフェイスにMACアドレスアカウンティングを設定するには、 階層レベルで ステートメントを含め ます 。mac-learn-enable[edit interfaces aex aggregated-ether-options ethernet-switch-profile]
[edit interfaces aex aggregated-ether-options ethernet-switch-profile] mac-learn-enable;
インターフェイスが送信元と宛先のMACアドレスを動的に学習することを禁止するには、 ステートメントを含めないでください。mac-learn-enable
設定後に送信元および宛先MACアドレスの動的学習を無効にするには、設定から削除する必要があります 。mac-learn-enable
MPCは、インターフェイスがMACソースからトラフィックを受信した後にのみ、個々のインターフェイスまたは集合型イーサネットインターフェイスメンバーリンクのMACアドレスアカウンティングをサポートします。トラフィックがインターフェイスから出るだけの場合、MACアドレスは学習されず、MACアドレスアカウンティングは行われません。