イーサネット インターフェイスでの MAC アドレス フィルタリングとアカウンティング
特定の MAC アドレスからの受信パケットをすべてブロックするには、MAC アドレス フィルタリングを有効にします。イーサネット インターフェイスを設定して、送信元または宛先 MAC アドレスを動的に学習できます。このトピックでは、MAC アドレス フィルタリングを有効にする方法と MAC アドレス アカウンティングを設定する方法について説明します。
イーサネット インターフェイスの MAC アドレス フィルタリングの設定
送信元アドレス フィルタリングの有効化
集合型イーサネットインターフェイス、ファストイーサネット、ギガビットイーサネット、ギガビットイーサネットIQ、SFP搭載ギガビットイーサネットPIC(10ポートギガビットイーサネットPICとM7iルーターの内蔵ギガビットイーサネットポートを除く)では、特定のMACアドレスからのすべての受信パケットをブロックする送信元アドレスフィルタリングを有効にできます。
フィルタリングを有効にするには、以下の source-filtering 階層レベルで ステートメントを含めます。
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]注:スタンドアロンのT640ルーターをルーティングマトリクスに統合すると、統合T640ルーターのPICメディアアクセス制御(MAC)アドレスは、TX Matrixルーターが維持するMACアドレスのプールから取得されます。以前のスタンドアロンの T640 ルーターの設定で指定した MAC アドレスごとに、TX Matrix ルーターの設定で同じ MAC アドレスを指定する必要があります。
同様に、T1600 または T4000 ルーターをルーティング マトリクスに統合すると、統合された T1600 または T4000 ルーターの PIC MAC アドレスは、TX Matrix Plus ルーターが維持する MAC アドレスのプールから取得されます。以前のスタンドアロンの T1600 または T4000 ルーターの設定で指定した MAC アドレスごとに、TX Matrix Plus ルーターの設定で同じ MAC アドレスを指定する必要があります。
送信元アドレスフィルタリングが有効になっている場合、特定のMACアドレスからパケットを受信するようにインターフェイスを設定できます。これを行うには、以下の階層レベルの ステートメントで source-address-filter mac-address MACアドレスを指定します。
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]
MAC アドレスは、 または nnnn .nnnn.nnnnとしてnn:nn:nn:nn:nn:nn指定できます。これは n 16 進数値です。最大64個の送信元アドレスを設定できます。複数のアドレスを指定するには、 ステートメントを source-address-filter 複数回含めます。
ステートメントは source-address-filter 、SFPを搭載したギガビットイーサネットIQおよびギガビットイーサネットPICではサポートされていません(10ポートギガビットイーサネットPICとM7iルーターの内蔵ギガビットイーサネットポートを除く)。代わりに、 ステートメントを accept-source-mac 含めます。詳細については、 ギガビット イーサネット ポリサーの設定を参照してください。
リモート イーサネット カードが変更された場合、インターフェイスは異なる MAC アドレスを持っているため、新しいカードからパケットを受信できません。
LACP(リンク アグリゲーション制御プロトコル)が有効になっている場合、送信元アドレス フィルタリングは機能しません。この動作は、T シリーズ ルーターおよび PTX シリーズ パケット トランスポート ルーターには適用されません。LACP の詳細については、 アグリゲート イーサネット インターフェイスを参照してください。
タグなしギガビット イーサネット インターフェイスでは、 階層レベルで [edit interfaces ge-fpc/pic/port gigether-options] ステートメントと 階層レベルの ステートメントを[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number]accept-source-mac同時に設定source-address-filterしないでください。これらのステートメントが同じインターフェイスに同時に設定されている場合は、エラーメッセージが表示されます。
タグ付きギガビット イーサネット インターフェイスでは、[edit interfaces [edit interfaces ge-fpc/pic/port gigether-options] hierarchy level] ステートメントと accept-source-mac 階層レベルの ステートメントを、両方のフィルターで[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number]指定された同一の MAC アドレスで設定source-address-filterしないでください。これらのステートメントが、同一のMACアドレスが指定された同じインターフェイスに設定されている場合、エラーメッセージが表示されます。
ステートメントは source-address-filter 、MPC4Eを搭載したMXシリーズルーターではサポートされていません(モデル番号: MPC4E-3D-32XGE-SFPPおよびMPC4E-3D-2CGE-8XGE);代わりに、 ステートメントを accept-source-mac 含めます。詳細については、 ギガビット イーサネット ポリサーの設定を参照してください。
PTXシリーズパケットトランスポートルーターでのMACアドレスフィルタリングの設定
このトピックでは、PTXシリーズパケットトランスポートルーターでMACフィルタリングを設定する方法について説明します。MAC フィルタリングでは、イーサネット インターフェイスがパケットを受信できる MAC アドレスを指定できます。
PTXシリーズパケットトランスポートルーターのMACフィルタリングサポートには以下が含まれます。
各ポートのMAC送信元および宛先アドレスフィルタリング。
各物理インターフェイスのMAC送信元アドレスフィルタリング。
各論理インターフェイスのMAC送信元アドレスフィルタリング。
論理インターフェイスと物理インターフェイスをフィルタリングする場合、ポートごとに最大1000個のMAC送信元アドレスを指定できます。
物理インターフェイスのMAC送信元アドレスフィルタリングを設定するには、 階層レベルで および source-address-filter ステートメントを[edit interfaces et-fpc/pic/port gigether-options]含source-filteringめます。
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
source-address-filter {
mac-address;
}
}
}
ステートメントは source-address-filter 、フィルタリングされるMAC送信元アドレスを設定します。指定された物理インターフェイスは、指定したMAC送信元アドレスからすべてのパケットをドロップします。MAC アドレスは、10 進数字の場所nとしてnn:nn:nn:nn:nn:nn指定できます。複数のアドレスを指定するには、 ステートメントに複数 mac-address のオプションを source-address-filter 含めます。
論理インターフェイスのMAC送信元アドレスフィルタリングを設定するには、 階層レベルで ステートメントを[edit interfaces et-fpc/pic/port unit logical-unit-number]含めますaccept-source-mac。
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
}
unit logical-unit-number {
accept-source-mac {
mac-address mac-address;
}
}
}
ステートメントは accept-source-mac 、論理インターフェイスで受け入れられるMAC送信元アドレスを設定します。MAC アドレスは、10 進数字の場所nとしてnn:nn:nn:nn:nn:nn指定できます。複数のアドレスを指定するには、 ステートメントに複数 mac-address mac-address のオプションを accept-source-mac 含めます。
インターフェイスフィルターが設定された後、MACアドレスフィルターに関連付けられたアカウンティングエントリーがあります。MAC 送信元アドレスに一致するパケットがある場合、カウンタが累積します。Junos OS CLI コマンドを show interfaces mac-database 使用して、アドレス数を表示できます。
関連項目
MAC アドレス アカウンティングの設定
SFPを搭載したギガビットイーサネットIQおよびギガビットイーサネットPIC(10ポートギガビットイーサネットPICとM7iルーターの内蔵ギガビットイーサネットポートを除く)の場合、MXシリーズルーターのギガビットイーサネットDPCの場合、 CFP 搭載の 100 ギガビット イーサネット タイプ 5 PIC、および MPC3E、MPC4E、MPC5E、MPC5EQ、MPC6E MPC の場合、送信元と宛先の MAC アドレスを動的に学習するかどうかを設定できます。
個々のイーサネットインターフェイスでMACアドレスアカウンティングを設定するには、 階層レベルで ステートメントを[edit interfaces interface-name gigether-options ethernet-switch-profile]含めますmac-learn-enable。
[edit interfaces interface-name gigether-options ethernet-switch-profile] mac-learn-enable;
集合型イーサネット・インタフェースでMACアドレス・アカウンティングを設定するには、 階層レベルで ステートメントを[edit interfaces aex aggregated-ether-options ethernet-switch-profile]含mac-learn-enableめます。
[edit interfaces aex aggregated-ether-options ethernet-switch-profile] mac-learn-enable;
送信元および宛先MACアドレスを動的に学習するインターフェイスを禁止するには、 ステートメントをmac-learn-enable含めないでください。
送信元および宛先MACアドレスの設定後に動的学習を無効にするには、設定から削除 mac-learn-enable する必要があります。
MPCは、インターフェイスがMACソースからトラフィックを受信した後にのみ、個々のインターフェイスまたは集合型イーサネットインターフェイスメンバーリンクのMACアドレスアカウンティングをサポートします。トラフィックがインターフェイスからしか出ない場合、MACアドレスは学習されず、MACアドレスアカウンティングは行われません。