イーサネットインターフェイスでのMACアドレスフィルタリングとアカウンティング
イーサネットインターフェイスでMACアドレスフィルタリングを有効にする方法とMACアドレスアカウンティングを設定する方法を学びましょう。
MACアドレスフィルタリングは、MACアドレスをフィルタリングしてネットワークアクセスを制御するセキュリティ機能です。特定のMACアドレスからのすべての受信パケットをブロックするには、MACアドレスフィルタリングを有効にします。送信元または宛先のMACアドレスを動的に学習するようにイーサネットインターフェイスを設定できます。
MACアドレスフィルタリングの概要
SFPを搭載したイーサネットインターフェイスでは、送信元アドレスフィルタリングを有効にして、特定のMACアドレスからのすべての着信パケットをブロックできます。論理インターフェイスと物理インターフェイスをフィルタリングする場合、ポートごとに最大1000個のMAC送信元アドレスを指定できます。
MACフィルタリングのサポートには以下が含まれます。
-
各ポートのMAC送信元および宛先アドレスフィルタリング
-
物理インターフェイスごとのMAC送信元アドレスフィルタリング
-
各論理インターフェイスのMAC送信元アドレスフィルタリング
イーサネットインターフェイスのMACアドレスフィルタリングの設定
SFPを搭載したアグリゲートイーサネットインターフェイス、ファストイーサネット、ギガビットイーサネット、ギガビットイーサネットIQ、およびギガビットイーサネットPICでは、送信元アドレスフィルタリングを有効にして、特定のMACアドレスからのすべての着信パケットをブロックできます。
-
フィルタリングを有効にするには、
[edit interfaces interface-name aggregated-ether-options | fastether-options | gigether-options]階層レベルでsource-filteringステートメントを含めます。 -
送信元アドレスフィルタリングが有効になっている場合、特定のMAC アドレスからパケットを受信するようにインターフェイスを設定できます。これを行うには、
[edit interfaces interface-name aggregated-ether-options | fastether-options | gigether-options]階層レベルでsource-address-filter mac-addressステートメントでMACアドレスを指定します。 -
MACアドレスは
nn:nn:nn:nn:nn:nnまたはnnnn.nnnn.nnnnとして指定できます。ここでnは 16 進数です。最大64個の送信元アドレスを設定できます。複数のアドレスを指定するには、source-address-filterステートメントを複数回含めます。
リンクアグリゲーション制御プロトコル(LACP)が有効な場合、送信元アドレスフィルタリングは機能しません。
リモートイーサネットカードが変更された場合、インターフェイスは異なるMACアドレスを持っているため、新しいカードからのパケットを受信できません。
イーサネットインターフェイスのMACアドレスアカウンティング
個々のイーサネットインターフェイスでMACアドレスアカウンティングを設定するには、[edit interfaces interface-name gigether-options ethernet-switch-profile]階層レベルでmac-learn-enableステートメントを含めます。
集合型イーサネットインターフェイスでMACアドレスアカウンティングを設定するには、[edit interfaces aex aggregated-ether-options ethernet-switch-profile]階層レベルでmac-learn-enableステートメントを含めます。
インターフェイスが送信元と宛先のMACアドレスを動的に学習することを禁止するには、mac-learn-enableステートメントを含めないでください。
設定後に送信元と宛先のMACアドレスの動的学習を無効にするには、設定から mac-learn-enable を削除する必要があります。
MPCは、インターフェイスがMACソースからのトラフィックを受信した後にのみ、個々のインターフェイスまたは集合型イーサネットインターフェイスメンバーリンクのMACアドレスアカウンティングをサポートします。トラフィックがインターフェイスから出るだけの場合、MACアドレスは学習されず、MACアドレスアカウンティングは行われません。