MACアドレス
メディアアクセス制御(MAC)レイヤー2サブレイヤーの概要
このトピックでは、データリンク層(レイヤー2)のMACサブ層について紹介します。
ネットワークのレイヤー2では、メディアアクセス制御(MAC)サブレイヤーが、複数の端末またはネットワークノードがネットワーク内で通信できるようにするアドレッシングとチャネルアクセス制御メカニズムを提供します。
MACサブレイヤーは、LLC(論理リンク制御)イーサネットサブレイヤーとレイヤー1(物理レイヤー)間のインターフェイスとして機能します。MACサブレイヤーは、マルチポイントネットワークで全二重論理通信チャネルをエミュレートします。このチャネルは、ユニキャスト、マルチキャスト、またはブロードキャスト通信サービスを提供する場合があります。MACサブレイヤーは、MACプロトコルを使用してコリジョンを防止します。
レイヤー2では、スイッチ上のすべてのポートに割り当てられているMACアドレスを使用して、同じ物理リンク上の複数のデバイスがデータリンク層で相互を一意に識別できます。MACアルゴリズムは、認証対象の秘密キーと任意の長さのメッセージを入力として受け入れ、MACアドレスを出力します。
MACアドレスは12桁の16進数(48ビット)です。MACアドレスは通常、次のいずれかの形式で記述されます。
MM:MM:MM:SS:SS:SS
MM-MM-MM-SS-SS-SS
MACアドレスの前半には、アダプター製造元のID番号が含まれています。これらのIDは、インターネット標準化団体によって規制されています。MACアドレスの後半は、製造元によってアダプターに割り当てられたシリアル番号を表します。
レイヤー2で動作するMACアドレッシングと、レイヤー3 (ネットワーキングとルーティング)で動作するIPアドレッシングを対照的にします。この違いを覚えておく方法の1つは、MACアドレスは物理ノードまたは仮想ノードに適用されるのに対し、IPアドレスはそのノードのソフトウェア実装に適用される点です。MACアドレスは通常ノードごとに固定されますが、IPアドレスはノードがネットワークの一部から別の部分に移動すると変更されます。
IPネットワークは、アドレス解決プロトコル(ARP)テーブルを使用して、ノードのIPアドレスとMACアドレス間のマッピングを維持します。また、DHCPは、ノードにIPアドレスを割り当てる際にも、通常MACアドレスを使用します。
関連項目
EXシリーズスイッチでのMACアドレス割り当てについて
このトピックでは、スタンドアロンのジュニパーネットワークス EXシリーズイーサネットスイッチのインターフェイスへのMACアドレス割り当てについて説明します。 バーチャルシャーシでのMACアドレス割り当てについては、 バーチャルシャーシでのMACアドレス割り当てについてを参照してください。
MACアドレスは、レイヤー2でネットワークデバイスを識別するために使用されます。すべてのレイヤー2トラフィックの決定はインターフェイスのMACアドレスに基づいて行われるため、スイッチがネットワークトラフィックをどのように転送および受信するかを理解するには、MACアドレスの割り当てを理解することが重要です。ネットワークが MAC アドレスを使用してトラフィックを転送および受信する方法の詳細については、「 スイッチのブリッジングと VLAN について」を参照してください。
MACアドレスは、16進数2桁の6つのグループで構成され、各グループは次のグループからコロンで区切られています(例:aa:bb:cc:dd:ee:00)。16進数の最初の5つのグループはスイッチから派生し、スイッチ上のすべてのインターフェイスで同じです。
各ネットワークインターフェイスに固有のMACアドレスを割り当てることで、冗長トランクグループ(RTG)、リンクアグリゲーション制御プロトコル(LACP)、一般的な監視機能など、MACアドレスの区別を必要とする機能が適切に機能するようになります。
ラインカードを使用するスイッチでは、このMACアドレッシング方式により、スイッチ内の異なるラインカード上のレイヤー2インターフェイスが区別されます。
EXシリーズスイッチの場合、16進数の最初の5つのグループはスイッチの製造時に決定されます。次に、スイッチは、16進数字の最後のグループとして一意の識別子を割り当てることで、各インターフェイスに一意のMACアドレスを割り当てます。割り当ては、インターフェイスの設定方法によって異なります。スイッチは、異なるパターンを使用して、RVI(ルーテッドVLANインターフェイス)、VME(仮想管理イーサネット)インターフェイス、または集合型イーサネットインターフェイスのいずれかとして設定されているインターフェイスと、RVI、VME、または集合型イーサネットインターフェイスのいずれかとして設定されていないインターフェイスを区別します。
集合型イーサネットインターフェイスの場合、インターフェイスの設定がレイヤー2またはレイヤー3のどちらであっても、MACアドレスの割り当ては一定のままです。
Junos OSリリース11.3以降のリリースからリリース12.1では、インターフェイスがレイヤー2からレイヤー3に変更された場合、またはその逆の場合、集合型イーサネットインターフェイスのMACアドレス割り当てが変更されます。Junosリリース12.2以降、アグリゲートイーサネットインターフェイスのMACアドレス割り当ては、インターフェイスがレイヤー2またはレイヤー3のどちらであるかに関係なく一定のままです。
Junos OSリリース11.3以前は、レイヤー2インターフェイスのMACアドレスは、同じスイッチ内の異なるラインカード上のインターフェイスとRVI間で共有できました。ただし、ラインカードをサポートするスイッチでJunos OSリリース11.2以前からJunos OSリリース11.3以降にアップグレードすると、これらのインターフェイスのMACアドレスは変更されます。
MACアドレスは自動的にインターフェイスに割り当てられるため、ユーザー設定は不可能です。また、ユーザー設定は不要です。 show interfaces コマンドを使用して、インターフェイスに割り当てられているMACアドレスを表示できます。
関連項目
MAC移動パラメーターの設定
MACアドレスが異なる物理インターフェイス上、または同じ物理インターフェイスの異なるユニット内に出現し、この動作が頻繁に発生する場合、それはMAC移動と見なされます。次のパラメーターに基づいてMACアドレスの移動を報告するようにルーターを設定できます:MACアドレス移動の発生回数、MACアドレス移動が発生する指定された時間、および1秒間に指定されたMACアドレス移動発生回数。 global-mac-move ステートメントは、グローバル階層レベルでのみ設定できます。
MAC移動アクション機能をグローバルに無効にするには、[edit protocols l2-learning global-mac-move]にdisable-actionステートメントを含めます。これにより、MAC移動アクション機能は無効になりますが、MAC移動検出は存在します。
ポートのブロックが解除されるまでの時間を設定するには、[edit protocols l2-learning global-mac-move]にreopen-timeステートメントを含めます。デフォルトの再開タイマーは180 秒です。
MACアドレスが 1 秒間に少なくとも指定された回数移動した場合の移動レポートMACアドレス設定するには、[edit protocols l2-learning global-mac-move] 階層レベルに threshold-time ステートメントを含めます。デフォルトのしきい値は1 秒です。
指定した期間にMACアドレスが移動した場合のMACアドレス移動のレポートを設定するには、[edit protocols l2-learning global-mac-move]階層レベルにnotification-timeステートメントを含めます。デフォルトの通知タイマーは1 秒です。
MACアドレスが指定された回数移動した場合のMACアドレス移動のレポートを設定するには、[edit protocols l2-learning global-mac-move]階層レベルにthreshold-countステートメントを含めます。デフォルトのしきい値カウントは 50 移動です。
show l2-learning mac-move-bufferコマンドを使用して、移動機能の結果としてのアクションを表示するMACアドレス。
show l2-learning mac-move-buffer active コマンドを使用して、MAC 移動アクションの結果としてブロックされた IFL のセットを表示します。
exclusive-macコマンドを使用して、MAC移動制限アルゴリズムからMACアドレスを除外し、MACアドレスが追跡されないようにします。
clear l2-learning mac-move-buffer activeコマンドを使用して、MAC移動アクション機能によってブロックされたIFBDのブロックを解除します。これにより、ユーザーはreopen-timeを大きな値に設定したままにすることができますが、ループエラーが修正されると、ユーザーは手動でブロックを解除できます。
次の例では、MAC移動の通知時間を1 秒、しきい値時間を1 秒、再開時間を180 秒に、しきい値カウントを50 移動に設定しています。
[edit protocols l2-learning]
global-mac-move {
notification-time 1;
reopen-time 180;
threshold-count 50;
threshold-time 1;
}
MAC制限の設定(ELS)
このトピックでは、デバイスが送受信するパケットの MAC アドレスに制限を設定するさまざまな方法について説明します。
このセクションで説明するタスクでは、拡張レイヤー 2 ソフトウェア(ELS)設定スタイルをサポートする EXシリーズ スイッチ、QFX3500 スイッチ、QFX3600 スイッチ、PTXシリーズ ルーターに Junos OS を使用します。ELS設定の詳細については、 拡張レイヤー2ソフトウェアCLIの使用 を参照してください。
-
MAC制限によるシャットダウンから自動的に回復するようにインターフェイスを設定する方法については、 ポートセキュリティイベントの自動回復を設定するを参照してください。無効状態から自動回復するようにデバイスを設定しない場合、
clear ethernet-switching recovery-timeoutコマンドを実行して無効化されたインターフェイスを起動できます。
以下のセクションでは、MAC制限を設定するさまざまな方法について説明します。
プラットフォーム固有 グローバルMAC制限動作の設定
| プラットフォーム |
違い |
|---|---|
| Junos Evolved ACX7000シリーズ |
ACX7000現在パケットアクションをサポートしていません デフォルトのMAC番号はACX7000には適用されません |
インターフェイスによって学習されるMACアドレス数の制限
PTXシリーズルーターでは、インターフェイスによってのみ学習されるMACアドレスの数を制限できます。
ポートを保護するために、インターフェイスによって学習できるMACアドレスの最大数を設定できます。
[edit switch-options] user@switch# set interface interface-name interface-mac-limit limit packet-action action
[edit routing-instances] user@switch# set routing-instance-name switch-options interface interface-name interface-mac-limit limit
[edit switch-options] user@switch# set interface-mac-limit limit
[edit routing-instances] user@switch# set routing-instance-name switch-options interface-mac-limit limit
インターフェイスに新しいMAC制限を設定すると、システムはインターフェイスに関連付けられたMACアドレス転送テーブル内の既存のエントリーをクリアします。
VLANによって学習されるMACアドレス数の制限
VLAN によって学習される MAC アドレスの数を制限するには、以下の手順を実行します。
プラットフォーム固有 MAC制限動作の設定
| プラットフォーム |
違い |
|---|---|
| Junos Evolved ACX7000シリーズ |
ACX7000現在パケットアクションをサポートしていません デフォルトのMAC番号はACX7000には適用されません |
[edit vlans] user@switch# set vlan-name switch-options mac-table-size limit packet-action action
VLAN 内のインターフェイスによって学習される MAC アドレスの数の制限
VLAN 内のインターフェイスによって学習される MAC アドレスの数を制限するには、以下の手順を実行します。
ELSをサポートするスイッチのイーサネットスイッチングテーブルに静的MACアドレスエントリを追加する
このタスクでは、拡張レイヤー2ソフトウェア(ELS)設定スタイルをサポートするEXシリーズスイッチ向けJunos OSと、QFX3500およびQFX3600スイッチ向けJunos OSを使用します。スイッチが ELS をサポートしていないソフトウェアを実行している場合は、イー サネット スイッチング テーブルへの静的 MAC アドレス エントリーの追加を参照してください。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
イーサネットスイッチングテーブルは、転送テーブルとも呼ばれ、VLANノードの既知の場所と、それらのノード内のデバイスのアドレスを指定します。スイッチ上のイーサネットスイッチングテーブルを設定するには、2つの方法があります。最も簡単な方法は、スイッチにテーブルをMACアドレスで更新させることです。
イーサネットスイッチングテーブルに入力する2つ目の方法は、テーブルにアドレスを手動で挿入することです。これを行うことで、フラッディングを減らし、スイッチの自動学習プロセスを高速化できます。
プラットフォーム固有の動作
| プラットフォーム |
違い |
|---|---|
| Junos Evolved ACX7000シリーズ |
静的MACエントリーは、論理インターフェイス上でのみ設定でき、ブリッジドメイン上に直接設定することはできません。 MAC学習は、VLANまたはインターフェイスごとに選択的に無効にすることができます。 MACアカウンティングはVLANごとにサポートされています。 MACエージングタイマーとMAC移動検出は設定可能です。 統合型転送テーブル(UFT)により、MAC、ホスト、LPMエントリ間でメモリを分割して、最適な拡張性を実現できます。 MAC学習動作は、フォワーディングパイプラインの後半に実装されるフラッディングとスプリットホライズンロジックの影響を受けるため、フラッドトラフィックは依然としてインターフェイスの統計にカウントされます。 |
静的MACアドレスを設定する前に、以下を確認してください。
VLAN を設定します。 ELSをサポートするEXシリーズスイッチのVLANの設定(CLI手順)を参照してください。
静的 MACアドレスを持つようにインターフェイスを設定するには:
[edit vlans vlan-name switch-options interface interface-name] user@switch# set static-mac mac-address
イーサネットスイッチングテーブルへの静的MACアドレスエントリーの追加
このタスクでは、拡張レイヤー 2 ソフトウェア(ELS)構成スタイルをサポートしない EXシリーズ スイッチ向け Junos OS、および QFX3500 および QFX3600 スイッチ向け Junos OS を使用します。ご使用のスイッチがELSをサポートするソフトウェアを実行している場合は、 ELSをサポートするスイッチのイーサネットスイッチングテーブルへの静的MACアドレスエントリーの追加を参照してください。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
イーサネットスイッチングテーブルは、転送テーブルとも呼ばれ、VLANノードの既知の場所を指定します。スイッチ上のイーサネットスイッチングテーブルを設定するには、2つの方法があります。最も簡単な方法は、スイッチにテーブルをMACアドレスで更新させることです。
イーサネットスイッチングテーブルにデータを入力する2つ目の方法は、VLANノードの場所を手動でテーブルに挿入することです。これを行うことで、フラッディングを減らし、スイッチの自動学習プロセスを高速化できます。スイッチングプロセスをさらに最適化するには、パケットがノードを離れた後に使用するネクストホップ(ネクストインターフェイス)を指定します。
静的MACアドレスを設定する前に、以下を確認してください。
VLAN を設定します。 EXシリーズスイッチのVLAN設定 またはスイッチ上のVLANの設定を参照してください。
イーサネットスイッチングテーブルにMACアドレスを追加するには:
テーブルに追加するMACアドレスを指定します。
[edit ethernet-switching-options] set static vlan vlan-name mac mac-address
指定されたMACアドレスに送信されたパケットのネクストホップMACアドレスを示します。
[edit ethernet-switching-options] set static vlan vlan-name mac mac-address next-hop interface
例:不明なMACアドレスのデフォルト学習を設定する
この例では、ARP要求のみを使用して未知の宛先MACアドレスの発信インターフェイスを学習するようにデバイスを設定する方法を示しています。
要件
開始する前に、転送テーブルのMACアドレスと関連するインターフェイスを決定します。 VLANのレイヤー2学習と転送の概要を参照してください。
概要
この例では、トレースルート要求なしにARPクエリーのみを使用するようにデバイスを設定します。
設定
手順
CLIクイックコンフィグレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security flow ethernet-switching no-packet-flooding no-trace-route
ステップバイステップの手順
ARP要求のみを使用して未知の宛先MACアドレスを学習するようにデバイスを設定するには:
デバイスを有効にします。
[edit] user@host# set security flow ethernet-switching no-packet-flooding no-trace-route
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 show security flow コマンドを入力します。