MAC 制限と MAC 移動制限について
MAC 制限機能は、イーサネット スイッチング テーブルのフラッディングから保護し、レイヤー 2 インターフェイス(ポート)で有効になっています。MAC 移動制限により、アクセス インターフェイスでの MAC の移動と MAC スプーフィングが検出されます。VLAN で有効になっています。
MAC 制限は 、VLAN 内で学習できる MAC アドレスの数を制限することで、ポート セキュリティを強化します。MAC アドレス数を制限すると、イーサネット スイッチング テーブル(MAC 転送テーブルまたはレイヤー 2 転送テーブルとしても知られる)のフラッディングからスイッチを保護できます。フラッディングは、学習された新しい MAC アドレスの数によってイーサネット スイッチング テーブルがオーバーフローし、学習済みの MAC アドレスがテーブルからフラッシュされたときに発生します。その後、スイッチは、以前に学習した MAC アドレスのフラッディングに戻り、パフォーマンスに影響を与え、セキュリティの脆弱性を引き出す可能性があります。
MAC 移動制限は 、VLAN で 1 秒以内に許可される MAC アドレス移動の数を制御することで、セキュリティを強化します。MAC アドレスの移動は、スイッチによってすでに学習済みの送信元 MAC アドレスを持つパケットを、別のインターフェイスでスイッチが受信したときに発生します。次に、イーサネット スイッチング テーブルが更新され、MAC アドレスと新しいインターフェイスの関連付けが反映されます。MAC アドレスの移動ごとにイーサネット スイッチング テーブルを更新する必要があるため、頻繁に移動するイベントが発生すると、スイッチの処理リソースが枯渇する可能性があります。これは、MAC スプーフィング攻撃またはネットワーク内のループの結果として発生する可能性があります。
MAC 制限
MAC 制限では、MAC アドレスの数を制限するか、許可する MAC アドレスを指定して、レイヤー 2 アクセス インターフェイスで学習できる MAC アドレスを制限します。
MAC アドレス数の制限 — インターフェイスごとに動的に学習(イーサネット スイッチング テーブルに追加)できる MAC アドレスの最大数を設定します。制限を超えた場合、新しい MAC アドレスを持つ受信パケットを無視、ドロップ、またはログに記録することを指定できます。インターフェイスをシャットダウンするか、一時的に無効にすることも指定できます。
メモ:静的 MAC アドレスは、動的 MAC アドレスに指定した制限にカウントされません。
許可された MAC アドレスの指定 — インターフェイスに許可された MAC アドレスを設定します。設定されたアドレスのリストに含まれていないMACアドレスは学習されず、スイッチは適切なメッセージをログに記録します。許可された MAC アドレスは VLAN にバインドされるため、アドレスは VLAN の外部に登録されません。許可された MAC 設定が動的 MAC 設定と競合する場合、許可された MAC 設定が優先されます。
MAC 制限は、レイヤー 2 インターフェイスで設定されています。VLAN 内のメンバーシップ(VLAN メンバーシップ MAC 制限)に基づいて、単一のインターフェイス、すべてのインターフェイス、または特定のインターフェイスで学習できる動的 MAC アドレスの最大数を指定できます。
インターフェイスの最大 MAC 制限を設定する場合は、MAC 制限を超えた場合に受信パケットで発生するアクションを選択できます。制限を超えた場合、受信パケットを無視、破棄、またはログに記録することを指定できます。インターフェイスをシャットダウンするか、一時的に無効にすることも指定できます。
MAC 制限はデフォルトでは有効になっていません。ELS をサポートするデバイス上のインターフェイスの MAC 制限の設定の詳細については、「 MAC 制限の設定(ELS)」を参照してください。ELS(拡張レイヤー 2 ソフトウェア)をサポートしていないデバイス上のインターフェイスの MAC 制限の設定の詳細については、「 MAC 制限の設定(非 ELS)」を参照してください。
ELS の詳細については 、「拡張レイヤー 2 ソフトウェア CLI の使用 」を参照してください。
MAC 移動制限
MAC 移動制限では、MAC アドレスが新しいインターフェイスに 1 秒以内に移動できる回数を制限します。MAC 移動制限が設定されている場合、MAC アドレスの移動はスイッチによって追跡されます。MAC アドレスが最初に移動した場合、常に良好な移動と見なされ、設定された MAC 移動制限にはカウントされません。MAC アドレス移動の監視は、MAC 移動制限が 1 として設定されている場合でも、最初の移動後に有効になります。
MAC 移動制限は VLAN 単位で設定します。VLAN でこの機能を有効にしても、MAC の移動制限は、VLAN 内の MAC アドレス移動の合計数ではなく、個々の MAC アドレスの移動数に適用されます。たとえば、MAC の移動制限が 1 に設定されている場合、同じ MAC アドレスが 1 秒以内に 2 回以上移動しない限り、スイッチは VLAN 内で無制限の MAC アドレス移動を許可します。
MAC アドレスの移動制限を超えた場合に実行するアクションを設定できます。制限を超えた場合、受信パケットを無視、破棄、またはログに記録することを指定できます。インターフェイスをシャットダウンするか、一時的に無効にすることも指定できます。
MAC 移動制限はデフォルトでは有効になっていません。ELS をサポートしていないデバイスでの MAC 移動制限の設定の詳細については、「 MAC 移動制限の設定(非 ELS)」を参照してください。ELS をサポートするデバイスでの MAC 移動制限の設定の詳細については、「 MAC 移動制限(ELS)の設定」を参照してください。
MAC 制限および MAC 移動制限のアクション
MAC 制限または MAC 移動制限を超えた場合に、以下のいずれかのアクションを実行するように選択できます。
drop
—パケットをドロップしますが、アラームは生成しません。drop-and-log
—パケットをドロップし、アラーム、SNMP トラップ、またはシステム ログ エントリを生成します。log
—パケットをドロップせず、アラーム、SNMP トラップ、またはシステム ログ エントリを生成します。none
—新しい送信元MACアドレスでパケットを転送し、新しい送信元MACアドレスを学習します。shutdown
—VLAN のインターフェイスを無効にして、アラーム、SNMP トラップ、またはシステム ログ エントリを生成します。vlan-member-shutdown
—(EX9200 のみ)EX9200 スイッチの MAC 制限および MAC 移動制限の Junos OS リリース 15.1 以降では、ステートメントは、特定の VLAN のメンバーシップに基づいてインターフェイスをブロックし、vlan-member-shutdown
アラーム、SNMP トラップ、またはシステム ログ エントリを生成するためにサポートされています。
シャットダウンが発生した場合は、指定した期間を過ぎた後に、無効なインターフェイスを自動的にサービスに復元するようにスイッチを設定できます。ELS をサポートするデバイスで自動リカバリーを設定するには、「 ポート セキュリティ イベントの自動リカバリーの設定」を参照してください。ELS をサポートしていないデバイスで自動リカバリーを設定するには、「 ポート セキュリティ イベントの自動リカバリーの設定」を参照してください。
無効な状態から自動回復するようにスイッチを設定しない場合は、次のいずれかのコマンドを実行して、無効なインターフェイスを起動できます。
(ELSをサポートするデバイスの場合)—
clear ethernet-switching recovery-timeout
(ELS をサポートしていないデバイスの場合)—
clear ethernet-switching port-error
vlan-member-shutdown
アラーム、SNMPトラップ、またはシステムログエントリを生成するためにサポートされています。