Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

MAC 制限と MAC 移動制限について

MAC 制限は、イーサネット スイッチング テーブルのフラッディングから保護し、レイヤー 2 インターフェイス(ポート)で有効にします。MAC 移動制限は、アクセス インターフェイス上の MAC 移動と MAC スプーフィングを検出します。VLANで有効になっています。

  • MAC 制限 は、VLAN 内で学習できる MAC アドレスの数を制限することで、ポートのセキュリティを強化します。MAC アドレスの数を制限することで、イーサネット スイッチング テーブル(MAC 転送テーブルまたはレイヤー 2 転送テーブルとも呼ばれます)のフラッディングからスイッチを保護できます。フラッディングは、学習された新しいMACアドレスの数によってイーサネットスイッチングテーブルがオーバーフローし、以前に学習されたMACアドレスがテーブルからフラッシュされた場合に発生します。その後、スイッチは以前に学習されたMACアドレスのフラッディングに戻りますが、これはパフォーマンスに影響を与え、セキュリティの脆弱性をもたらす可能性があります。

  • MAC 移動制限 は、1 秒間に VLAN で許可される MAC アドレス移動の数を制御することで、セキュリティを強化します。MAC アドレスの移動は、スイッチがすでに学習している送信元 MAC アドレスを持つパケットを、別のインターフェイスで受信した場合に発生します。その後、イーサネット スイッチング テーブルが更新され、MAC アドレスと新しいインターフェイスの関連付けが反映されます。イーサネット スイッチング テーブルはMACアドレスを移動するたびに更新する必要があるため、頻繁な移動イベントはスイッチの処理リソースの枯渇につながる可能性があります。これは、MAC スプーフィング攻撃またはネットワーク内のループの結果として発生する可能性があります。

MAC 制限

MAC 制限では、MAC アドレスの数を制限するか、許可された MAC アドレスを指定することで、レイヤー 2 アクセス インターフェイスで学習できる MAC アドレスを制限します。

  • MACアドレス数の制限-インターフェイスごとに動的に学習できる(イーサネットスイッチングテーブルに追加できる)MACアドレスの最大数を設定します。制限を超えた場合に、新しい MAC アドレスを持つ着信パケットを無視するか、ドロップするか、またはログに記録するかを指定できます。また、インターフェイスをシャットダウンするか、一時的に無効にするように指定することもできます。

    手記:

    静的 MAC アドレスは、動的 MAC アドレスに指定した制限にはカウントされません。

  • 許可されたMACアドレスの指定—インターフェイスに許可されたMACアドレスを設定します。設定されたアドレスのリストにないMACアドレスは学習されず、スイッチは適切なメッセージをログに記録します。許可されたMACアドレスは、VLANの外部に登録されないようにVLANにバインドされます。許可された MAC 設定が動的 MAC 設定と競合する場合は、許可された MAC 設定が優先されます。

MAC 制限は、レイヤー 2 インターフェイスで設定されます。VLAN 内のメンバーシップに基づいて、単一インターフェイス、すべてのインターフェイス、または特定のインターフェイスで学習できるダイナミック MAC アドレスの最大数(VLAN メンバーシップ MAC 制限)を指定できます。

インターフェイスの最大 MAC 制限を設定する場合、MAC 制限を超えたときに着信パケットに発生するアクションを選択できます。制限を超えた場合、受信パケットを無視するか、ドロップするか、またはログに記録するかを指定できます。また、インターフェイスをシャットダウンするか、一時的に無効にするように指定することもできます。

MAC 制限は、デフォルトでは有効になっていません。設定された値は、置き換えられるかクリアされるまでアクティブなままであり、デバイスの再起動後も維持されます。ELSをサポートするデバイス上のインターフェイスのMAC制限の設定に関する詳細については、 MAC制限の設定(ELS)を参照してください。拡張レイヤー2ソフトウェア(ELS)をサポートしていないデバイス上のインターフェイスのMAC制限の設定に関する詳細については、 MAC制限の設定(非ELS)を参照してください。

ELS の詳細については 、拡張レイヤー 2 ソフトウェア CLI の使用 を参照してください。

MAC 移動制限

MAC 移動制限とは、MAC アドレスが 1 秒以内に新しいインターフェイスに移動できる回数を制限することです。MAC 移動制限が設定されている場合、MAC アドレスの動きはスイッチによって追跡されます。MACアドレスの初回移動は、常に適切な移動と見なされ、設定されたMAC移動制限にはカウントされません。MAC アドレスの移動の監視は、MAC 移動制限が 1 に設定されている場合でも、最初の移動後に有効になります。

VLANごとにMAC移動制限を設定します。VLAN でこの機能を有効にしても、MAC 移動制限は、VLAN 内の MAC アドレス移動の合計数ではなく、個々の MAC アドレスの移動数に適用されます。たとえば、MAC 移動制限が 1 に設定されている場合、スイッチは、同じ MAC アドレスが 1 秒間に複数回移動しない限り、VLAN 内での MAC アドレスの移動を無制限に許可します。

MAC アドレスの移動制限を超えた場合に実行するアクションを構成できます。制限を超えた場合、受信パケットを無視するか、ドロップするか、またはログに記録するかを指定できます。また、インターフェイスをシャットダウンするか、一時的に無効にするように指定することもできます。

MAC 移動制限は、デフォルトでは有効になっていません。ELSをサポートしていないデバイスでのMAC移動制限の設定の詳細については、 MAC移動制限の設定(非ELS)を参照してください。ELSをサポートするデバイスでのMAC移動制限の設定の詳細については、 MAC移動制限(ELS)の設定を参照してください。

MAC 制限と MAC 移動制限のアクション

MAC 制限または MAC 移動制限を超えたときに、以下のいずれかのアクションを実行するように選択できます。

  • drop- パケットをドロップしますが、アラームは生成しません。

  • drop-and-log- パケットをドロップし、アラーム、SNMPトラップ、またはシステムログエントリを生成します。

  • log- パケットをドロップせず、アラーム、SNMPトラップ、またはシステムログエントリを生成します。

  • none—新しい送信元MACアドレスを持つパケットを転送し、新しい送信元MACアドレスを学習します。

  • shutdown- VLAN のインターフェイスを無効にし、アラーム、SNMP トラップ、またはシステム ログ エントリを生成します。

  • vlan-member-shutdown—(EX9200のみ)Junos OS リリース 15.1以降、EX9200スイッチのMAC制限とMAC移動制限では、 vlan-member-shutdown ステートメントがサポートされており、特定のVLANのメンバーシップに基づいてインターフェイスをブロックし、アラーム、SNMPトラップ、またはシステムログエントリを生成します。

シャットダウンが発生した場合、指定した期間が経過すると無効化されたインターフェイスが自動的にサービスに復帰するようにスイッチを設定できます。ELS をサポートするデバイスで自動リカバリを設定するには、 ポート セキュリティ イベントの自動リカバリの設定を参照してください。ELS をサポートしていないデバイスで自動リカバリを設定するには、 ポート セキュリティ イベントの自動リカバリの設定を参照してください。

手記:

Mac 制限機能のシステム ログ エントリを表示するには、重大度をログ通知としてシステム ロギングを設定する必要があります。 「システム ログの概要」を参照してください。
手記:

無効状態から自動回復するようにスイッチを設定しない場合、以下のコマンドのいずれかを実行して、無効なインターフェイスを起動できます。

手記:

既存の dot1x セッション:

  • 初めて MAC 制限を設定すると、既存の dot1x セッションがクリアされ、ポートが接続状態に移行します。

  • MAC制限を増やしても、セッションはクリアされず、ポートは認証済み状態のままになります。

  • MAC 制限を引き下げるか、switch-options 設定を削除すると、既存の dot1x セッションがクリアされ、ポートが接続状態に移行します。

要約すると、設定されたインターフェイスMAC制限が学習されたMACの数よりも低い場合、MACフラッシュが発生します。設定されたインターフェイスMAC制限が学習されたMACの数よりも大きい場合、影響はありません
手記:

設定ミスを防ぐために、コミットチェックが導入されました。L2 に設定されたインターフェイスのみが、これらの階層のいずれかで設定できるようになります。

  • set routing-instances<routing-instance-name> vlans<vlans-name>switch-options interface <interface-name>

  • set routing-instances<routing-instance-name> bridge-domains <bridge-domain-name> bridge-options interface <interface-name>

  • set vlans <vlans-name> switch-options interface <interface-name>

  • set bridge-domains <bridge-domain-name> bridge-options interface <interface-name>

  • set vlans <vlans-name> switch-options mac-move-limit interface <interface-name>

関連資料

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
15.1
Junos OS リリース 15.1以降、EX9200スイッチのMAC制限とMAC移動制限では、 vlan-member-shutdown ステートメントがサポートされており、特定のVLANのメンバーシップに基づいてインターフェイスをブロックし、アラーム、SNMPトラップ、またはシステムログエントリを生成します。