レイヤー 3 ルーティング インターフェイスの MAC 制限について
概要
MAC 制限機能は、レイヤー 3 ルーテッド ギガビット イーサネット(GE)、FE(ファスト イーサネット)、または 10 ギガビット イーサネット(XE)インターフェイスに接続されているデバイス上の MAC アドレスを制限するメカニズムを提供します。MAC フィルターを使用すると、特定のソース MAC を持つトラフィックを許可できます。ソフトウェアベースの MAC 制限がサポートされています。MAC 制限は、プレーン イーサネットまたは VLAN タグ付きカプセル化を持つインターフェイスでのみ適用されます。
物理インターフェイス レベルと論理インターフェイス レベルaccept-source-macsource-address-filterの両方の設定は、SRX100、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX650 デバイスでサポートされています。(プラットフォームのサポートは、インストール済み環境の Junos OS リリースによって異なります)。and accept-source-mac ステートメントを構成する場合、以下の考慮事項がsource-address-filter適用されます。
論理レベル
accept-source-macステートメントのみが設定されている場合、設定された MAC アドレスからのトラフィックのみが論理インターフェイスで許可されます。物理インターフェイス レベル
source-address-filterステートメントのみが設定されている場合、物理インターフェイスの 許可された MAC アドレスは、物理インターフェイスに属するすべての論理インターフェイスの 許可 アドレスとも見なされます。他の送信元MACアドレスからの受信パケットは破棄されます。物理インターフェイス レベル
source-address-filterが(またはfastether-options)の下でgigether-options設定されaccept-source-mac、その論理インターフェイスまたは VLAN の 1 つ以上に対して設定されている場合、アドレスの許可されるリストは、両方のステートメントで指定された MAC アドレスの組み合わせです。ステートメントがaccept-source-mac設定されていない論理インターフェイスと VLAN の場合、物理インターフェイスの許可アドレスリストが考慮されます。
特定の MAC アドレスからパケットを受信するようにインターフェイスを設定できます。これを行うには、or accept-source-mac ステートメントで MAC アドレスをsource-address-filter指定します。
Logical level MAC filter configuration on an untagged interfacege-0/0/10 { unit 0 { accept-source-mac { mac-address 00:22:33:44:55:66; mac-address 00:26:88:e9:a3:01; } family inet { address 60.60.60.1/24; } } }Physical level MAC filter configuration on an untagged interfacege-0/0/10 { gigether-options { source-address-filter { 00:55:55:55:55:66; 00:26:88:e9:a3:01; } } unit 0 { family inet { address 60.60.60.1/24; } } }Physical and logical level MAC filter configurations on a tagged interfacege-0/0/10 { vlan-tagging; gigether-options { source-address-filter { 00:26:88:e9:a3:01; } } unit 0 { vlan-id 40; accept-source-mac { mac-address 00:22:33:44:55:66; } family inet { address 40.40.40.1/24; } } unit 1 { vlan-id 60; accept-source-mac { mac-address 00:55:55:55:55:66; } family inet { address 60.60.60.1/24; } } }
タグなしギガビット イーサネット インターフェイスでは、ステートメントとステートメントを source-address-filter 同時に accept-source-mac 設定しないでください。これらのステートメントが同じインターフェイスに同時に設定されている場合、エラーメッセージが表示されます。ただし、タグ付き VLAN の場合、同じ MAC アドレスが指定されていない場合は、両方のステートメントを同時に設定できます。
制限
レイヤー 3 ルーテッド GE、AE、FE、または XE インターフェイスの MAC 制限サポートには、次の制限が適用されます。
デバイス当たり 32 個の MAC アドレスのみを設定できます(アグリゲート イーサネット インターフェイスでは、論理インターフェイスごとに 64 個のアドレスが制限されます)。
ソフトウェアベースのMACフィルタリングのみがサポートされています。ソフトウェアベースの MAC フィルタリングはパフォーマンスに影響を与えます。パフォーマンスへの影響は、設定されたMACアドレスの数に比例します。
MAC ベースのポリサーまたはレート制限はサポートされていません。
ステートメントでブロードキャスト アドレスまたはマルチキャスト アドレスを
source-address-filter設定することはできません。MAC フィルタリングはアグリゲート イーサネット(AE)インターフェイスではサポートされていません(一部のプラットフォームでサポートされています。プラットフォームの詳細については、機能エクスプローラーを参照してください)。またはファブリック イーサネット、PPPoE(Point-to-Point Protocol over Ethernet)、RVI(Routed VLAN Interface)、または VLAN インターフェイス上にあります。
MAC フィルタリングはシャーシ クラスタではサポートされていません。
AE インターフェイスで MAC フィルタリングを設定する場合は、(つまり、使用しない)と
family ethernet-switchingでインターフェイスaccept-source-macをsource-address-filter設定する必要があります。