レイヤー 3 ルーティング インターフェイスの MAC 制限について
概要
MAC 制限機能は、レイヤー 3 ルーテッド ギガビット イーサネット(GE)、ファスト イーサネット(FE)、または 10 ギガビット イーサネット(XE)インターフェイスに接続されたデバイスの MAC アドレスを制限するメカニズムを提供します。MAC フィルタを使用すると、特定の送信元 MAC とのトラフィックを許可できます。ソフトウェアベースのMAC制限がサポートされています。MAC制限は、プレーンイーサネットまたはVLANタグ付きカプセル化を備えたインターフェイスにのみ適用されます。
物理インターフェイス レベル source-address-filter と 論理インターフェイス レベル accept-source-mac の両方の設定は、SRX100、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX650 の各デバイスでサポートされています。(プラットフォームのサポートは、インストールされたJunos OSリリースによって異なります)。 source-address-filter および accept-source-mac ステートメントを設定する際には、以下の点に注意してください。
論理レベルの
accept-source-macステートメントのみが設定されている場合、設定されたMACアドレスからのトラフィックのみが論理インターフェイス上で許可されます。物理インターフェイスレベル
source-address-filterステートメントのみが設定されている場合、物理インターフェイスの 許可 されたMACアドレスは、物理インターフェイスに属するすべての論理インターフェイスの 許可 アドレスとも見なされます。他の送信元MACアドレスからの着信パケットは破棄されます。物理インターフェイス レベル
source-address-filterがgigether-options(またはfastether-options)で設定されaccept-source-macその論理インターフェイスまたは VLAN の 1 つ以上に設定されている場合、アドレスの許可リストは、両方のステートメントで指定された MAC アドレスの組み合わせになります。accept-source-macステートメントが設定されていない論理インターフェイスおよびVLANでは、物理インターフェイスの アドレスの許可 リストが考慮されます。
特定の MAC アドレスからパケットを受信するようにインターフェイスを設定できます。これを行うには、 source-address-filter ステートメントまたは accept-source-mac ステートメントで MAC アドレスを指定します。
Logical level MAC filter configuration on an untagged interfacege-0/0/10 { unit 0 { accept-source-mac { mac-address 00:22:33:44:55:66; mac-address 00:26:88:e9:a3:01; } family inet { address 60.60.60.1/24; } } }Physical level MAC filter configuration on an untagged interfacege-0/0/10 { gigether-options { source-address-filter { 00:55:55:55:55:66; 00:26:88:e9:a3:01; } } unit 0 { family inet { address 60.60.60.1/24; } } }Physical and logical level MAC filter configurations on a tagged interfacege-0/0/10 { vlan-tagging; gigether-options { source-address-filter { 00:26:88:e9:a3:01; } } unit 0 { vlan-id 40; accept-source-mac { mac-address 00:22:33:44:55:66; } family inet { address 40.40.40.1/24; } } unit 1 { vlan-id 60; accept-source-mac { mac-address 00:55:55:55:55:66; } family inet { address 60.60.60.1/24; } } }
タグなしギガビット イーサネット インターフェイスでは、 source-address-filter ステートメントと accept-source-mac ステートメントを同時に設定することはできません。これらのステートメントが同じインターフェイスに同時に設定されている場合、エラーメッセージが表示されます。ただし、タグ付きVLANの場合、同一のMACアドレスが指定されていなければ、これらのステートメントの両方を同時に設定できます。
制限
レイヤー 3 ルーティングされた GE、AE、FE、または XE インターフェイスの MAC 制限サポートには、次の制限が適用されます。
デバイスごとに設定できるMACアドレスは32個のみです(ただし、論理インターフェイスあたり64アドレスの制限がある集合型イーサネットインターフェイスを除く)。
ソフトウェアベースのMACフィルタリングのみがサポートされています。ソフトウェアベースのMACフィルタリングはパフォーマンスに影響を与えます。パフォーマンスへの影響は、設定されているMACアドレスの数に比例します。
MAC ベースのポリサーまたはレート制限はサポートされていません。
source-address-filterステートメントでブロードキャストまたはマルチキャストアドレスを設定することはできません。MACフィルタリングは、集合型イーサネット(AE)インターフェイスではサポートされていません(一部のプラットフォームでサポートされています。プラットフォームの詳細については、 Feature Explorerを参照してください)。またはファブリックイーサネット、PPPoE(Point-to-Point Protocol over Ethernet)、RVI(Routed VLAN Interface)、またはVLANインターフェイスで実行できます。
MAC フィルタリングは、シャーシ クラスタではサポートされていません。
AEインターフェイスでMACフィルタリングを設定する場合、インターフェイスに
accept-source-mac(つまり、source-address-filterではなく)とfamily ethernet-switchingを設定する必要があります。