MAC制限が正しく機能していることの確認
MAC 制限は、単一のレイヤー 2 アクセス インターフェイス(ポート)で学習できる MAC アドレスの数に制限を設定することで、イーサネット スイッチング テーブルのフラッディングを防ぎます。
Junos OSでは、ポートセキュリティのためのMAC制限に2つの方法を提供しています。
-
MAC アドレスの最大数—インターフェイスごとに許可されるダイナミック MAC アドレスの最大数を設定します。制限を超えた場合、新しいMACアドレスを持つ着信パケットは無視、ドロップ、またはログに記録される可能性があります。また、インターフェイスをシャットダウンするか、一時的に無効にするかを指定することもできます。
-
許可されたMACアドレス—アクセスインターフェイスに特定の「許可された」MACアドレスを設定します。設定されたアドレスのリストにないMACアドレスは学習されず、スイッチは適切なメッセージを記録します。許可されたMAC方式は、アドレスがVLANの外部に登録されないように、MACアドレスをVLANにバインドします。許可された MAC 設定がダイナミック MAC 設定と競合する場合は、許可された MAC 設定が優先されます。
Junos OSでは、VLANにMAC制限を設定することもできます。ただし、VLAN に MAC 制限を設定しても、ポート セキュリティ機能とは見なされません。スイッチは、MAC 制限を超える原因となる着信パケットの転送を防止しないからです。これらのパケットのMACアドレスのみをログに記録します。
このトピックの情報は、ELS以外のプラットフォームを対象としています。ELSプラットフォームについては、 MAC制限(ELS)の設定 を参照して、MAC制限を参照してください。
動的 MAC アドレスの MAC 制限が正しく動作していることの検証
目的
動的MACアドレスのMAC制限がスイッチで機能していることを確認します。
アクション
学習されたMACアドレスを表示します。以下のサンプル出力は、ge-0/0/1のホストから2つのパケットが送信され、ge-0/0/2のホストから5つのパケット要求が送信された場合の結果を示しています。両方のインターフェイスのMAC制限は 4 に設定され、デフォルトのアクション ドロップが設定されています。
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 6 learned VLAN MAC address Type Age Interfaces employee-vlan * Flood - ge-0/0/2.0 employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
意味
サンプル出力では、各インターフェイスの MAC 制限が 4 の場合、ge-0/0/2 の 5 番目の MAC アドレスのパケットが MAC 制限を超えたために破棄されたことがわかります。アドレスが学習されなかったため、サンプル出力の 1 行目の MAC アドレス 列に、アドレスではなくアスタリスク(*)が表示されます。
特定VLAN内の特定インターフェイスに対するMAC制限が正しく機能していることの検証
目的
特定のVLAN内のメンバーシップに基づく特定のインターフェイスのMAC制限がスイッチで機能していることを確認します。
アクション
学習された MAC アドレスの詳細な統計情報を表示します。
user@switch> show ethernet-switching statistics mac-learning interface ge-0/0/28 detail Interface: ge-0/0/28.0 Learning message from local packets: 0 Learning message from transit packets: 5 Learning message with error: 0 Invalid VLAN: 0 Invalid MAC: 0 Security violation: 0 Interface down: 0 Incorrect membership: 0 Interface limit: 0 MAC move limit: 0 VLAN limit: 0 VLAN membership limit: 20 Invalid VLAN index: 0 Interface not learning: 0 No nexthop: 0 MAC learning disabled: 0 Others: 0
意味
VLAN membership limit
は、インターフェイス ge-0/0/28.0 の VLAN メンバーシップ MAC 制限を超えたためにドロップされたパケットの数を示しています。この場合、20 パケットがドロップされました。
許可されたMACアドレスが正しく動作していることの確認
目的
許可されたMACアドレスがスイッチで機能していることを確認します。
アクション
許可されたMACアドレスがインターフェイスで設定された後に、MACアドレスキャッシュ情報を表示します。以下の例は、許可された5つのMACアドレスがインターフェイスge-0/0/2になった後のMACアドレスキャッシュを示しています。この例では、インターフェイスもダイナミックMAC制限4に設定され、デフォルトのアクション ドロップが設定されています。
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
意味
このインターフェイスのMAC制限値は 4に設定されていたため、設定された5つの許可アドレスのうち4つだけが学習され、MACアドレスキャッシュに追加されました。5 番目のアドレスは学習されなかったため、サンプル出力の最後の行の MAC アドレス 列に、アドレスではなくアスタリスク (*) が表示されます。
MAC制限を超えた場合の各種アクション設定の結果の検証
目的
制限を超えた場合、MAC 制限のさまざまなアクション設定(ドロップ、 ログ、 シャットダウン 、 なし)によって提供される結果を確認します。
アクション
さまざまなアクション設定の結果を表示します。
show log messages
コマンドを使用して、ログ メッセージを表示できます。また、monitor start messages
コマンドを使用してモニター開始メッセージを設定することにより、ログメッセージを表示することもできます。
-
ドロップ アクション: ドロップ アクションで設定され、MAC 制限が 5 に設定された MAC 制限の場合:
user@switch> show ethernet-switching table Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee—vlan * Flood - ge-0/0/2.0 employee—vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0
-
log アクション— ログ アクションで設定され、MAC 制限が 5 に設定されている MAC 制限の場合:
user@switch> show ethernet-switching table Ethernet-switching table: 74 entries, 73 learned VLAN MAC address Type Age Interfaces employee—vlan * Flood - ge-0/0/2.0 employee—vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:82 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:84 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:87 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0 . . .
-
シャットダウン アクション: シャットダウン アクションで構成され、MAC 制限が 3 に設定されている MAC 制限の場合:
user@switch> show ethernet-switching table Ethernet-switching table: 4 entries, 3 learned VLAN MAC address Type Age Interfaces employee—vlan * Flood - ge-0/0/2.0 employee—vlan 00:05:85:3A:82:82 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:84 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:87 Learn 0 ge-0/0/2.0
-
none アクション:スイッチ上のすべてのインターフェイスに適用する MAC 制限を設定した場合、そのインターフェイスにこのアクションを指定することで、特定のインターフェイスの設定を上書きできます。 すべてのインターフェイスに適用されるMAC制限を上書きするを参照してください。
意味
ドロップ アクションの結果—6 番目の MAC アドレスが MAC 制限を超えました。そのアドレスの要求パケットは削除されました。ge-0/0/2 で学習された MAC アドレスは 5 つだけです。
ログアクションの結果—6番目のMACアドレスがMAC制限を超えました。MACアドレスはブロックされませんでした。
シャットダウン アクションの結果—4 番目の MAC アドレスが MAC 制限を超えました。ge-0/0/2 で学習された MAC アドレスは 3 つだけです。インターフェイス ge-0/0/1 がシャットダウンされます。
シャットダウンされたインターフェイスの詳細については、 show ethernet-switching interfaces
コマンドを使用してください。
user@switch> show ethernet-switching interfaces Interface State VLAN members Tag Tagging Blocking bme0.32770 down mgmt untagged unblocked ge-1/0/0.0 down v1 untagged MAC limit exceeded ge-1/0/1.0 up v1 untagged unblocked ge-1/0/2.0 up v1 untagged unblocked me0.0 up mgmt untagged unblocked
disable タイムアウト値で port-error-disable
ステートメントを指定することで、このタイプのエラー状態から自動的に回復するようにスイッチを設定できます。スイッチは、無効化タイムアウトが経過すると、無効化されたインターフェイスをサービスに自動的に復元します。port-error-disable 設定は、既存のエラー状態には適用されません。これは、port-error-disable が有効になってコミットした後に検出されたエラー状態にのみ影響します。既存のエラー状態をクリアし、インターフェイスをサービスに復元するには、 clear ethernet-switching port-error
コマンドを使用します。
インターフェイスがシャットダウンされていることの確認
目的
MAC 制限を超えたときにインターフェイスがシャットダウンされることを確認します。
アクション
MAC 制限を超えたためにシャットダウンされたインターフェイスの詳細については、 show ethernet-switching interfaces
コマンドを使用してください。
user@switch> show ethernet-switching interfaces Interface State VLAN members Tag Tagging Blocking bme0.32770 down mgmt untagged unblocked xe-0/0/0.0 down v1 untagged MAC limit exceeded xe- 0/0/1.0 up v1 untagged unblocked xe-0/0/2.0 up v1 untagged unblocked me0.0 up mgmt untagged unblocked
port-error-disable
ステートメントに disable タイムアウト値を指定することで、MAC 制限を超えた場合、インターフェイスが自動的に回復するように設定することができます。スイッチは、無効化タイムアウトが経過すると、無効化されたインターフェイスをサービスに自動的に復元します。port-error-disable 設定は、既存のエラー状態には適用されません。port-error-disable
ステートメントが有効になり、設定がコミットされた後に検出されたエラー状態にのみ影響します。既存のエラー状態をクリアし、インターフェイスをサービスに復元するには、 clear ethernet-switching port-error
コマンドを使用します。
特定のインターフェイスの情報を表示するためのイーサネット スイッチング テーブル表示のカスタマイズ
目的
show ethernet-switching table
コマンドを使用して、特定のインターフェイスで学習されたMACアドレスに関する情報を表示できます。
アクション
たとえば、ge-0/0/2インターフェイスで学習されたMACアドレスを表示するには、次のように入力します。
user@switch> show ethernet-switching table interface ge-0/0/2.0 Ethernet-switching table: 1 unicast entries VLAN MAC address Type Age Interfaces v1 * Flood - All-members v1 00:00:06:00:00:00 Learn 0 ge-2/0/0.0
意味
ge-0/0/2のMAC制限値は 1に設定されており、出力は1つのMACアドレスのみが学習されたためMACアドレスキャッシュに追加されたことを示しています。アドレスではなくアスタリスク(*)が、サンプル出力の 1 行目の MAC アドレス 列に表示されます。