Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MAC 制限が正しく機能していることを確認する

MAC 制限は、単一のレイヤー 2 アクセス インターフェイス(ポート)で学習できる MAC アドレスの数に制限を設定することで、イーサネット スイッチング テーブルのフラッディングから保護します。

Junos OS には、ポート セキュリティのための MAC 制限の 2 つの方法があります。

  • MAC アドレスの最大数 — インターフェイスごとに許可される動的 MAC アドレスの最大数を設定します。この制限を超えると、新しい MAC アドレスを持つ受信パケットは無視されるか、破棄されるか、ログに記録されます。インターフェイスをシャットダウンするか、一時的に無効にすることも指定できます。

  • 許可された MAC アドレス — アクセス インターフェイスに特定の「許可」MAC アドレスを設定します。設定されたアドレスのリストに含まれていないMACアドレスは学習されず、スイッチは適切なメッセージをログに記録します。許可された MAC メソッドは、アドレスが VLAN の外部に登録されないよう、MAC アドレスを VLAN にバインドします。許可された MAC 設定が動的 MAC 設定と競合する場合、許可された MAC 設定が優先されます。

Junos OS では、VLAN に MAC 制限を設定することもできます。ただし、VLAN で MAC 制限を設定してもポート セキュリティ機能とは見なされません。スイッチは、MAC 制限を超えて転送される受信パケットを防止できないためです。これらのパケットのMACアドレスのみをログに記録します

MAC 制限設定を検証するには、以下の手順に応えます。

動的 MAC アドレスの MAC 制限が正しく機能していることを検証する

目的

動的 MAC アドレスの MAC 制限がスイッチで機能していることを確認します。

アクション

学習した MAC アドレスを表示します。次のサンプル出力は、ge-0/0/1で2つのパケットがホストから送信され、ge-0/0/2のホストから5つのパケット要求が送信され、両方のインターフェイスがデフォルトのアクションドロップMAC制限4に設定された場合の結果を示しています。

意味

サンプル出力は、各インターフェイスの MAC 制限 が 4 の場合、ge-0/0/2 の 5 番目の MAC アドレスのパケットが MAC 制限を超えたために破棄されたことを示しています。アドレスは学習されず、サンプル出力の最初の行の MAC アドレス 列にアドレスではなくアスタリスク (*) が表示されます。

特定の VLAN 内の特定のインターフェイスの MAC 制限が正しく機能していることを検証する

目的

特定の VLAN 内のメンバーシップに基づいて特定のインターフェイスの MAC 制限がスイッチで機能していることを確認します。

アクション

学習した MAC アドレスの詳細な統計情報を表示します。

意味

この図は VLAN membership limit 、インターフェイス ge-0/0/28.0 の VLAN メンバーシップ MAC 制限が超過したために破棄されたパケット数を示しています。この場合、20 パケットが破棄されました。

許可されたMACアドレスが正しく機能していることを確認する

目的

許可された MAC アドレスがスイッチで動作していることを確認します。

アクション

許可された MAC アドレスがインターフェイスで設定された後の MAC アドレス キャッシュ情報を表示します。次のサンプルは、5つの許可されたMACアドレスがインターフェイスge-0/0/2にあった後のMACアドレスキャッシュを示しています。この例では、インターフェイスはデフォルトのアクション ドロップで4の動的MAC制限に設定されました。

意味

このインターフェイスの MAC 制限値が 4 に設定されているため、5 個の設定済みアドレスのうち 4 つだけが学習され、MAC アドレス キャッシュに追加されました。5 番目のアドレスが学習されていないため、サンプル出力の最後の行の MAC アドレス 列に、アドレスではなくアスタリスク (*) が表示されます。

MAC 制限を超えた場合の各種アクション設定の結果の検証

目的

MAC 制限(ドロップログシャットダウンなし)に関するさまざまなアクション設定によって、制限を超えた場合の結果を検証します。

アクション

さまざまなアクション設定の結果を表示します。

メモ:

コマンドを使用してログ メッセージを show log messages 表示できます。また、コマンドを使用してモニター開始メッセージを構成することによって、ログ・メッセージを monitor start messages 表示することもできます。

  • ドロップ アクション — ドロップ アクションと MAC 制限を 5 に設定して設定した MAC 制限の場合:

  • ログ アクション: ログ アクションと MAC 制限を 5 に設定して設定した MAC 制限の場合:

  • シャットダウン アクション: シャットダウン アクションと MAC 制限を 3 に設定して設定した MAC 制限の場合:

  • none action —スイッチ上のすべてのインターフェイスに適用する MAC 制限を設定した場合、そのインターフェイスに対してこのアクションを指定することで、特定のインターフェイスの設定を上書きできます。 「すべてのインターフェイスに適用される MAC 制限をオーバーライドする」を参照してください

意味

ドロップ アクションの結果 - 6 番目の MAC アドレスが MAC 制限を超えました。そのアドレスのリクエストパケットが破棄されました。ge-0/0/2 で学習された MAC アドレスは 5 つだけです。

ログ アクションの結果 - 6 番目の MAC アドレスが MAC 制限を超えました。MAC アドレスはブロックされません。

シャットダウン アクションの結果 : 4 番目の MAC アドレスが MAC 制限を超えました。ge-0/0/2 で学習された MAC アドレスは 3 つだけです。インターフェイス ge-0/0/1 はシャットダウンされます。

シャットダウンされたインターフェイスの詳細については、コマンドを show ethernet-switching interfaces 使用します。

メモ:

このタイプのエラー状態から自動的に回復するようスイッチを設定するには、タイムアウト無効値をport-error-disable指定してステートメントを指定します。スイッチは、無効タイムアウトが期限切れになると、無効なインターフェイスを自動的にサービスに復元します。ポート エラー無効化設定は、既存のエラー条件には適用されません。影響を与えるのは、ポート エラーの無効化が有効でコミットされた後に検出されたエラー条件のみです。既存のエラー条件をクリアし、インターフェイスをサービスに復元するには、コマンドをclear ethernet-switching port-error使用します。

インターフェイスがシャットダウンされていることを確認する

目的

MAC 制限を超えると、インターフェイスがシャットダウンされていることを確認します。

アクション

MAC 制限を超過したためにシャットダウンされたインターフェイスの詳細については、コマンドを show ethernet-switching interfaces 使用します。

メモ:

無効タイムアウト値を使用してステートメントを指定port-error-disableすることで、MAC 制限を超えた場合に自動的に回復するようにインターフェイスを設定できます。スイッチは、無効タイムアウトが期限切れになると、無効なインターフェイスを自動的にサービスに復元します。ポート エラー無効化設定は、既存のエラー条件には適用されません。これは、ステートメントが有効になり、設定がコミットされた後port-error-disableに検出されたエラー条件にのみ影響します。既存のエラー条件をクリアし、インターフェイスをサービスに復元するには、コマンドをclear ethernet-switching port-error使用します。

イーサネット スイッチング テーブルの表示をカスタマイズして、特定のインターフェイスの情報を表示する

目的

コマンドを使用して、特定の show ethernet-switching table インターフェイスで学習したMACアドレスに関する情報を表示できます。

アクション

たとえば、ge-0/0/2 インターフェイスで学習した MAC アドレスを表示するには、次を入力します。

意味

ge-0/0/2 の MAC 制限値が 1 に設定されており、出力は 1 つの MAC アドレスのみが学習され、MAC アドレス キャッシュに追加されたことを示しています。サンプル出力の最初の行の MAC アドレス 列に、アドレスではなくアスタリスク (*) が表示されます。