Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

MAC 制限の設定

MAC 制限の設定(ELS)

このトピックでは、デバイスによって送受信されるパケット内の MAC アドレスに制限を設定するさまざまな方法について説明します。

手記:

このセクションで紹介するタスクでは、拡張レイヤー2ソフトウェア(ELS)設定スタイルをサポートするEXシリーズスイッチ、QFX3500およびQFX3600スイッチ、PTXシリーズルーターでJunos OSを使用します。ELS設定の詳細については 、拡張レイヤー2ソフトウェアCLIの使用 を参照してください。

MAC 制限を設定するさまざまな方法については、次のセクションで説明します。

プラットフォーム固有 グローバル MAC 制限動作の設定

表 1: プラットフォーム固有の動作

プラットホーム

Junos Evolved ACX7000シリーズ

ACX7000は現在、パケットアクションをサポートしていません

デフォルトのMAC番号はACX7000には適用されません

インターフェイスが学習する MAC アドレスの数を制限する

手記:

PTXシリーズルーターでは、インターフェイスによってのみ学習されるMACアドレスの数を制限することができます。

ポートを保護するために、インターフェイスが学習できるMACアドレスの最大数を設定できます。

インターフェイスの MAC 制限を設定し、指定された制限を超えた後にデバイスが実行するアクションを指定します。
デフォルトルーティング インスタンスの一部であるインターフェイスにMAC制限を設定する場合:
ルーティング インスタンスの一部であるインターフェイスにMAC制限を設定する場合:
デフォルトルーティング インスタンスの一部であるすべてのインターフェイスにMAC制限を設定する場合:
ルーティング インスタンスの一部であるすべてのインターフェイスにMAC制限を設定する場合:

インターフェイスに新しい MAC 制限を設定した後、システムはインターフェイスに関連付けられた MAC アドレス 転送テーブルの既存のエントリーをクリアします。

VLAN が学習する MAC アドレスの数を制限する

VLAN によって学習された MAC アドレスの数を制限するには、次の手順を実行します。

プラットフォーム固有 MAC 制限動作の設定

表 2: プラットフォーム固有の動作

プラットホーム

Junos Evolved ACX7000シリーズ

ACX7000は現在、パケットアクションをサポートしていません

デフォルトのMAC番号はACX7000には適用されません
VLAN が学習できる MAC アドレスの最大数を設定し、指定された制限を超えた後にデバイスが実行するアクションを指定します。

VLAN 内のインターフェイスによって学習される MAC アドレスの数を制限する

VLAN 内のインターフェイスによって学習された MAC アドレスの数を制限するには、次の手順を実行します。

  1. VLAN 内のインターフェイスが学習できる MAC アドレスの最大数を設定し、指定された制限を超えた後にデバイスが実行するアクションを指定します。
  2. VLAN 内の 1 つまたはすべてのインターフェイスが学習できる MAC アドレスの最大数を設定し、指定された制限を超えた後にデバイスが実行するアクションを指定します。
    手記:

    VLAN内のすべてのインターフェイス VLAN内の特定のインターフェイスにMAC制限とパケットアクションを指定した場合、特定のインターフェイスレベルで指定されたMAC制限とパケットアクションが優先されます。また、VLANインターフェイスレベルでは、 drop および drop-and-log オプションのみがサポートされています。

    mac-table-size ステートメントを使用して VLAN に、または interface-mac-limit ステートメントを使用して VLAN に関連するインターフェイスに、新しい MAC 制限を設定した後、システムは MAC アドレス 転送テーブル内の対応する既存のエントリーをクリアします。

    手記:

    QFXシリーズ バーチャルシャーシでは、[edit vlans vlan-name switch-options interface interface-name interface-mac-limit packet-action] 階層に shutdown オプションを含めて commit 操作を発行すると、コミット エラーが発生します。[edit switch-options interface interface-name interface-mac-limit packet-action] 階層レベルに shutdown オプションを含めると、エラーは生成されません。

MAC 制限の設定(非 ELS)

このタスクでは、拡張レイヤー2ソフトウェア(ELS)構成スタイルをサポートしないEXシリーズスイッチとQFX3500およびQFX3600スイッチ用のJunos OSを使用します。

このトピックでは、スイッチによって送受信されるパケット内の MAC アドレスに制限を設定するさまざまな方法について説明します。

インターフェイスまたは VLAN に以前に設定された MAC 制限を変更する前に、まず、変更に対応する MAC アドレス 転送テーブルの既存のエントリーをクリアする必要があります。したがって、インターフェイスの制限を変更するには、まずそのインターフェイスの MAC アドレス 転送テーブルのエントリーをクリアします。すべてのインターフェイスとVLANの制限を変更するには、すべてのMACアドレス転送テーブルエントリをクリアします。VLANの制限を変更するには、そのVLANのMACアドレス転送テーブルのエントリーをクリアします。

転送テーブルからMACアドレスをクリアするには:

  • 転送テーブル内の特定のインターフェイス(ここでは、インターフェイスは ge-0/0/1)からMACアドレスエントリーをクリアします。

  • 転送テーブルのすべてのMACアドレスエントリーをクリアします。

  • 特定の VLAN(ここでは VLAN は vlan-abc)から MAC アドレス エントリーをクリアします。

MAC 制限を設定するさまざまな方法については、次のセクションで説明します。

インターフェイスで学習できるMACアドレス数の制限

インターフェイスで学習できるMACアドレスの最大数を設定して、ポートセキュリティのMAC制限を設定します。

  • 1 つのインターフェイスに MAC 制限を適用します(ここでは、インターフェイスは ge-0/0/1 です)。

    インターフェイスでMAC制限を設定するアクションが指定されていない場合、デバイスは制限を超えた場合にデフォルトのアクション ドロップ を実行します。

  • 特定のVLAN(ここでは、インターフェイスはge-0/0/1、VLANはv1)内のメンバーシップに基づいて、単一のアクセスインターフェイスにMAC制限を適用します。

    このタイプの設定では、制限を超えた場合、デバイスはそれ以上のパケットをドロップし、メッセージも記録します。

  • すべてのアクセスインターフェイスに制限を適用します。

    すべてのインターフェイスで MAC 制限を設定するアクションが指定されていない場合、デバイスは制限を超えた場合にデフォルトのアクション ドロップ を実行します。

許可するMACアドレスの指定

MAC アドレス制限を変更する前に、MAC アドレス 転送テーブルの既存のエントリーをクリアする必要があります。

許可された MAC アドレスを指定してポート セキュリティの MAC 制限を構成するには、次の手順を実行します。

  • 単一のインターフェイス(ここでは、インターフェイスはge-0/0/2)の場合:
  • すべてのインターフェイス:

VLAN の MAC 制限の設定

MAC アドレス制限を変更する前に、MAC アドレス 転送テーブルの既存のエントリーをクリアする必要があります。

VLANのMAC制限は、そのVLANについて学習可能なMACアドレスを制限しますが、パケットはドロップ しません 。そのため、VLAN に MAC 制限を設定しても、ポート セキュリティ機能とは見なされません。

手記:

特定の許可されたMACアドレスの設定は、VLANには適用されません。

CLI を使用して VLAN の MAC 制限を設定するには、次の手順に従います。

VLAN上の動的MACアドレスの数を制限します。

特定の VLAN の MAC 制限を超えた場合、デバイスは制限を超える原因となったパケットの MAC アドレスを記録します。他のアクションは実行できません。

手記:

VLANにMAC制限を適用する場合、RVI(ルーテッドVLANインターフェイス)で構成されたVLAN、またはLACPを使用した集合型イーサネットバンドルで構成されたVLANでは、 mac-limit を1に設定しないでください。このような場合、 mac-limit を 1 に設定することで、デバイスが自動アドレス以外の MAC アドレスを学習するのを防ぐことができます。

  • RVI の場合、転送データベースに挿入される最初の MAC アドレスは RVI の MAC アドレスです。

  • LACPを使用した集約型イーサネットバンドルの場合、転送テーブルの転送データベースに挿入された最初のMACアドレスがプロトコルパケットの送信元アドレスになります。

VLAN が通常のアクセス インターフェイスまたはトランク インターフェイスで構成されている場合、必要に応じて mac-limit を 1 に設定できます。

参照

MXシリーズ ルーターでのMAC制限の設定

このトピックでは、MXシリーズルーターによって送受信されるパケットのMACアドレスに制限を設定するさまざまな方法について説明します。

インターフェイスが学習する MAC アドレスの数を制限する

ポートを保護するために、インターフェイスが学習できるMACアドレスの最大数を設定できます。

MXシリーズ ルーターは、 ドロップ アクションのみをサポートしています。アクションが指定されていない場合、ルーターは 制限を超えた場合に デフォルトのアクションドロップを実行します。

インターフェイスにMAC制限を設定し、指定された制限を超えた後にルーターが実行するアクションを指定します。
デフォルトルーティング インスタンスの一部であるインターフェイスにMAC制限を設定する場合:
ルーティング インスタンスの一部であるインターフェイスにMAC制限を設定する場合:
デフォルトルーティング インスタンスの一部であるすべてのインターフェイスにMAC制限を設定する場合:
ルーティング インスタンスの一部であるすべてのインターフェイスにMAC制限を設定する場合:

インターフェイスに新しい MAC 制限を設定した後、システムはインターフェイスに関連付けられた MAC アドレス 転送テーブルの既存のエントリーをクリアします。

ブリッジ ドメインが学習する MAC アドレス数を制限する

ブリッジ ドメインで学習された MAC アドレスの数を制限するには、次のステップを実行します。

ブリッジ ドメインが学習できる MAC アドレスの最大数を設定し、指定された制限を超えた後にデバイスが実行するアクションを指定します。

ブリッジ ドメイン内のインターフェイスによって学習された MAC アドレスの数を制限する

ブリッジ ドメイン内のインターフェイスによって学習された MAC アドレスの数を制限するには、次のステップを実行します。

  1. ブリッジ ドメイン内のインターフェイスが学習できる MAC アドレスの最大数を設定し、指定された制限を超えた後にデバイスが実行するアクションを指定します。
  2. ブリッジ ドメイン内の 1 つまたは すべてのインターフェイスが学習できる MAC アドレスの最大数を設定し、指定された制限を超えた後にデバイスが実行するアクションを指定します。
    手記:

    ブリッジ ドメイン内のすべてのインターフェイス ブリッジ ドメイン内の特定のインターフェイスに MAC 制限とパケット アクションを指定した場合、特定のインターフェイス レベルで指定された MAC 制限とパケット アクションが優先されます。また、ブリッジ ドメイン インターフェイス レベルでは、 drop オプションのみがサポートされています。

MAC 制限の設定(J-Web 手順)

MAC 制限は、EXシリーズ スイッチ上のイーサネット スイッチング テーブルのフラッディングから保護します。MAC 制限は、1 つのレイヤー 2 アクセス インターフェイス(ポート)で学習できる MAC アドレスの数に制限を設定します。

Junos OS では、2 つの MAC 制限方法を提供しています。

  • インターフェイスごとに許可される動的MACアドレスの最大数—制限を超えると、新しいMACアドレスを持つ着信パケットがドロップされます。

  • アクセスインターフェイスの特定の「許可」MACアドレス—設定されたアドレスのリストにないMACアドレスは学習されません。

MAC 制限は、VLAN ごとではなく、インターフェイスごとに設定します。単一のレイヤー 2 アクセス インターフェイスまたはすべてのレイヤー 2 アクセス インターフェイスで学習できるダイナミック MAC アドレスの最大数を指定できます。この最大数を超えた場合にスイッチが実行するデフォルトのアクションは drop です。これはパケットをドロップし、アラーム、SNMP トラップ、またはシステム ログ エントリを生成します。

J-Web インターフェイスを使用して 1 つ以上のインターフェイスで MAC 制限を有効にするには:

  1. [ Configure>Security>Port Security] を選択します。
  2. インターフェイスリストから1つ以上のインターフェイスを選択します。
  3. [ 編集 ] ボタンをクリックします。ポート セキュリティを有効にするかどうかを尋ねるメッセージが表示されたら、[ はい] をクリックします。
  4. 動的 MAC 制限を設定するには:

    1. [ MAC 制限 ] ボックスに制限値を入力します。

    2. [ MAC 制限アクション(MAC Limit Action )] ボックスからアクションを選択します(オプション)。スイッチは、MAC 制限を超えた場合にこのアクションを実行します。アクションを選択しない場合、スイッチはデフォルトのアクションである drop を適用します。

      • [ログ(Log)]:システム ログ エントリを生成します。

      • ドロップ—パケットをドロップし、システムログエントリを生成します。(デフォルト)

      • [シャットダウン(Shutdown)]:VLAN をシャットダウンし、システム ログ エントリを生成します。このオプションの影響は、無効状態から自動回復するようにスイッチを設定し、 無効 タイムアウト値を指定することで軽減できます。

      • [なし(None)]:実行するアクションはありません。

  5. 許可されたMACアドレスを追加するには:

    1. [ 追加] をクリックします。

    2. 許可されたMACアドレスを入力し、[ OK]をクリックします。

    この手順を繰り返して、許可される MAC アドレスをさらに追加します。

  6. MAC 制限の設定が完了したら、[ OK ] をクリックします。
  7. 設定が正常に配信されたら、[ OK ] をクリックします。
手記:

[Port Security Configuration] ページの [ Activate ] または [Deactivate ] ボタンをクリックすることで、スイッチのポート セキュリティをいつでも有効または無効にできます。VLANまたはインターフェイス(ポート)の設定を編集しようとしたときに、セキュリティステータスが [無効] と表示される場合は、ポートセキュリティを有効にするかどうかを尋ねるメッセージが表示されます。

参照