Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MAC 制限の設定

MAC 制限(ELS)の設定

このトピックでは、デバイスが送受信するパケットの MAC アドレスに制限を設定するさまざまな方法について説明します。

手記:

このセクションでは、拡張レイヤー 2 ソフトウェア(ELS)構成スタイルをサポートする EX シリーズ スイッチ、QFX3500 および QFX3600 スイッチ、PTX シリーズ ルーターで Junos OS を使用します。ELS設定の詳細については 、 拡張レイヤー2ソフトウェアCLIの使用 を参照してください。

MAC制限を設定するさまざまな方法については、次のセクションで説明します。

インターフェイスが学習するMACアドレスの数を制限する

手記:

PTXシリーズルーターでは、インターフェイスが学習するMACアドレスの数のみを制限できます。

ポートを保護するために、インターフェイスが学習できるMACアドレスの最大数を設定できます。

インターフェイスに MAC 制限を設定し、指定された制限を超えた後にデバイスが実行するアクションを指定します。
デフォルト ルーティング インスタンスの一部であるインターフェイスに MAC 制限を設定する場合:
ルーティング インスタンスの一部であるインターフェイスに MAC 制限を設定する場合:
デフォルト ルーティング インスタンスの一部であるすべてのインターフェイスに MAC 制限を設定する場合:
ルーティング インスタンスの一部であるすべてのインターフェイスに MAC 制限を設定する場合:

インターフェイスに新しい MAC 制限を設定すると、システムはインターフェイスに関連付けられた MAC アドレス転送テーブル内の既存のエントリをクリアします。

VLANが学習するMACアドレスの数を制限する

VLAN が学習する MAC アドレスの数を制限するには、次の手順を実行します。

VLAN が学習できる MAC アドレスの最大数を設定し、指定された制限を超えた後にデバイスが実行するアクションを指定します。

VLAN内のインターフェイスが学習するMACアドレスの数を制限する

VLAN 内のインターフェイスで学習される MAC アドレスの数を制限するには、次の手順を実行します。

  1. VLAN 内のインターフェイスで学習できる MAC アドレスの最大数を設定し、指定された制限を超えた後にデバイスが実行するアクションを指定します。
  2. VLAN 内の 1 つ または すべてのインターフェイスで学習できる MAC アドレスの最大数を設定し、指定された制限を超えた後にデバイスが実行するアクションを指定します。
    手記:

    VLAN 内のすべてのインターフェイス および VLAN 内の特定のインターフェイスに対して MAC 制限とパケットアクションを指定した場合は、特定のインターフェイスレベルで指定された MAC 制限とパケットアクションが優先されます。また、VLAN インターフェイス レベルでは、 drop および drop-and-log オプションのみがサポートされます。

    mac-table-size ステートメントを使用して VLAN に新しい MAC 制限を設定するか、interface-mac-limit ステートメントを使用して VLAN に関連付けられたインターフェイスに新しい MAC 制限を設定すると、システムは MAC アドレス転送テーブル内の対応する既存のエントリをクリアします。

    手記:

    QFXシリーズのバーチャルシャーシでは、[edit vlans vlan-name switch-options interface interface-name interface-mac-limit packet-action]階層レベルでshutdownオプションを指定して commit オペレーションを発行すると、コミットエラーが生成されます。[edit switch-options interface interface-name interface-mac-limit packet-action]階層レベルでshutdownオプションを含めても、エラーは生成されません。

MAC 制限の設定(非 ELS)

このタスクでは、拡張レイヤー 2 ソフトウェア(ELS)設定スタイルをサポートしない EX シリーズ スイッチと QFX3500 および QFX3600 スイッチで Junos OS を使用します。

このトピックでは、スイッチで受信および転送されるパケットの MAC アドレスに制限を設定するさまざまな方法について説明します。

インターフェイスまたは VLAN に以前に設定された MAC 制限を変更する前に、まず、必要な変更に対応する MAC アドレス転送テーブル内の既存のエントリをクリアする必要があります。したがって、インターフェイスの制限を変更するには、まずそのインターフェイスのMACアドレス転送テーブルのエントリをクリアします。すべてのインターフェイスとVLANの制限を変更するには、すべてのMACアドレス転送テーブルのエントリーをクリアします。VLAN の制限を変更するには、その VLAN の MAC アドレス転送テーブルのエントリーをクリアします。

転送テーブルから MAC アドレスをクリアするには:

  • 転送テーブル内の特定のインターフェイス(ここでは、インターフェイスは ge-0/0/1)からMACアドレスエントリーをクリアします。

  • 転送テーブルのすべての MAC アドレス エントリーをクリアします。

  • 特定のVLANからMACアドレスエントリーをクリアします(ここでは、VLANはvlan-abcです)。

MAC制限を設定するさまざまな方法については、次のセクションで説明します。

インターフェイスで学習できる MAC アドレスの数の制限

インターフェイスで学習できるMACアドレスの最大数を設定して、ポートセキュリティのMAC制限を設定するには。

  • 1 つのインターフェイスに MAC 制限を適用します(ここでは、インターフェイスは ge-0/0/1 です)。

    インターフェイスに MAC 制限を設定するアクションが指定されていない場合、制限を超えると、デバイスはデフォルトのアクション ドロップ を実行します。

  • 特定の VLAN 内のメンバーシップに基づいて、1 つのアクセス インターフェイスに MAC 制限を適用します(ここでは、インターフェイスは ge-0/0/1、VLAN は v1。

    このタイプの設定では、デバイスは制限を超えた場合に追加のパケットをドロップし、メッセージも記録します。

  • すべてのアクセス インターフェイスに制限を適用します。

    すべてのインターフェイスで MAC 制限を設定するアクションが指定されていない場合、デバイスは制限を超えるとデフォルトのアクション ドロップ を実行します。

許可される MAC アドレスの指定

MAC アドレス制限を変更する前に、MAC アドレス転送テーブルの既存のエントリをクリアする必要があります。

許可されたMACアドレスを指定して、ポートセキュリティのMAC制限を設定するには、次の手順に従います。

  • 単一のインターフェイス(ここでは、インターフェイスはge-0/0/2)の場合:
  • すべてのインターフェイスで:

VLAN の MAC 制限の設定

MAC アドレス制限を変更する前に、MAC アドレス転送テーブルの既存のエントリをクリアする必要があります。

VLANのMAC制限は、そのVLANで学習できるMACアドレスを制限しますが、パケットはドロップ しません 。したがって、VLAN に MAC 制限を設定することは、ポート セキュリティ機能とは見なされません。

手記:

特定の許可されたMACアドレスの設定は、VLANには適用されません。

CLIを使用してVLANのMAC制限を設定するには、次の手順に従います。

VLAN 上の動的 MAC アドレスの数を制限します。

特定の VLAN の MAC 制限を超えた場合、デバイスは制限を超えたパケットの MAC アドレスを記録します。他のアクションは実行できません。

手記:

VLAN に MAC 制限を適用する場合、RVI(ルーテッド VLAN インターフェイス)で構成された VLAN、または LACP を使用して集約されたイーサネット バンドルで構成された VLAN では、 mac-limit を 1 に設定しないでください。このような場合、 mac-limit を 1 に設定すると、デバイスは自動アドレス以外の MAC アドレスを学習できなくなります。

  • RVI の場合、転送データベースに挿入される最初の MAC アドレスは RVI の MAC アドレスです。

  • LACPを使用した集約型イーサネットバンドルの場合、転送テーブルの転送データベースに挿入される最初のMACアドレスはプロトコルパケットの送信元アドレスです。

VLANが通常のアクセスインターフェイスまたはトランクインターフェイスで構成されている場合、必要に応じて mac-limit を1に設定できます。

MX シリーズ ルーターでの MAC 制限の構成

このトピックでは、MXシリーズルーターで受信および転送されるパケットのMACアドレスに制限を設定するさまざまな方法について説明します。

インターフェイスが学習するMACアドレスの数を制限する

ポートを保護するために、インターフェイスが学習できるMACアドレスの最大数を設定できます。

MXシリーズルーターは、 ドロップ アクションのみをサポートしています。アクションが指定されていない場合、ルータは制限を超えた場合にデフォルトのアクション ドロップ を実行します。

インターフェイスに MAC 制限を設定し、指定された制限を超えた後にルーターが実行するアクションを指定します。
デフォルト ルーティング インスタンスの一部であるインターフェイスに MAC 制限を設定する場合:
ルーティング インスタンスの一部であるインターフェイスに MAC 制限を設定する場合:
デフォルト ルーティング インスタンスの一部であるすべてのインターフェイスに MAC 制限を設定する場合:
ルーティング インスタンスの一部であるすべてのインターフェイスに MAC 制限を設定する場合:

インターフェイスに新しい MAC 制限を設定すると、システムはインターフェイスに関連付けられた MAC アドレス転送テーブル内の既存のエントリをクリアします。

ブリッジ ドメインが学習する MAC アドレスの数を制限する

ブリッジ ドメインが学習する MAC アドレスの数を制限するには、次の手順を実行します。

ブリッジ ドメインが学習できる MAC アドレスの最大数を設定し、指定された制限を超えた後にデバイスが実行するアクションを指定します。

ブリッジ ドメイン内のインターフェイスが学習する MAC アドレスの数を制限する

ブリッジ ドメイン内のインターフェイスが学習する MAC アドレスの数を制限するには、次の手順を実行します。

  1. ブリッジ ドメイン内のインターフェイスが学習できる MAC アドレスの最大数を設定し、指定された制限を超えた後にデバイスが実行するアクションを指定します。
  2. ブリッジ ドメイン内の 1 つ または すべてのインターフェイスで学習できる MAC アドレスの最大数を設定し、指定された制限を超えた後にデバイスが実行するアクションを指定します。
    手記:

    ブリッジドメイン内のすべてのインターフェイス ブリッジドメイン内の特定のインターフェイスに対してMAC制限とパケットアクションを指定した場合、特定のインターフェイスレベルで指定されたMAC制限とパケットアクションが優先されます。また、ブリッジ ドメイン インターフェイス レベルでは、 drop オプションのみがサポートされます。

MAC制限を設定する(J-Webの手順)

MAC 制限は、EX シリーズ スイッチ上のイーサネット スイッチング テーブルのフラッディングから保護します。MAC 制限は、単一のレイヤー 2 アクセス インターフェイス(ポート)で学習できる MAC アドレスの数に制限を設定します。

Junos OS では、MAC を制限する方法が 2 つあります。

  • インターフェイスごとに許可されるダイナミックMACアドレスの最大数—制限を超えた場合、新しいMACアドレスを持つ着信パケットは破棄されます。

  • アクセスインターフェイスに特定の「許可された」MACアドレス—設定されたアドレスのリストにないMACアドレスは学習されません。

MAC 制限は、VLAN ごとではなく、インターフェイスごとに設定します。単一のレイヤー2アクセスインターフェイスまたはすべてのレイヤー2アクセスインターフェイスで学習できる動的MACアドレスの最大数を指定できます。この最大数を超えた場合にスイッチが実行するデフォルトのアクションは drop(パケットをドロップし、アラーム、SNMP トラップ、またはシステム ログ エントリを生成する)です。

J-Web インターフェイスを使用する 1 つ以上のインターフェイスで MAC 制限を有効にするには:

  1. 設定>セキュリティ>ポートセキュリティを選択します。
  2. インターフェイスリストから1つ以上のインターフェイスを選択します。
  3. [ 編集 ] ボタンをクリックします。ポート セキュリティを有効にするかどうかを確認するメッセージが表示されたら、[ はい] をクリックします。
  4. ダイナミック MAC 制限を設定するには:
    1. [MAC 制限] ボックスに制限値を入力します。

    2. MAC 制限アクション ボックスからアクションを選択します(オプション)。スイッチは、MAC 制限を超えたときにこのアクションを実行します。アクションを選択しない場合、スイッチはデフォルトのアクションである drop を適用します。

      • [ログ(Log)]:システム ログ エントリを生成します。

      • [ドロップ(Drop)]:パケットをドロップし、システム ログ エントリを生成します。(デフォルト)

      • シャットダウン:VLAN をシャットダウンし、システム ログ エントリを生成します。このオプションの影響を軽減するには、無効状態から自動回復するようにスイッチを構成し、 無効タイムアウト 値を指定します。

      • なし:アクションを実行する必要はありません。

  5. 許可された MAC アドレスを追加するには:
    1. [ 追加] をクリックします。

    2. 許可された MAC アドレスを入力し、[ OK] をクリックします。

    許可された MAC アドレスを追加するには、この手順を繰り返します。

  6. MAC 制限の設定が完了したら、[ OK ] をクリックします。
  7. 構成が正常に配信されたら、[ OK ] をクリックします。
手記:

スイッチのポート セキュリティを有効または無効にするには、[ポート セキュリティ設定(Port Security Configuration)] ページの [ アクティブ化(Activate )] または [非アクティブ化(Activate)] または [非アクティブ化 (Activate)] ボタンをクリックします。VLAN またはインターフェイス(ポート)の設定を編集しようとしたときにセキュリティ ステータスが [無効(Disabled )] と表示される場合は、ポート セキュリティを有効にするかどうかを確認するメッセージが表示されます。