永続的 MAC 学習の理解と使用
永続的 MAC 学習(スティッキー MAC)について
永続的 MAC 学習は、スティッキー MAC とも呼ばれ、スイッチが再起動されたとき、またはインターフェイスがダウンしてオンラインに戻った場合に、インターフェイスが動的に学習された MAC アドレスを保持できるようにするポート セキュリティ機能です。
永続的 MAC アドレス学習は、デフォルトでは無効になっています。永続的 MAC アドレス学習を MAC 制限と組み合わせて有効にし、永続的 MAC アドレスの数を制限できます。インターフェイスでこの機能を有効にします。
インターフェイス上で永続的 MAC 学習を設定して、以下を行います。
再起動後にインターフェイスがイングレストラフィックからアドレスを再学習する必要がないため、信頼できるワークステーションやサーバーのトラフィック損失を防止します。
スイッチをセキュリティ攻撃から守ります。永続的なMAC学習とMAC制限を組み合わせて使用し、許可されるMACアドレスを制限しながら、指定された数のMACアドレスをインターフェイスが動的に学習できるようにすることで、レイヤー2サービス拒否(DoS)攻撃、イーサネットスイッチングテーブルへのオーバーフロー攻撃、DHCPスターベーション攻撃などの攻撃から保護します。制限に達すると、追加のデバイスがポートに接続できないため、インターフェイスは保護されます。
永続的 MAC 学習と MAC 制限を設定することで、インターフェイスをネットワークに接続してから MAC アドレスの制限に達するまで、インターフェイスが信頼できるワークステーションとサーバーの MAC アドレスを学習できるようにし、この制限に達すると、スイッチが再起動しても新しいデバイスがインターフェイスに接続できないようにします。MAC 制限による永続的 MAC 学習を使用する代わりに、各ポートの各 MAC アドレスを静的に設定するか、再起動またはインターフェイス ダウン イベント後にポートが新しい MAC アドレスを継続的に学習できるようにすることができます。ポートにMACアドレスを継続的に学習させることは、セキュリティ上のリスクとなります。
-
スイッチが再起動中、またはインターフェイスが復旧している間、インターフェイスがより多くのMACアドレスを学習できるようになるまでに少しの遅延が発生する場合があります。この遅延は、システムが以前に学習した永続MACアドレスをインターフェイスの転送データベースに再入力するときに発生します。
-
Junos OS リリース 22.4R1 以降では、トランク(VLAN タグ付き)インターフェイスとアクセス インターフェイスの両方で永続的 MAC 学習を有効にできます。
永続的 MAC 学習を設定する際には、次の設定ガイドラインを考慮してください。
802.1x認証が設定されているインターフェイスでは、永続的MAC学習を有効にすることはできません。
冗長トランク グループの一部であるインターフェイスでは、永続的 MAC 学習を有効にできません。
no-mac-learningが有効になっているインターフェイスでは、永続的MAC学習を有効にすることはできません。
スイッチに永続的 MAC アドレス エントリーがあるデバイスをネットワーク内で移動した場合、 clear ethernet-switching table persistent-learning <interface | mac-address>
コマンドを使用して、永続 MAC アドレス エントリーをインターフェイスからクリアします。デバイスを移動し、学習された元のポートから永続的MACアドレスをクリアしない場合、新しいポートはデバイスのMACアドレスを学習せず、デバイスは接続できません。デバイスを移動したときに元のポートがダウンしている場合、新しいポートがMACアドレスを学習し、デバイスを接続できます。ただし、元のポートで永続 MAC アドレスをクリアしない場合、ポートが再起動すると、システムはそのポートの転送テーブルに永続 MAC アドレスを再インストールします。この場合、永続的 MAC アドレスは新しいポートから削除され、デバイスは接続を失います。
永続的 MAC 学習(ELS)の設定
このセクションでは、ELS(拡張レイヤー 2 ソフトウェア)をサポートする Junos OS の使用について説明します。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
インターフェイスで永続的 MAC 学習を設定し、許可される MAC アドレスの数を制限するには:
actionの値は次のとおりです。
drop |
新しい送信元MACアドレスを持つパケットをドロップし、新しい送信元MACアドレスを学習しません。 |
drop-and-log |
(EXシリーズスイッチのみ)新しい送信元MACアドレスを持つパケットをドロップし、アラーム、SNMPトラップ、またはシステムログエントリを生成します。 |
log |
(EXシリーズスイッチのみ)新しい送信元MACアドレスを持つパケットを保持し、アラーム、SNMPトラップ、またはシステムログエントリを生成します。 |
none |
(EXシリーズスイッチのみ)新しい送信元MACアドレスを持つパケットを転送し、新しい送信元MACアドレスを学習します。 |
shutdown |
(EXシリーズスイッチのみ)指定されたインターフェイスを無効にし、アラーム、SNMPトラップ、またはシステムログエントリを生成します。 |
スイッチに永続的 MAC アドレス エントリーがあるデバイスをネットワーク内で移動した場合、 clear ethernet-switching table
コマンドを使用して、永続的 MAC アドレス エントリーをインターフェイスからクリアします。デバイスを移動し、学習された元のポートから永続的MACアドレスをクリアしない場合、新しいポートはデバイスのMACアドレスを学習せず、デバイスは接続できません。
デバイスを移動したときに元のポートがダウンしている場合、新しいポートがMACアドレスを学習し、デバイスを接続できます。ただし、元のポートで永続 MAC アドレスをクリアしない場合、ポートが再起動すると、システムはそのポートの転送テーブルに永続 MAC アドレスを再インストールします。この場合、永続的 MAC アドレスは新しいポートから削除され、デバイスは接続を失います。
永続的 MAC 学習の設定(非 ELS)
永続的 MAC アドレス学習は、スティッキー MAC とも呼ばれ、デフォルトでは無効になっています。これを有効にすると、動的に学習されたMACアドレスがスイッチを再起動した後もインターフェイス上に保持できるようになります。
このセクションでは、ELS(拡張レイヤー 2 ソフトウェア)をサポートしていない状態で Junos OS を使用する方法について説明します。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
永続的 MAC アドレス学習を使用して、次のことを行います。
再起動後にインターフェイスがイングレストラフィックからアドレスを再学習する必要がないため、信頼できるワークステーションやサーバーのトラフィック損失を防ぐのに役立ちます。
スイッチをセキュリティ攻撃から保護—永続的なMAC学習とMAC制限を組み合わせて使用することで、MACアドレスを静的に設定する必要性を回避しながら、攻撃から保護します。MAC制限で指定された数までのMACアドレスの初期学習が完了すると、再起動後も新しいアドレスは許可されません。制限に達すると、追加のデバイスがインターフェイスに接続できないため、ポートは保護されます。
接続後にトラフィックを送信する最初のデバイスは、最初の接続期間中に学習されます。MACアドレスを監視し、各インターフェイスで各MACアドレスを静的に設定した場合と同じレベルのセキュリティを提供できますが、手作業が少なくて済みます。永続的なMAC学習は、インターフェイスがイングレストラフィックからアドレスを再学習する必要がないため、信頼できるワークステーションやサーバーのトラフィック喪失を防ぐのにも役立ちます。
インターフェイスで永続的 MAC 学習を設定し、許可される MAC アドレスの数を制限するには:
永続的 MAC 学習が正しく動作していることの検証
目的
永続的 MAC 学習(スティッキー MAC)がインターフェイスで動作していることを確認します。永続的 MAC 学習により、動的に学習された MAC アドレスを、スイッチの再起動後も(またはインターフェイスがダウンした場合に)インターフェイス上で保持することができます。
アクション
学習されたMACアドレスを表示します。以下の出力例は、永続的な MAC 学習がインターフェイス ge-0/0/42 で有効になっている場合の結果を示しています。
show ethernet-switching table persistent-mac
user@switch> show ethernet-switching table Ethernet-switching table: 8 entries, 2 learned, 5 persistent entries VLAN MAC address Type Age Interfaces default * Flood - All-members default 00:10:94:00:00:02 Persistent 0 ge-0/0/42.0 default 00:10:94:00:00:03 Persistent 0 ge-0/0/42.0 default 00:10:94:00:00:04 Persistent 0 ge-0/0/42.0 default 00:10:94:00:00:05 Persistent 0 ge-0/0/42.0 default 00:10:94:00:00:06 Persistent 0 ge-0/0/42.0 default 00:21:59:c8:0c:50 Learn 0 ae0.0 default 02:21:59:c8:0c:44 Learn 0 ae0.0
意味
サンプル出力では、学習したMACアドレスが永続的なエントリーとしてイーサネットスイッチングテーブルに保存されていることを示しています。スイッチが再起動されたり、インターフェイスがダウンしてから復帰したりすると、これらのアドレスはテーブルに復元されます。