加入者インターフェイスのMACアドレス検証の概要

サポートされている加入者インターフェイスのタイプ

MACアドレスの検証は、次のように静的または動的に作成されたイーサネットインターフェイスとデモックスインターフェイスでサポートされています。

• ルーターが通常の(非拡張)ネットワークサービスモードに設定されている場合、MACアドレスの検証はDPCとMPCの両方でサポートされます。ルーターには、どちらか一方のタイプのラインカードを完全に装着することも、両方のタイプを組み合わせて装着することもできます。通常のネットワークサービスモードがデフォルトです。

• ルーターが拡張IPネットワークサービスモードまたは拡張イーサネットネットワークサービスモードに設定されている場合、MACアドレス検証はMPCでのみサポートされます。ルーターにDPCとMPCの両方がある場合、またはDPCのみがある場合、シャーシを拡張モードに設定することはできません。

MACアドレスの検証は、ルーターが拡張ネットワークサービスモードにある場合のスケーリング向けに最適化されています。拡張ネットワークサービスモードは、マルチキャストやファイアウォールフィルターなどの他の機能に影響を与えるため、拡張モードを設定するかどうかを決定する際には、この点を考慮する必要があります。拡張ネットワークサービスモードの詳細については、「 ネットワークサービスモードの概要」を参照してください。

通常のネットワークサービスモードでは、 show interfaces statistics interface-name コマンドを使用して、検証に失敗してドロップされたパケットのインターフェイスごとのカウントを表示できます。拡張ネットワークサービスモードでは、このコマンドは破棄されたパケットをカウントしません。このデータの収集については、ジュニパーネットワークスカスタマーサポートにお問い合わせください。

信頼できるアドレス

信頼できるアドレスタプルは、32ビット/128ビットのIPアドレスと48ビットのMACアドレスです。プレフィックスと範囲はサポートされていません。

検証に使用する IP 送信元アドレスと MAC 送信元アドレスは、信頼できる送信元からのものである必要があります。

CLIを介して設定されたすべての静的ARPアドレスは、信頼できるアドレスです。動的ARPアドレスは、信頼できるアドレスとは見なされません。

拡張DHCPローカルサーバーまたは拡張DHCPリレーを介して動的に作成されたアドレスも、信頼できるアドレスです。DHCPサーバーとクライアントがIPアドレスをネゴシエートする際、結果として得られるIPアドレスとMACアドレスタプルは信頼されます。各DHCP加入者は、複数のアドレスタプルを生成できます。

各MACアドレスは複数のIPアドレスを持つことができ、これにより複数の有効なタプルが生じることができます。各IPアドレスは、1つのMACアドレスにマッピングする必要があります。

MACアドレス検証のタイプ

MACアドレス検証には、ルーズとストリクトの2つのタイプまたはモードのいずれかを設定できます。2つのモードの動作は、受信パケットが信頼できるアドレスタプルとどの程度一致するかによって異なります。モードは、IP送信元アドレスのみが信頼できるIPアドレスと一致しない場合にのみ異なります。 表1は 、2つのモードの動作を比較したものです。ドロップしたパケットはスプーフィングされたものとみなされます。

厳密モードの設定は、受信した両方の送信元アドレスが信頼できるアドレスと一致する必要があるため、より保守的な戦略です。

動的プロファイルでIP demuxインターフェイスのMACアドレス検証を設定し、ルーズ検証またはストリクト検証を指定すると、結果として生じる動作は常にルーズ検証になります。動的IP demuxインターフェイスで厳密な動作を有効にするには、IP demuxインターフェイスと基盤となるインターフェイスの両方に厳密な検証を設定する必要があります。