이더넷 인터페이스의 MAC 주소 필터링 및 어카운팅
특정 MAC 주소에서 들어오는 모든 패킷을 차단하려면 MAC 주소 필터링을 사용하도록 설정할 수 있습니다. 소스 또는 대상 MAC 주소를 동적으로 학습하도록 이더넷 인터페이스를 구성할 수 있습니다. 이 주제에서는 MAC 주소 필터링을 사용하도록 설정하는 방법과 MAC 주소 계정을 구성하는 방법에 대해 설명합니다.
이더넷 인터페이스를 위한 MAC 주소 필터링 구성
소스 주소 필터링 활성화
통합 이더넷 인터페이스, 고속 이더넷, 기가비트 이더넷, 기가비트 이더넷 IQ 및 SFP가 있는 기가비트 이더넷 PIC(M7i 라우터의 10포트 기가비트 이더넷 PIC 및 내장 기가비트 이더넷 포트 제외)에서 소스 주소 필터링을 활성화하여 특정 MAC 주소에서 들어오는 모든 패킷을 차단할 수 있습니다.
필터링을 활성화하려면 다음 계층 수준에서 문을 포함합니다 .source-filtering
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]주:독립형 T640 라우터를 라우팅 매트릭스에 통합하면 통합된 T640 라우터에 대한 PIC 미디어 액세스 제어(MAC) 주소는 TX Matrix 라우터가 유지 관리하는 MAC 주소 풀에서 파생됩니다. 이전에 독립형이었던 T640 라우터의 구성에서 지정하는 각 MAC 주소에 대해 TX Matrix 라우터의 구성에서 동일한 MAC 주소를 지정하셔야 합니다.
마찬가지로, T1600 또는 T4000 라우터를 라우팅 매트릭스에 통합할 때, 통합된 T1600 또는 T4000 라우터의 PIC MAC 주소는 TX Matrix Plus 라우터가 유지 관리하는 MAC 주소 풀에서 파생됩니다. 이전에 독립형이었던 T1600 또는 T4000 라우터의 구성에서 지정하는 각 MAC 주소에 대해 TX Matrix Plus 라우터의 구성에서 동일한 MAC 주소를 지정해야 합니다.
소스 주소 필터링이 활성화되면 특정 MAC 주소에서 패킷을 수신하도록 인터페이스를 구성할 수 있습니다. 이를 위해 명령문의 MAC 주소를 다음 계층 수준으로 지정합니다.source-address-filter mac-address
[edit interfaces interface-name aggregated-ether-options][edit interfaces interface-name fastether-options][edit interfaces interface-name gigether-options]
MAC 주소를 또는 로 지정할 수 있습니다. 여기서 은(는) 16진수입니다.nn:nn:nn:nn:nn:nnnnnn .nnnn.nnnnn 최대 64개의 소스 주소를 구성할 수 있습니다. 주소를 두 개 이상 지정하려면 명령문을 여러 번 포함합니다 .source-address-filter
명령 문은 SFP가 있는 기가비트 이더넷 IQ 및 기가비트 이더넷 PIC(M7i 라우터의 10포트 기가비트 이더넷 PIC 및 내장 기가비트 이더넷 포트 제외)에서 지원되지 않습니다. 대신 명령문을 포함합니다 .source-address-filteraccept-source-mac 자세한 정보는 기가비트 이더넷 폴리서 구성을 참조하십시오.기가비트 이더넷 폴리서 구성
원격 이더넷 카드가 변경되면 MAC 주소가 다르기 때문에 인터페이스가 새 카드에서 패킷을 수신할 수 없습니다.
LACP(Link Aggregation Control Protocol)가 활성화된 경우 소스 주소 필터링이 작동하지 않습니다. 이 동작은 T 시리즈 라우터 및 PTX 시리즈 패킷 전송 라우터에는 적용되지 않습니다. LACP에 대한 자세한 내용은 어그리게이션 이더넷 인터페이스를 참조하십시오.어그리게이션 이더넷 인터페이스
태그가 지정되지 않은 기가비트 이더넷 인터페이스에서는 계층 수준에서 명령문을 구성하고 계층 수준에서 명령문을 동시에 구성 해서는 안 됩니다.source-address-filter[edit interfaces ge-fpc/pic/port gigether-options]accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] 이러한 명령문이 동일한 인터페이스에 대해 동시에 구성되면 오류 메시지가 표시됩니다.
태그가 지정된 기가비트 이더넷 인터페이스에서는 [edit interfaces hierarchy 수준에서 명령문을 구성하고 두 필터에 동일한 MAC 주소가 지정된 계층 수준에서 명령문을 구성해서는 안 됩니다.source-address-filter[edit interfaces ge-fpc/pic/port gigether-options]accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] 동일한 MAC 주소가 지정된 동일한 인터페이스에 대해 이러한 명령문을 구성하면 오류 메시지가 표시됩니다.
명령문은 MPC4E가 있는 MX 시리즈 라우터에서 지원되지 않습니다(모델 번호:source-address-filter MPC4E-3D-32XGE-SFPP 및 MPC4E-3D-2CGE-8XGE); 대신 문을 포함합니다 .accept-source-mac 자세한 정보는 기가비트 이더넷 폴리서 구성을 참조하십시오.기가비트 이더넷 폴리서 구성
PTX 시리즈 패킷 전송 라우터에서 MAC 주소 필터링 구성
이 주제는 PTX 시리즈 패킷 전송 라우터에서 MAC 필터링을 구성하는 방법을 설명합니다. MAC 필터링을 사용하면 이더넷 인터페이스가 패킷을 수신할 수 있는 MAC 주소를 지정할 수 있습니다.
PTX 시리즈 패킷 전송 라우터의 MAC 필터링 지원은 다음과 같습니다.
각 포트에 대한 MAC 소스 및 대상 주소 필터링.
각 물리적 인터페이스에 대한 MAC 소스 주소 필터링.
각 논리적 인터페이스에 대한 MAC 소스 주소 필터링.
논리적 인터페이스와 물리적 인터페이스를 필터링할 때 포트당 최대 1,000개의 MAC 소스 주소를 지정할 수 있습니다.
물리적 인터페이스에 대한 MAC 소스 주소 필터링을 구성하려면 계층 수준에서 및 명령문을 포함합니다.source-filteringsource-address-filter[edit interfaces et-fpc/pic/port gigether-options]
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
source-address-filter {
mac-address;
}
}
}
명령문은 필터링되는 MAC 소스 주소를 구성합니다.source-address-filter 지정된 물리적 인터페이스는 지정한 MAC 소스 주소에서 모든 패킷을 삭제합니다. MAC 주소를 10진수로 지정할 수 있습니다.nn:nn:nn:nn:nn:nnn 주소를 두 개 이상 지정하려면 문에 여러 옵션을 포함합니다.mac-addresssource-address-filter
논리적 인터페이스에 대한 MAC 소스 주소 필터링을 구성하려면 계층 수준에서 명령문을 포함합니다.accept-source-mac[edit interfaces et-fpc/pic/port unit logical-unit-number]
[edit interfaces]
et-x/y/z {
gigether-options {
source-filtering;
}
unit logical-unit-number {
accept-source-mac {
mac-address mac-address;
}
}
}
명령문은 논리적 인터페이스에서 허용되는 MAC 소스 주소를 구성합니다.accept-source-mac MAC 주소를 10진수로 지정할 수 있습니다.nn:nn:nn:nn:nn:nnn 주소를 두 개 이상 지정하려면 문에 여러 옵션을 포함합니다.mac-address mac-addressaccept-source-mac
인터페이스 필터가 구성되면 MAC 주소 필터와 연결된 계정 항목이 있습니다. MAC 소스 주소가 일치하는 패킷이 있는 경우 카운터가 누적됩니다. Junos OS CLI 명령을 사용하여 주소 수를 확인할 수 있습니다.show interfaces mac-database
참조
MAC 주소 계정 구성
SFP가 있는 기가비트 이더넷 IQ 및 기가비트 이더넷 PIC(M7i 라우터의 10포트 기가비트 이더넷 PIC 및 내장 기가비트 이더넷 포트 제외), MX 시리즈 라우터의 기가비트 이더넷 DPC, CFP가 포함된 100기가비트 이더넷 Type 5 PIC, MPC3E, MPC4E, MPC5E, MPC5EQ 및 MPC6E MPC의 경우 소스 및 대상 MAC 주소가 동적으로 학습되는지 여부를 구성할 수 있습니다.
개별 이더넷 인터페이스에서 MAC 주소 어카운팅을 구성하려면, 계층 수준에서 명령문을 포함합니다.mac-learn-enable[edit interfaces interface-name gigether-options ethernet-switch-profile]
[edit interfaces interface-name gigether-options ethernet-switch-profile] mac-learn-enable;
통합 이더넷 인터페이스에서 MAC 주소 어카운팅을 구성하려면 계층 수준에서 명령문을 포함합니다.mac-learn-enable[edit interfaces aex aggregated-ether-options ethernet-switch-profile]
[edit interfaces aex aggregated-ether-options ethernet-switch-profile] mac-learn-enable;
인터페이스가 소스 및 대상 MAC 주소를 동적으로 학습하는 것을 금지하려면 문을 포함하지 마십시오.mac-learn-enable
구성 후 소스 및 대상 MAC 주소의 동적 학습을 비활성화하려면 구성에서 삭제 해야 합니다.mac-learn-enable
MPC는 인터페이스가 MAC 소스에서 트래픽을 수신한 후에만 개별 인터페이스 또는 통합 이더넷 인터페이스 멤버 링크에 대한 MAC 주소 어카운팅을 지원합니다. 트래픽이 인터페이스에서만 나가는 경우 MAC 주소가 학습되지 않고 MAC 주소 어카운팅이 발생하지 않습니다.