Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

MAC 제한 및 MAC Move 제한 이해

MAC 제한은 이더넷 스위칭 테이블의 플러딩을 방지하며 레이어 2 인터페이스(포트)에서 활성화됩니다. MAC 이동 제한은 액세스 인터페이스에서 MAC 이동 및 MAC 스푸핑을 감지합니다. VLAN에서 활성화됩니다.

  • MAC 제한 은 VLAN 내에서 학습할 수 있는 MAC 주소의 수를 제한하여 포트 보안을 강화합니다. MAC 주소 수를 제한하면 이더넷 스위칭 테이블(MAC 포워딩 테이블 또는 레이어 2 포워딩 테이블이라고도 함)의 플러딩으로부터 스위치를 보호할 수 있습니다. 플러딩은 학습된 새로운 MAC 주소의 수로 인해 이더넷 스위칭 테이블이 오버플로우되고 이전에 학습한 MAC 주소가 테이블에서 플러시될 때 발생합니다. 그런 다음 스위치는 이전에 학습한 MAC 주소를 다시 플러딩하여 성능에 영향을 미치고 보안 취약성을 도입할 수 있습니다.

  • MAC 이동 제한 은 1초 이내에 VLAN에서 허용되는 MAC 주소 이동 수를 제어하여 추가적인 보안을 제공합니다. MAC 주소 이동은 스위치가 이미 학습했지만 다른 인터페이스에 있는 소스 MAC 주소의 패킷을 수신할 때 발생합니다. 그런 다음 이더넷 스위칭 테이블이 업데이트되어 MAC 주소와 새 인터페이스의 연결을 반영합니다. MAC 주소 이동마다 이더넷 스위칭 테이블을 업데이트해야 하므로 잦은 이동 이벤트로 인해 스위치의 처리 리소스가 고갈될 수 있습니다. 이는 MAC 스푸핑 공격 또는 네트워크의 루프로 인해 발생할 수 있습니다.

MAC 제한

MAC 제한을 사용하면 MAC 주소의 수를 제한하거나 허용된 MAC 주소를 지정하여 레이어 2 액세스 인터페이스에서 학습할 수 있는 MAC 주소를 제한할 수 있습니다.

  • MAC 주소 수 제한 - 인터페이스당 동적으로 학습(이더넷 스위칭 테이블에 추가)할 수 있는 최대 MAC 주소 수를 구성합니다. 제한을 초과할 때 새 MAC 주소를 가진 수신 패킷이 무시되거나, 삭제되거나, 기록되도록 지정할 수 있습니다. 인터페이스를 종료하거나 일시적으로 비활성화하도록 지정할 수도 있습니다.

    메모:

    정적 MAC 주소는 동적 MAC 주소에 대해 지정한 제한에 포함되지 않습니다.

  • 허용되는 MAC 주소 지정 - 인터페이스에 대해 허용되는 MAC 주소를 구성합니다. 구성된 주소 목록에 없는 MAC 주소는 학습되지 않으며 스위치가 해당 메시지를 기록합니다. 허용된 MAC 주소는 VLAN에 바인딩되므로 해당 주소는 VLAN 외부에 등록되지 않습니다. 허용된 MAC 설정이 동적 MAC 설정과 충돌하는 경우 허용된 MAC 설정이 우선합니다.

MAC 제한은 레이어 2 인터페이스에서 구성됩니다. VLAN 내의 멤버십을 기반으로 단일 인터페이스, 모든 인터페이스 또는 특정 인터페이스에서 학습할 수 있는 동적 MAC 주소의 최대 수를 지정할 수 있습니다(VLAN 멤버십 MAC 제한).

인터페이스에 대한 최대 MAC 제한을 구성할 때 MAC 제한을 초과할 때 수신 패킷에 발생하는 작업을 선택할 수 있습니다. 제한을 초과할 때 수신 패킷이 무시되거나, 삭제되거나, 기록되도록 지정할 수 있습니다. 인터페이스를 종료하거나 일시적으로 비활성화하도록 지정할 수도 있습니다.

MAC 제한은 기본적으로 활성화되지 않습니다. 구성된 값은 교체되거나 지워질 때까지 활성 상태로 유지되며 디바이스를 재부팅해도 유지됩니다. ELS를 지원하는 디바이스의 인터페이스에 대한 MAC 제한 구성에 대한 자세한 내용은 MAC 제한(ELS) 구성을 참조하십시오. ELS(향상된 레이어 2 소프트웨어)를 지원하지 않는 디바이스의 인터페이스에 대한 MAC 제한 구성에 대한 자세한 내용은 MAC 제한(비 ELS) 구성을 참조하십시오.

ELS에 대한 추가 정보는 Enhanced Layer 2 Software CLI 사용을 참조하십시오.

MAC 이동 제한

MAC 이동 제한을 사용하면 MAC 주소가 1초 이내에 새 인터페이스로 이동할 수 있는 횟수를 제한합니다. MAC 이동 제한이 구성되면 스위치가 MAC 주소 이동을 추적합니다. MAC 주소가 처음 이동하는 것은 항상 양호한 이동으로 간주되며 구성된 MAC 이동 제한에 포함되지 않습니다. MAC 주소 이동 모니터링은 MAC 이동 제한이 1로 구성된 경우에도 첫 번째 이동 후에 적용됩니다.

VLAN별로 MAC 이동 제한을 구성합니다. VLAN에서 이 기능을 활성화하더라도 MAC 이동 제한은 VLAN의 총 MAC 주소 이동 수가 아니라 각 개별 MAC 주소의 이동 수에 적용됩니다. 예를 들어, MAC 이동 제한이 1로 설정된 경우 스위치는 동일한 MAC 주소가 1초 이내에 두 번 이상 이동하지 않는 한 VLAN 내에서 MAC 주소 이동을 무제한으로 허용합니다.

MAC 주소 이동 제한을 초과할 경우 수행할 작업을 구성할 수 있습니다. 제한을 초과할 때 수신 패킷이 무시되거나, 삭제되거나, 기록되도록 지정할 수 있습니다. 인터페이스를 종료하거나 일시적으로 비활성화하도록 지정할 수도 있습니다.

MAC 이동 제한은 기본적으로 활성화되지 않습니다. ELS를 지원하지 않는 디바이스에서 MAC 이동 제한을 구성하는 방법에 대한 자세한 내용은 MAC 이동 제한 구성(비 ELS)을 참조하십시오. ELS를 지원하는 디바이스에서 MAC 이동 제한을 구성하는 방법에 대한 자세한 내용은 MAC 이동 제한(ELS) 구성을 참조하십시오.

MAC 제한 및 MAC 이동 제한에 대한 작업

MAC 제한 또는 MAC 이동 제한을 초과할 때 다음 작업 중 하나가 수행되도록 선택할 수 있습니다.

  • drop- 패킷을 삭제하되 알람을 생성하지 않습니다.

  • drop-and-log- 패킷을 드롭하고 알람, SNMP 트랩 또는 시스템 로그 항목을 생성합니다.

  • log- 패킷을 드롭하지 말고 알람, SNMP 트랩 또는 시스템 로그 항목을 생성합니다.

  • none- 새 소스 MAC 주소로 패킷을 포워딩하고 새 소스 MAC 주소에 대해 알아봅니다.

  • shutdown- VLAN에서 인터페이스를 비활성화하고 알람, SNMP 트랩 또는 시스템 로그 항목을 생성합니다.

  • vlan-member-shutdown—(EX9200만 해당) EX9200 스위치 vlan-member-shutdown 의 MAC 제한 및 MAC 이동 제한에 대한 Junos OS 릴리스 15.1부터 문이 지원되어 특정 VLAN에서의 멤버십을 기반으로 인터페이스를 차단하고 알람, SNMP 트랩 또는 시스템 로그 항목을 생성합니다.

종료된 경우 지정된 기간이 지난 후 비활성화된 인터페이스를 자동으로 서비스로 복원하도록 스위치를 구성할 수 있습니다. ELS를 지원하는 디바이스에서 자동 복구를 구성하려면 포트 보안 이벤트에 대한 자동 복구 구성을 참조하십시오. ELS를 지원하지 않는 디바이스에서 자동 복구를 구성하려면 포트 보안 이벤트에 대한 자동 복구 구성을 참조하십시오.

메모:

mac 제한 기능에 대한 시스템 로그 항목을 보려면 심각도를 로그 알림으로 사용하여 시스템 로깅을 구성해야 합니다. 시스템 로깅 개요를 참조하십시오.
메모:

비활성화된 상태에서 자동 복구되도록 스위치를 구성하지 않은 경우 다음 명령 중 하나를 실행하여 비활성화된 인터페이스를 불러올 수 있습니다.

메모:

기존 dot1x 세션의 경우:

  • MAC 제한을 처음 설정하면 기존 dot1x 세션이 지워지고 포트가 연결 중 상태로 이동합니다.

  • MAC 제한을 늘리면 세션이 지워지지 않고 포트가 인증됨 상태로 유지됩니다.

  • MAC 제한을 줄이거나 switch-options 구성을 삭제하면 기존 dot1x 세션이 지워지고 포트가 연결 중 상태로 이동합니다.

요약하자면, 구성된 인터페이스 MAC 제한이 학습된 MAC 수보다 낮을 때 MAC 플러시가 발생합니다. 구성된 인터페이스 MAC 제한이 학습한 MAC 수보다 크면 영향이 없습니다
메모:

잘못된 구성을 방지하기 위해 커밋 검사가 도입되었습니다. L2에 대해 구성된 인터페이스만 이러한 계층에서 구성할 수 있습니다.

  • set routing-instances<routing-instance-name> vlans<vlans-name> switch-options interface<interface-name>

  • set routing-instances<routing-instance-name> bridge-domains<bridge-domain-name> bridge-options interface<interface-name>

  • vlans <vlans-name> switch-options interface <interface-name> 설정

  • 브리지 도메인 설정<브리지 도메인 이름> 브리지 옵션 인터페이스<인터페이스 이름>

  • vlans <vlans-name> switch-options mac-move-limit interface <interface-name> 설정

관련 설명서

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

석방
묘사
15.1
EX9200 스위치 vlan-member-shutdown 의 MAC 제한 및 MAC 이동 제한에 대한 Junos OS 릴리스 15.1부터 문이 지원되어 특정 VLAN에서의 멤버십을 기반으로 인터페이스를 차단하고 알람, SNMP 트랩 또는 시스템 로그 항목을 생성합니다.