Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MAC 제한 및 MAC 이동 제한 이해

MAC 제한은 이더넷 스위칭 테이블의 플러딩을 방지하며 레이어 2 인터페이스(포트)에서 활성화됩니다. MAC 이동 제한은 액세스 인터페이스에서 MAC 이동 및 MAC 스푸핑을 감지합니다. VLAN에서 활성화됩니다.

  • MAC 제한 은 VLAN 내에서 학습할 수 있는 MAC 주소의 수를 제한하여 포트 보안을 강화합니다. MAC 주소 수를 제한하면 이더넷 스위칭 테이블(MAC 포워딩 테이블 또는 레이어 2 포워딩 테이블이라고도 함)의 플러딩으로부터 스위치를 보호할 수 있습니다. 학습된 새 MAC 주소의 수로 인해 이더넷 스위칭 테이블이 오버플로우되고 이전에 학습한 MAC 주소가 테이블에서 플러시될 때 플러딩이 발생합니다. 그런 다음 스위치는 이전에 학습한 MAC 주소를 플러딩하는 것으로 되돌아가며, 이는 성능에 영향을 미치고 보안 취약성을 유발할 수 있습니다.

  • MAC 이동 제한 은 1초 이내에 VLAN에서 허용되는 MAC 주소 이동 수를 제어하여 추가적인 보안을 제공합니다. MAC 주소 이동은 스위치가 스위치에서 이미 학습되었지만 다른 인터페이스에 있는 소스 MAC 주소를 가진 패킷을 수신할 때 발생합니다. 그런 다음 이더넷 스위칭 테이블이 업데이트되어 MAC 주소와 새 인터페이스의 연관성을 반영합니다. MAC 주소 이동마다 이더넷 스위칭 테이블을 업데이트해야 하기 때문에 잦은 이동 이벤트로 인해 스위치의 처리 리소스가 고갈될 수 있습니다. 이는 MAC 스푸핑 공격 또는 네트워크 루프의 결과로 발생할 수 있습니다.

MAC 제한

MAC 제한을 사용하면 MAC 주소 수를 제한하거나 허용되는 MAC 주소를 지정하여 레이어 2 액세스 인터페이스에서 학습할 수 있는 MAC 주소를 제한할 수 있습니다.

  • MAC 주소 수 제한—인터페이스당 동적으로 학습(이더넷 스위칭 테이블에 추가)할 수 있는 최대 MAC 주소 수를 구성합니다. 한도를 초과할 때 새 MAC 주소를 가진 수신 패킷을 무시, 삭제 또는 기록하도록 지정할 수 있습니다. 인터페이스를 종료하거나 일시적으로 비활성화하도록 지정할 수도 있습니다.

    메모:

    정적 MAC 주소는 동적 MAC 주소에 대해 지정한 제한에 포함되지 않습니다.

  • 허용된 MAC 주소 지정 - 인터페이스에 대해 허용된 MAC 주소를 구성합니다. 구성된 주소 목록에 없는 MAC 주소는 학습되지 않으며 스위치는 해당 메시지를 기록합니다. 허용된 MAC 주소는 VLAN에 바인딩되므로 해당 주소는 VLAN 외부에 등록되지 않습니다. 허용된 MAC 설정이 동적 MAC 설정과 충돌하는 경우 허용된 MAC 설정이 우선합니다.

MAC 제한은 레이어 2 인터페이스에서 구성됩니다. VLAN 내 멤버십을 기반으로 단일 인터페이스, 모든 인터페이스 또는 특정 인터페이스에서 학습할 수 있는 동적 MAC 주소의 최대 수를 지정할 수 있습니다(VLAN 멤버십 MAC 제한).

인터페이스에 대한 최대 MAC 제한을 구성할 때 MAC 제한을 초과할 때 수신 패킷에서 발생하는 작업을 선택할 수 있습니다. 제한을 초과할 때 들어오는 패킷을 무시, 삭제 또는 기록하도록 지정할 수 있습니다. 인터페이스를 종료하거나 일시적으로 비활성화하도록 지정할 수도 있습니다.

MAC 제한은 기본적으로 활성화되지 않습니다. ELS를 지원하는 디바이스의 인터페이스에 대한 MAC 제한 구성에 대한 자세한 내용은 MAC 제한(ELS) 구성을 참조하십시오. ELS(Enhanced Layer 2 Software)를 지원하지 않는 디바이스에서 인터페이스에 대한 MAC 제한 구성에 대한 자세한 내용은 MAC 제한(비 ELS) 구성을 참조하십시오.

ELS에 대한 추가 정보는 Enhanced Layer 2 소프트웨어 CLI 사용을 참조하십시오.

MAC 이동 제한

MAC 이동 제한을 사용하면 MAC 주소가 1초 이내에 새 인터페이스로 이동할 수 있는 횟수를 제한할 수 있습니다. MAC 이동 제한이 구성되면 스위치에서 MAC 주소 이동을 추적합니다. MAC 주소가 처음 이동하는 것은 항상 좋은 이동으로 간주되며 구성된 MAC 이동 제한에 포함되지 않습니다. MAC 주소 이동 모니터링은 MAC 이동 제한이 1로 구성된 경우에도 첫 번째 이동 후에 적용됩니다.

VLAN별로 MAC 이동 제한을 구성합니다. VLAN에서 이 기능을 활성화하더라도 MAC 이동 제한은 VLAN의 총 MAC 주소 이동 수가 아닌 각 개별 MAC 주소의 이동 수에 적용됩니다. 예를 들어, MAC 이동 제한이 1로 설정된 경우 스위치는 동일한 MAC 주소가 1초 내에 두 번 이상 이동하지 않는 한 VLAN 내에서 MAC 주소 이동을 무제한으로 허용합니다.

MAC 주소 이동 제한을 초과하는 경우 수행할 작업을 구성할 수 있습니다. 제한을 초과할 때 들어오는 패킷을 무시, 삭제 또는 기록하도록 지정할 수 있습니다. 인터페이스를 종료하거나 일시적으로 비활성화하도록 지정할 수도 있습니다.

MAC 이동 제한은 기본적으로 활성화되지 않습니다. ELS를 지원하지 않는 디바이스에서 MAC 이동 제한을 구성하는 방법에 대한 자세한 내용은 MAC 이동 제한 구성(비 ELS)을 참조하십시오. ELS를 지원하는 디바이스에서 MAC 이동 제한을 구성하는 방법에 대한 자세한 내용은 MAC 이동 제한(ELS) 구성을 참조하십시오.

MAC 제한 및 MAC 이동 제한에 대한 작업

MAC 제한 또는 MAC 이동 제한을 초과할 때 다음 작업 중 하나를 수행하도록 선택할 수 있습니다.

  • drop- 패킷을 삭제하지만 알람을 생성하지는 않습니다.

  • drop-and-log- 패킷을 삭제하고 알람, SNMP 트랩 또는 시스템 로그 항목을 생성합니다.

  • log- 패킷을 삭제하지 않고 알람, SNMP 트랩 또는 시스템 로그 항목을 생성합니다.

  • none- 새 소스 MAC 주소로 패킷을 전달하고 새 소스 MAC 주소를 학습합니다.

  • shutdown- VLAN에서 인터페이스를 비활성화하고 알람, SNMP 트랩 또는 시스템 로그 항목을 생성합니다.

  • vlan-member-shutdown—(EX9200만 해당) EX9200 스위치의 MAC 제한 및 MAC 이동 제한을 위한 Junos OS 릴리스 15.1부터 문은 vlan-member-shutdown 특정 VLAN의 멤버십을 기반으로 인터페이스를 차단하고 알람, SNMP 트랩 또는 시스템 로그 항목을 생성할 수 있습니다.

종료의 경우, 지정된 기간 후에 비활성화된 인터페이스를 자동으로 서비스로 복원하도록 스위치를 구성할 수 있습니다. ELS를 지원하는 디바이스에서 자동 복구를 구성하려면 포트 보안 이벤트에 대한 자동 복구 구성을 참조하십시오. ELS를 지원하지 않는 디바이스에서 자동 복구를 구성하려면 포트 보안 이벤트에 대한 자동 복구 구성을 참조하십시오.

메모:

mac 제한 기능에 대한 시스템 로그 항목을 보려면 심각도를 로그 알림으로 사용하여 시스템 로깅을 구성해야 합니다. 시스템 로깅 개요를 참조하십시오.

메모:

비활성화된 상태에서 자동 복구를 위해 스위치를 구성하지 않으면 다음 명령 중 하나를 실행하여 비활성화된 인터페이스를 불러올 수 있습니다.

메모:

기존 dot1x 세션 사용:

  • MAC 제한을 처음 설정하면 기존 dot1x 세션이 지워지고 포트가 연결 상태로 이동합니다.

  • MAC 제한을 늘리면 세션이 지워지지 않고 포트가 인증 상태로 유지됩니다.

  • MAC 제한을 줄이거나 switch-options 구성을 삭제하면 기존 dot1x 세션이 지워지고 포트가 연결 상태로 이동합니다.

요약하자면, 구성된 인터페이스 MAC 제한이 학습된 MAC 수보다 낮으면 MAC 플러시가 발생합니다. 구성된 인터페이스 MAC 제한이 학습된 MAC 수보다 크면 영향이 없습니다

메모:

잘못된 구성을 방지하기 위해 커밋 검사가 도입되었습니다. L2에 대해 구성된 인터페이스만 이러한 계층 구조에서 구성할 수 있습니다.

  • set routing-instances<routing-instance-name> vlans <vlans-name> switch-options interface <interface-name>

  • 라우팅 인스턴스 설정<routing-instance-name> bridge-domains <bridge-domain-name> bridge-options interface <interface-name>

  • set vlans <vlans-name> switch-options interface <interface-name>

  • bridge-domains <bridge-domain-name> bridge-options interface <interface-name> 설정

  • set vlans <vlans-name> switch-options mac-move-limit interface <interface-name>

변경 내역 테이블

기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

석방
묘사
15.1
EX9200 스위치 vlan-member-shutdown 의 MAC 제한 및 MAC 이동 제한을 위한 Junos OS 릴리스 15.1부터 문은 특정 VLAN의 멤버십을 기반으로 인터페이스를 차단하고 알람, SNMP 트랩 또는 시스템 로그 항목을 생성할 수 있습니다.