레이어 3 라우팅 인터페이스의 MAC 제한 이해
개요
MAC 제한 기능은 레이어 3 라우팅 기가비트 이더넷(GE), 고속 이더넷(FE) 또는 10기가비트 이더넷(XE) 인터페이스에 연결된 디바이스에서 MAC 주소를 제한하는 메커니즘을 제공합니다. MAC 필터를 사용하면 특정 소스 MAC의 트래픽을 허용할 수 있습니다. 소프트웨어 기반 MAC 제한이 지원됩니다. MAC 제한은 일반 이더넷 또는 VLAN 태그 캡슐화가 있는 인터페이스에만 적용됩니다.
물리적 인터페이스 수준과 논리적 인터페이스 수준 accept-source-mac
source-address-filter
구성은 모두 SRX100, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340 및 SRX650 디바이스에서 지원됩니다. (플랫폼 지원은 설치 시 Junos OS 릴리스에 따라 다릅니다.) 및 accept-source-mac
문을 구성할 source-address-filter
때 다음 사항을 고려합니다.
논리적 수준
accept-source-mac
명령문만 구성된 경우, 구성된 MAC 주소로부터의 트래픽만 논리적 인터페이스에서 허용됩니다.물리적 인터페이스 수준
source-address-filter
명령문만 구성된 경우, 물리적 인터페이스의 허용 된 MAC 주소도 물리적 인터페이스에 속한 모든 논리적 인터페이스에 대해 허용 된 주소로 간주됩니다. 다른 소스 MAC 주소에서 들어오는 패킷은 삭제됩니다.물리적 인터페이스 수준이
source-address-filter
(또는fastether-options
) 아래에gigether-options
구성되고accept-source-mac
하나 이상의 논리적 인터페이스 또는 VLAN에 대해 구성된 경우, 허용되는 주소 목록은 두 문에 모두 지정된 MAC 주소의 조합입니다. 명령문이 구성되지 않은 논리적 인터페이스 및 VLANaccept-source-mac
의 경우, 물리적 인터페이스의 허용된 주소 목록이 고려됩니다.
특정 MAC 주소에서 패킷을 수신하도록 인터페이스를 구성할 수 있습니다. 이렇게 하려면 또는 accept-source-mac
문에 source-address-filter
MAC 주소를 지정합니다.
Logical level MAC filter configuration on an untagged interface
ge-0/0/10 { unit 0 { accept-source-mac { mac-address 00:22:33:44:55:66; mac-address 00:26:88:e9:a3:01; } family inet { address 60.60.60.1/24; } } }
Physical level MAC filter configuration on an untagged interface
ge-0/0/10 { gigether-options { source-address-filter { 00:55:55:55:55:66; 00:26:88:e9:a3:01; } } unit 0 { family inet { address 60.60.60.1/24; } } }
Physical and logical level MAC filter configurations on a tagged interface
ge-0/0/10 { vlan-tagging; gigether-options { source-address-filter { 00:26:88:e9:a3:01; } } unit 0 { vlan-id 40; accept-source-mac { mac-address 00:22:33:44:55:66; } family inet { address 40.40.40.1/24; } } unit 1 { vlan-id 60; accept-source-mac { mac-address 00:55:55:55:55:66; } family inet { address 60.60.60.1/24; } } }
태그가 지정되지 않은 기가비트 이더넷 인터페이스에서는 와 accept-source-mac
문을 동시에 구성 source-address-filter
해서는 안 됩니다. 이러한 명령문이 동일한 인터페이스에 대해 동시에 구성되면 오류 메시지가 나타납니다. 그러나 태그가 지정된 VLAN의 경우 동일한 MAC 주소가 지정되지 않은 경우 이 두 문을 동시에 구성할 수 있습니다.
제한
레이어 3 라우팅 GE, AE, FE 또는 XE 인터페이스의 MAC 제한 지원에는 다음과 같은 제한이 적용됩니다.
디바이스당 32개의 MAC 주소만 구성할 수 있습니다(논리 인터페이스당 64개 주소로 제한되는 통합 이더넷 인터페이스 제외).
소프트웨어 기반 MAC 필터링만 지원됩니다. 소프트웨어 기반 MAC 필터링이 성능에 영향을 미칩니다. 성능에 미치는 영향은 구성된 MAC 주소의 수에 비례합니다.
MAC 기반 폴리서 또는 속도 제한은 지원되지 않습니다.
문에서
source-address-filter
브로드캐스트 또는 멀티캐스트 주소를 구성할 수 없습니다.MAC 필터링은 통합 이더넷(AE) 인터페이스에서 지원되지 않습니다(일부 플랫폼에서 지원됨, 플랫폼별 내용은 기능 탐색기 참조). 또는 패브릭 이더넷, PPPoE(Point-to-Point Protocol over Ethernet), RVI(Routed VLAN Interface) 또는 VLAN 인터페이스에서 사용할 수 있습니다.
MAC 필터링은 섀시 클러스터에서 지원되지 않습니다.
AE 인터페이스에서 MAC 필터링을 구성하는 경우, (
accept-source-mac
즉, )source-address-filter
및 로family ethernet-switching
인터페이스를 구성해야 합니다.