Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MAC 제한이 올바르게 작동하는지 검증

MAC 제한은 단일 Layer 2 액세스 인터페이스(포트)에서 학습할 수 있는 MAC 주소 수에 대한 제한을 설정하여 이더넷 스위칭 테이블의 플러딩을 차단합니다.

Junos OS는 포트 보안을 위해 MAC 제한에 두 가지 방법을 제공합니다.

  • 최대 MAC 주소 개수—인터페이스당 허용되는 최대 동적 MAC 주소 수를 구성합니다. 한도가 초과되면 새 MAC 주소가 있는 수신 패킷을 무시, 삭제 또는 로깅할 수 있습니다. 인터페이스를 종료하거나 일시적으로 비활성화할 수도 있습니다.

  • 허용 MAC 주소—액세스 인터페이스에 대해 특정 "허용된" MAC 주소를 구성합니다. 구성된 주소 목록에 없는 MAC 주소는 학습되지 않으며 스위치는 적절한 메시지를 기록합니다. 허용 MAC 방법은 MAC 주소를 VLAN에 연결하여 주소가 VLAN 외부에 등록되지 않도록 합니다. 허용된 MAC 설정이 동적 MAC 설정과 충돌하는 경우 허용된 MAC 설정이 우선합니다.

또한 Junos OS를 사용하면 VLAN에 대한 MAC 제한을 설정할 수 있습니다. 그러나 VLAN에 MAC 제한을 설정하는 것은 포트 보안 기능으로 간주되지 않습니다. 스위치가 MAC 제한을 초과하는 수신 패킷이 포워딩되는 것을 차단하지 못하기 때문입니다. 이들 패킷의 MAC 주소만 기록합니다.

MAC 제한 구성을 확인하려면 다음을 수행합니다.

동적 MAC 주소에 대한 MAC 제한이 올바르게 작동하는지 검증

목적

동적 MAC 주소에 대한 MAC 제한이 스위치에서 작동하는지 확인합니다.

작업

학습한 MAC 주소를 표시합니다. 다음 샘플 출력은 ge-0/0/1상의 호스트에서 2개의 패킷을 전송하고 ge-0/0/2의 호스트에서 5개의 패킷 요청을 전송한 결과를 보여 줍니다. 두 인터페이스 모두 기본 작업 드롭과 함께 MAC 제한 4로 설정됩니다.

의미

샘플 출력은 각 인터페이스에 대해 MAC 한계 가 4 인 경우, ge-0/0/2상의 5번째 MAC 주소에 대한 패킷이 MAC 제한을 초과했기 때문에 삭제됨을 보여줍니다. 주소는 학습되지 않았고, 따라서 샘플 출력의 첫 줄에 있는 MAC 주소 열에 주소가 아닌 별표(*)가 나타납니다.

특정 VLAN 내의 특정 인터페이스에 대한 MAC 제한 기능이 올바르게 작동하는지 검증

목적

특정 VLAN 내의 멤버십을 기반으로 특정 인터페이스에 대한 MAC 제한 기능이 스위치에서 작동하는지 확인합니다.

작업

학습한 MAC 주소에 대한 자세한 통계 표시:

의미

인터페이스 VLAN membership limit ge-0/0/28.0에 대한 VLAN 멤버십 MAC 한도 때문에 삭제된 패킷의 수가 초과되었다는 것을 보여줍니다. 이 경우 20개의 패킷이 삭제되었습니다.

허용된 MAC 주소가 올바르게 작동하는지 검증

목적

허용된 MAC 주소가 스위치에서 작동하는지 확인합니다.

작업

허용 MAC 주소가 인터페이스에 구성된 후에 MAC 주소 캐시 정보를 표시합니다. 다음 샘플은 5개의 허용 MAC 주소가 인터페이스 ge-0/0/2에 있었던 후에 MAC 주소 캐시를 보여줍니다. 이 경우 인터페이스는 기본 작업 드롭과 함께 동적 MAC 제한 4로 설정되었습니다.

의미

이 인터페이스에 대한 MAC 제한 값은 4로 설정되었기 때문에 구성된 5개 중 4개만 허용된 주소를 학습하여 MAC 주소 캐시에 추가했습니다. 다섯 번째 주소가 학습되지 않았기 때문에 샘플 출력의 마지막 줄에 있는 MAC 주소 열에 주소가 아닌 별표(*)가 나타납니다.

MAC 제한을 초과할 때 다양한 작업 설정의 결과 검증

목적

한계를 초과할 때 MAC 제한(드롭, 로그, 종료없음)에 대한 다양한 작업 설정에서 제공되는 결과를 확인합니다.

작업

다양한 작업 설정의 결과를 표시합니다.

참고:

명령을 사용하여 show log messages 로그 메시지를 볼 수 있습니다. 또한 모니터 시작 메시지를 명령어로 monitor start messages 구성하여 로그 메시지를 표시할 수도 있습니다.

  • 드롭 작업— 드롭 액션으로 구성된 MAC 제한과 MAC 제한을 5로 설정한 경우:

  • 로그 작업— 로그 작업으로 구성되고 MAC 제한을 5로 설정한 MAC의 경우:

  • 종료 조치— 종료 작업으로 구성되고 MAC 제한을 3으로 설정한 MAC 제한의 경우:

  • 없음 작업—스위치의 모든 인터페이스에 적용하도록 MAC 제한을 설정한 경우 해당 인터페이스에 대해 이 작업을 지정하여 특정 인터페이스에 대한 설정을 무시할 수 있습니다. 모든 인터페이스에 적용된 MAC 제한 무시를 참조하십시오.

의미

드롭 작업 결과—여섯 번째 MAC 주소가 MAC 제한을 초과했습니다. 해당 주소에 대한 요청 패킷이 삭제되었습니다. ge-0/0/2에서 단 5개의 MAC 주소만이 학습되었습니다.

로그 작업 결과—여섯 번째 MAC 주소가 MAC 제한을 초과했습니다. MAC 주소가 차단되지 않았습니다.

종료 작업 결과—네 번째 MAC 주소가 MAC 제한을 초과했습니다. ge-0/0/2에서 단 3개의 MAC 주소만이 학습되었습니다. 인터페이스 ge-0/0/1이 종료되었습니다.

종료된 인터페이스에 대한 자세한 내용은 명령을 사용합니다 show ethernet-switching interfaces .

참고:

사용 안 되는 타임아웃 값으로 명령문을 지정하여 이러한 유형의 오류 조건에서 자동으로 복구하도록 port-error-disable 스위치를 구성할 수 있습니다. 스위치는 비활성화된 타임아웃이 만료되면 비활성화된 인터페이스를 서비스로 자동 복원합니다. 포트 오류 비활성화 구성은 기존 오류 조건에는 적용되지 않습니다. 포트 오류 비활성화가 활성화되고 커밋된 후에 탐지된 오류 조건만 영향을 줍니다. 기존 오류 상태를 지우고 인터페이스를 서비스로 복원하려면 이 명령을 사용합니다clear ethernet-switching port-error.

인터페이스 종료 확인

목적

MAC 제한을 초과하면 인터페이스가 종료되는지 확인합니다.

작업

MAC 제한을 초과했기 때문에 종료된 인터페이스에 대한 자세한 내용은 명령을 사용합니다 show ethernet-switching interfaces .

참고:

MAC 제한을 초과하면 사용 안 되는 타임아웃 값으로 명령문을 지정하여 인터페이스를 자동으로 복구할 port-error-disable 수 있습니다. 스위치는 비활성화된 타임아웃이 만료되면 비활성화된 인터페이스를 서비스로 자동 복원합니다. 포트 오류 비활성화 구성은 기존의 오류 조건에는 적용되지 않습니다. 명령문이 활성화되고 구성이 커밋된 후에 port-error-disable 탐지된 오류 조건만 영향을 미칩니다. 기존의 오류 상태를 지우고 인터페이스를 서비스로 복원하려면 이 명령을 사용합니다clear ethernet-switching port-error.

이더넷 스위칭 테이블 디스플레이를 커스터마이징하여 특정 인터페이스에 대한 정보 보기

목적

명령을 사용하여 특정 인터페이스에서 show ethernet-switching table 학습한 MAC 주소에 대한 정보를 볼 수 있습니다.

작업

예를 들어 ge-0/0/2 인터페이스에서 학습한 MAC 주소를 표시하려면 다음을 입력합니다.

의미

ge-0/0/2에 대한 MAC 제한 값은 1로 설정되었으며, 출력은 단 하나의 MAC 주소만 학습하여 MAC 주소 캐시에 추가되었다는 것을 보여줍니다. 샘플 출력 첫 줄의 MAC 주소 열에 주소가 아닌 별표(*)가 나타납니다.