MAC 제한이 올바르게 작동하는지 확인
MAC 제한은 단일 레이어 2 액세스 인터페이스(포트)에서 학습할 수 있는 MAC 주소 수에 대한 제한을 설정하여 이더넷 스위칭 테이블의 플러딩을 방지합니다.
Junos OS는 포트 보안을 위해 MAC을 제한하는 두 가지 방법을 제공합니다.
-
최대 MAC 주소 수 - 인터페이스당 허용되는 최대 동적 MAC 주소 수를 구성합니다. 한도를 초과하면 새 MAC 주소를 가진 수신 패킷을 무시하거나 삭제하거나 기록할 수 있습니다. 인터페이스를 종료하거나 일시적으로 비활성화하도록 지정할 수도 있습니다.
-
허용된 MAC 주소 - 액세스 인터페이스에 대해 특정 "허용된" MAC 주소를 구성합니다. 구성된 주소 목록에 없는 MAC 주소는 학습되지 않으며 스위치는 해당 메시지를 기록합니다. 허용된 MAC 방법은 MAC 주소를 VLAN에 바인딩하여 주소가 VLAN 외부에 등록되지 않도록 합니다. 허용된 MAC 설정이 동적 MAC 설정과 충돌하는 경우 허용된 MAC 설정이 우선합니다.
Junos OS를 통해 VLAN에 MAC 제한을 설정할 수도 있습니다. 그러나 VLAN에 MAC 제한을 설정하는 것은 포트 보안 기능으로 간주되지 않습니다. 스위치는 MAC 제한을 초과하는 수신 패킷이 전달되는 것을 막지 않기 때문입니다. 이러한 패킷의 MAC 주소만 기록합니다.
이 주제의 정보는 비-ELS 플랫폼을 위한 것입니다. ELS 플랫폼의 경우, MAC 제한에 대한 내용을 읽으려면 MAC 제한(ELS) 구성을 참조하십시오.
동적 MAC 주소에 대한 MAC 제한이 올바르게 작동하는지 확인
목적
동적 MAC 주소에 대한 MAC 제한이 스위치에서 작동하는지 확인합니다.
행동
학습된 MAC 주소를 표시합니다. 다음 샘플 출력은 ge-0/0/1의 호스트에서 2개의 패킷이 전송되고 ge-0/0/2의 호스트에서 5개의 패킷 요청이 전송되었으며, 두 인터페이스 모두 기본 작업 드롭을 사용하여 MAC 제한 4로 설정되었을 때의 결과를 보여줍니다.
user@switch> show ethernet-switching table Ethernet-switching table: 7 entries, 6 learned VLAN MAC address Type Age Interfaces employee-vlan * Flood - ge-0/0/2.0 employee-vlan 00:05:85:3A:82:77 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:79 Learn 0 ge-0/0/1.0 employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0
의미
샘플 출력은 각 인터페이스에 대해 MAC 제한이 4 인 경우 ge-0/0/2의 다섯 번째 MAC 주소에 대한 패킷이 MAC 제한을 초과했기 때문에 손실되었음을 보여줍니다. 주소가 학습되지 않았으므로 주소가 아닌 별표(*)가 샘플 출력의 첫 번째 줄에 있는 MAC 주소 열에 나타납니다.
특정 VLAN 내의 특정 인터페이스에 대한 MAC 제한이 올바르게 작동하는지 확인
목적
특정 VLAN 내의 멤버십을 기반으로 하는 특정 인터페이스에 대한 MAC 제한이 스위치에서 작동하는지 확인합니다.
행동
학습된 MAC 주소에 대한 자세한 통계를 표시합니다.
user@switch> show ethernet-switching statistics mac-learning interface ge-0/0/28 detail
Interface: ge-0/0/28.0
Learning message from local packets: 0
Learning message from transit packets: 5
Learning message with error: 0
Invalid VLAN: 0 Invalid MAC: 0
Security violation: 0 Interface down: 0
Incorrect membership: 0 Interface limit: 0
MAC move limit: 0 VLAN limit: 0
VLAN membership limit: 20
Invalid VLAN index: 0 Interface not learning: 0
No nexthop: 0 MAC learning disabled: 0
Others: 0
의미
은(는 VLAN membership limit ) 인터페이스 ge-0/0/28.0에 대한 VLAN 멤버십 MAC 제한이 초과되었기 때문에 손실된 패킷 수를 보여줍니다. 이 경우 20개의 패킷이 삭제되었습니다.
허용된 MAC 주소가 올바르게 작동하는지 확인
목적
허용된 MAC 주소가 스위치에서 작동하는지 확인합니다.
행동
허용된 MAC 주소가 인터페이스에 구성된 후 MAC 주소 캐시 정보를 표시합니다. 다음 샘플은 인터페이스 ge-0/0/2에 5개의 허용된 MAC 주소가 있었던 후의 MAC 주소 캐시를 보여줍니다. 이 경우 인터페이스는 기본 작업 삭제와 함께 동적 MAC 제한인 4로 설정되었습니다.
user@switch> show ethernet-switching table Ethernet-switching table: 5 entries, 4 learned VLAN MAC address Type Age Interfaces employee-vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee-vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee-vlan * Flood - ge-0/0/2.0
의미
이 인터페이스에 대한 MAC 제한 값이 4로 설정되었기 때문에 구성된 허용 주소 5개 중 4개만 학습되어 MAC 주소 캐시에 추가되었습니다. 다섯 번째 주소가 학습되지 않았기 때문에 주소가 아닌 별표(*)가 샘플 출력의 마지막 줄에 있는 MAC 주소 열에 나타납니다.
MAC 제한 초과 시 다양한 작업 설정의 결과 확인
목적
제한을 초과할 때 MAC 제한에 대한 다양한 작업 설정(삭제, 로그, 종료 및 없음)에서 제공하는 결과를 확인합니다.
행동
다양한 작업 설정의 결과를 표시합니다.
명령을 사용하여 로그 메시지를 볼 수 있습니다 show log messages . 명령으로 모니터 시작 메시지를 monitor start messages 구성하여 로그 메시지를 표시할 수도 있습니다.
-
drop action - 삭제 작업으로 구성되고 MAC 제한이 5로 설정된 MAC 제한의 경우:
user@switch> show ethernet-switching table Ethernet-switching table: 6 entries, 5 learned VLAN MAC address Type Age Interfaces employee—vlan * Flood - ge-0/0/2.0 employee—vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0
-
log action— 로그 작업으로 구성되고 MAC 제한이 5로 설정된 MAC 제한의 경우:
user@switch> show ethernet-switching table Ethernet-switching table: 74 entries, 73 learned VLAN MAC address Type Age Interfaces employee—vlan * Flood - ge-0/0/2.0 employee—vlan 00:05:85:3A:82:80 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:81 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:82 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:83 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:84 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:85 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:87 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:88 Learn 0 ge-0/0/2.0 . . .
-
shutdown action - shutdown 작업으로 구성되고 MAC 제한이 3으로 설정된 MAC 제한의 경우:
user@switch> show ethernet-switching table Ethernet-switching table: 4 entries, 3 learned VLAN MAC address Type Age Interfaces employee—vlan * Flood - ge-0/0/2.0 employee—vlan 00:05:85:3A:82:82 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:84 Learn 0 ge-0/0/2.0 employee—vlan 00:05:85:3A:82:87 Learn 0 ge-0/0/2.0
-
작업 없음 - 스위치의 모든 인터페이스에 적용하도록 MAC 제한을 설정하는 경우 해당 인터페이스에 대해 이 작업을 지정하여 특정 인터페이스에 대해 해당 설정을 재정의할 수 있습니다. 모든 인터페이스에 적용된 MAC 제한 재정의를 참조하십시오.
의미
삭제 작업 결과의 경우—여섯 번째 MAC 주소가 MAC 제한을 초과했습니다. 해당 주소에 대한 요청 패킷이 삭제되었습니다. ge-0/0/2에서 학습된 MAC 주소는 5개뿐입니다.
로그 작업 결과의 경우—여섯 번째 MAC 주소가 MAC 제한을 초과했습니다. 차단된 MAC 주소가 없습니다.
종료 작업 결과의 경우—네 번째 MAC 주소가 MAC 제한을 초과했습니다. ge-0/0/2에서 학습된 MAC 주소는 3개뿐입니다. 인터페이스 ge-0/0/1이 종료됩니다.
종료된 인터페이스에 대한 자세한 내용은 명령을 사용합니다 show ethernet-switching interfaces .
user@switch> show ethernet-switching interfaces Interface State VLAN members Tag Tagging Blocking bme0.32770 down mgmt untagged unblocked ge-1/0/0.0 down v1 untagged MAC limit exceeded ge-1/0/1.0 up v1 untagged unblocked ge-1/0/2.0 up v1 untagged unblocked me0.0 up mgmt untagged unblocked
비활성화 시간 초과 값으로 문을 지정하여 port-error-disable 이러한 유형의 오류 조건에서 자동으로 복구하도록 스위치를 구성할 수 있습니다. 스위치는 비활성화 시간 초과가 만료되면 비활성화된 인터페이스를 서비스로 자동 복원합니다. port-error-disable 구성은 기존의 오류 조건에는 적용되지 않습니다. 이는 port-error-disable이 활성화되고 커밋된 후 감지된 오류 조건에만 영향을 미칩니다. 이미 존재하는 오류 조건을 지우고 인터페이스를 서비스로 복원하려면 명령을 사용합니다 clear ethernet-switching port-error .
인터페이스가 종료되었는지 확인
목적
MAC 제한을 초과할 때 인터페이스가 종료되는지 확인합니다.
행동
MAC 제한을 초과하여 종료된 인터페이스에 대한 자세한 내용을 보려면 명령을 사용합니다 show ethernet-switching interfaces .
user@switch> show ethernet-switching interfaces Interface State VLAN members Tag Tagging Blocking bme0.32770 down mgmt untagged unblocked xe-0/0/0.0 down v1 untagged MAC limit exceeded xe- 0/0/1.0 up v1 untagged unblocked xe-0/0/2.0 up v1 untagged unblocked me0.0 up mgmt untagged unblocked
비활성화 타임아웃 값으로 문을 지정하여 port-error-disable MAC 제한을 초과했을 때 자동으로 복구되도록 인터페이스를 구성할 수 있습니다. 스위치는 비활성화 시간 초과가 만료되면 비활성화된 인터페이스를 서비스로 자동 복원합니다. port-error-disable 구성은 기존 오류 조건에는 적용되지 않으며, 문이 활성화되고 구성이 커밋된 후 port-error-disable 감지되는 오류 조건에만 영향을 미칩니다. 기존 오류 조건을 지우고 인터페이스를 서비스로 복원하려면 명령을 사용합니다 clear ethernet-switching port-error .
이더넷 스위칭 테이블 디스플레이를 사용자 정의하여 특정 인터페이스에 대한 정보 보기
목적
명령을 사용하여 show ethernet-switching table 특정 인터페이스에서 학습된 MAC 주소에 대한 정보를 볼 수 있습니다.
행동
예를 들어, ge-0/0/2 인터페이스에서 학습된 MAC 주소를 표시하려면 다음과 같이 입력합니다.
user@switch> show ethernet-switching table interface ge-0/0/2.0 Ethernet-switching table: 1 unicast entries VLAN MAC address Type Age Interfaces v1 * Flood - All-members v1 00:00:06:00:00:00 Learn 0 ge-2/0/0.0
의미
ge-0/0/2에 대한 MAC 제한 값은 1로 설정되었으며, 출력은 단 하나의 MAC 주소만 학습되어 MAC 주소 캐시에 추가되었음을 보여줍니다. 주소가 아닌 별표(*)가 샘플 출력의 첫 번째 줄에 있는 MAC 주소 열에 나타납니다.