Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

MAC 제한 구성

MAC 제한(ELS) 구성

이 주제는 디바이스에서 수신 및 전달하는 패킷의 MAC 주소 제한을 구성하는 다양한 방법에 대해 설명합니다.

메모:

이 섹션에 제시된 작업에서는 EX 시리즈 스위치, QFX3500 및 QFX3600 스위치, ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 PTX 시리즈 라우터에 Junos OS 사용합니다. ELS 구성에 대한 자세한 내용은 Enhanced Layer 2 Software CLI 사용을 참조하십시오.

MAC 제한을 설정하는 다양한 방법은 다음 섹션에서 설명합니다.

플랫폼별 글로벌 MAC 제한 동작 구성

표 1: 플랫폼별 동작

플랫폼

다름

Junos Evolved ACX7000 시리즈

ACX7000는 현재 패킷 작업을 지원하지 않습니다

기본 MAC 번호는 ACX7000에 적용되지 않습니다.

인터페이스에서 학습하는 MAC 주소 수 제한하기

메모:

PTX 시리즈 라우터에서는 인터페이스에서만 학습하는 MAC 주소의 수를 제한할 수 있습니다.

포트를 보호하기 위해 인터페이스에서 학습할 수 있는 최대 MAC 주소 수를 설정할 수 있습니다.

인터페이스에 MAC 제한을 설정하고, 지정된 제한을 초과한 후 디바이스가 수행하는 작업을 지정합니다.
기본 라우팅 인스턴스의 일부인 인터페이스에 MAC 제한을 설정하려는 경우:
라우팅 인스턴스의 일부인 인터페이스에 MAC 제한을 설정하려는 경우:
기본 라우팅 인스턴스의 일부인 모든 인터페이스에 MAC 제한을 설정하려는 경우:
라우팅 인스턴스의 일부인 모든 인터페이스에 MAC 제한을 설정하려는 경우:

인터페이스에 대한 새 MAC 제한을 설정한 후, 시스템은 인터페이스와 연결된 MAC 주소 포워딩 테이블의 기존 항목을 삭제합니다.

VLAN에서 학습하는 MAC 주소 수 제한

VLAN에서 학습하는 MAC 주소 수를 제한하려면 다음 단계를 수행합니다.

플랫폼별 MAC 제한 동작 구성

표 2: 플랫폼별 동작

플랫폼

다름

Junos Evolved ACX7000 시리즈

ACX7000는 현재 패킷 작업을 지원하지 않습니다

기본 MAC 번호는 ACX7000에 적용되지 않습니다.
VLAN이 학습할 수 있는 MAC 주소의 최대 수를 설정하고, 지정된 제한을 초과한 후 디바이스가 수행하는 작업을 지정합니다.

VLAN의 인터페이스에서 학습하는 MAC 주소 수 제한

VLAN의 인터페이스에서 학습하는 MAC 주소의 수를 제한하려면 다음 단계를 수행합니다.

  1. VLAN의 인터페이스가 학습할 수 있는 MAC 주소의 최대 수를 설정하고, 지정된 제한을 초과한 후 디바이스가 수행하는 작업을 지정합니다.
  2. VLAN의 하나 또는 모든 인터페이스가 학습할 수 있는 MAC 주소의 최대 수를 설정하고, 지정된 제한을 초과한 후 디바이스가 수행하는 작업을 지정합니다.
    메모:

    VLAN의 모든 인터페이스와 VLAN의 특정 인터페이스에 대해 MAC 제한 및 패킷 작업을 지정하는 경우, 특정 인터페이스 수준에서 지정된 MAC 제한 및 패킷 작업이 우선합니다. 또한 VLAN 인터페이스 수준에서는 및 drop-and-log 옵션만 drop 지원됩니다.

    문을 사용하여 mac-table-size VLAN에 대해 또는 문을 사용하여 interface-mac-limit VLAN과 연결된 인터페이스에 대해 새 MAC 제한을 설정하면 시스템은 MAC 주소 포워딩 테이블에서 해당하는 기존 항목을 지웁니다.

    메모:

    QFX 시리즈 Virtual Chassis에서 계층 수준에서 옵션을 [edit vlans vlan-name switch-options interface interface-name interface-mac-limit packet-action] 포함 shutdown 하고 작업을 실행 commit 하면 시스템에서 커밋 오류를 생성합니다. 계층 수준에서 옵션을 [edit switch-options interface interface-name interface-mac-limit packet-action] 포함하는 shutdown 경우 시스템은 오류를 생성하지 않습니다.

MAC 제한 구성(비-ELS)

이 작업은 EX 시리즈 스위치와 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하지 않는 QFX3500 및 QFX3600 스위치에 Junos OS 사용합니다.

이 주제는 스위치가 수신하고 전달하는 패킷의 MAC 주소에 대한 제한을 구성하는 다양한 방법에 대해 설명합니다.

인터페이스 또는 VLAN에 대해 이전에 설정된 MAC 제한을 변경하기 전에 먼저 변경하려는 내용에 해당하는 MAC 주소 포워딩 테이블의 기존 항목을 삭제해야 합니다. 따라서 인터페이스에 대한 제한을 변경하려면 먼저 해당 인터페이스에 대한 MAC 주소 포워딩 테이블 항목을 삭제해야 합니다. 모든 인터페이스 및 VLAN에 대한 제한을 변경하려면 모든 MAC 주소 포워딩 테이블 항목을 삭제해야 합니다. VLAN에 대한 제한을 변경하려면 해당 VLAN에 대한 MAC 주소 포워딩 테이블 항목을 삭제하십시오.

포워딩 테이블에서 MAC 주소를 삭제하려면:

  • 포워딩 테이블의 특정 인터페이스(여기서 인터페이스가 ge-0/0/1)에서 MAC 주소 항목을 삭제합니다.

  • 포워딩 테이블 내의 모든 MAC 주소 항목을 삭제합니다.

  • 특정 VLAN에서 MAC 주소 항목을 삭제합니다(여기서 VLAN은 vlan-abc임).

MAC 제한을 설정하는 다양한 방법은 다음 섹션에서 설명합니다.

인터페이스에서 학습할 수 있는 MAC 주소 수 제한하기

인터페이스에서 학습할 수 있는 MAC 주소의 최대 수를 설정하여 포트 보안을 위한 MAC 제한을 구성합니다.

  • 단일 인터페이스에 MAC 제한을 적용합니다(여기에서 인터페이스가 ge-0/0/1임).

    인터페이스에 MAC 제한을 구성하기 위한 작업이 지정되지 않은 경우 제한이 초과되면 디바이스가 기본 작업 삭제 를 수행합니다.

  • 특정 VLAN 내의 멤버십을 기반으로 단일 액세스 인터페이스에 MAC 제한을 적용합니다(여기서 인터페이스는 ge-0/0/1이고 VLAN은 v1입니다.

    이러한 유형의 구성에서는 제한이 초과될 경우 디바이스가 추가 패킷을 삭제하고 메시지도 기록합니다.

  • 모든 액세스 인터페이스에 제한을 적용합니다.

    모든 인터페이스에서 MAC 제한을 구성하기 위한 작업이 지정되지 않은 경우 제한이 초과되면 디바이스가 기본 작업 삭제 를 수행합니다.

허용되는 MAC 주소 지정

MAC 주소 제한을 변경하기 전에 MAC 주소 포워딩 테이블의 기존 항목을 삭제해야 합니다.

허용된 MAC 주소를 지정하여 포트 보안에 대한 MAC 제한을 구성하려면 다음을 수행합니다.

  • 단일 인터페이스에서(여기서 인터페이스는 ge-0/0/2):
  • 모든 인터페이스에서:

VLAN에 대한 MAC 제한 구성

MAC 주소 제한을 변경하려면 먼저 MAC 주소 포워딩 테이블의 기존 항목을 삭제해야 합니다.

VLAN에 대한 MAC 제한은 해당 VLAN에 대해 학습할 수 있는 MAC 주소를 제한하지만 패킷을 삭제 하지는 않습니다 . 따라서 VLAN에 MAC 제한을 설정하는 것은 포트 보안 기능으로 간주되지 않습니다.

메모:

허용된 특정 MAC 주소의 구성은 VLAN에 적용되지 않습니다.

CLI를 사용하여 VLAN에 대한 MAC 제한을 구성하려면 다음을 수행합니다.

VLAN에서 동적 MAC 주소의 수를 제한합니다.

특정 VLAN에 대한 MAC 제한이 초과되면 디바이스는 제한을 초과하게 하는 패킷의 MAC 주소를 기록합니다. 다른 작업은 불가능합니다.

메모:

VLAN에 MAC 제한을 적용할 때 라우팅된 VLAN 인터페이스(RVI)로 구성된 VLAN 또는 LACP를 사용하는 집계 이더넷 번들로 구성된 VLAN에 대해 1로 설정 mac-limit 하지 마십시오. 이러한 경우 을(를 mac-limit ) 1로 설정하면 디바이스가 자동 주소 이외의 MAC 주소를 학습할 수 없습니다.

  • RVI의 경우, 포워딩 데이터베이스에 삽입된 첫 번째 MAC 주소는 RVI의 MAC 주소입니다.

  • LACP를 사용하는 어그리게이션 이더넷 번들의 경우, 포워딩 테이블의 포워딩 데이터베이스에 삽입된 첫 번째 MAC 주소는 프로토콜 패킷의 소스 주소입니다.

VLAN이 일반 액세스 또는 트렁크 인터페이스로 구성된 경우, 원한다면 을(를 mac-limit ) 1로 설정할 수 있습니다.

참조

MX 시리즈 라우터에서 MAC 제한 구성

이 주제에서는 MX 시리즈 라우터가 수신하고 전달하는 패킷의 MAC 주소 제한을 구성하는 다양한 방법에 대해 설명합니다.

인터페이스에서 학습하는 MAC 주소 수 제한하기

포트를 보호하기 위해 인터페이스에서 학습할 수 있는 최대 MAC 주소 수를 설정할 수 있습니다.

MX 시리즈 라우터는 삭제 작업만 지원합니다. 작업이 지정되지 않은 경우 제한값이 초과되면 라우터가 기본 작업 드롭 을 수행합니다.

인터페이스에 MAC 제한을 설정하고 지정된 제한을 초과한 후 라우터가 수행하는 작업을 지정합니다.
기본 라우팅 인스턴스의 일부인 인터페이스에 MAC 제한을 설정하려는 경우:
라우팅 인스턴스의 일부인 인터페이스에 MAC 제한을 설정하려는 경우:
기본 라우팅 인스턴스의 일부인 모든 인터페이스에 MAC 제한을 설정하려는 경우:
라우팅 인스턴스의 일부인 모든 인터페이스에 MAC 제한을 설정하려는 경우:

인터페이스에 대한 새 MAC 제한을 설정한 후, 시스템은 인터페이스와 연결된 MAC 주소 포워딩 테이블의 기존 항목을 삭제합니다.

브리지 도메인에서 학습한 MAC 주소 수 제한하기

브리지 도메인에서 학습하는 MAC 주소 수를 제한하려면 다음 단계를 수행합니다.

브리지 도메인에서 학습할 수 있는 MAC 주소의 최대 수를 설정하고, 지정된 제한을 초과한 후 디바이스가 수행할 작업을 지정합니다.

브리지 도메인의 인터페이스에서 학습한 MAC 주소 수 제한하기

브리지 도메인의 인터페이스에서 학습하는 MAC 주소 수를 제한하려면 다음 단계를 수행합니다.

  1. 브리지 도메인의 인터페이스에서 학습할 수 있는 MAC 주소의 최대 수를 설정하고, 지정된 제한을 초과한 후 디바이스가 수행할 작업을 지정합니다.
  2. 브리지 도메인의 하나 또는 모든 인터페이스에서 학습할 수 있는 MAC 주소의 최대 수를 설정하고, 지정된 제한을 초과한 후 디바이스가 수행할 작업을 지정합니다.
    메모:

    브리지 도메인의 모든 인터페이스 브리지 도메인의 특정 인터페이스에 대해 MAC 제한 및 패킷 작업을 지정하는 경우, 특정 인터페이스 수준에서 지정된 MAC 제한 및 패킷 작업이 우선합니다. 또한 브리지 도메인 인터페이스 수준에서는 옵션만 drop 지원됩니다.

MAC 제한 구성(J-Web 프로시저)

MAC 제한은 EX 시리즈 스위치에서 이더넷 스위칭 테이블의 플러딩을 방지합니다. MAC 제한은 단일 레이어 2 액세스 인터페이스(포트)에서 학습할 수 있는 MAC 주소 수에 대한 제한을 설정합니다.

Junos OS는 두 가지 MAC 제한 방법을 제공합니다.

  • 인터페이스당 허용되는 최대 동적 MAC 주소 수 - 제한을 초과하면 새 MAC 주소가 포함된 수신 패킷이 삭제됩니다.

  • 액세스 인터페이스에 대한 특정 "허용된" MAC 주소—구성된 주소 목록에 없는 모든 MAC 주소는 학습되지 않습니다.

각 VLAN이 아닌 각 인터페이스에 대해 MAC 제한을 구성합니다. 단일 레이어 2 액세스 인터페이스 또는 모든 레이어 2 액세스 인터페이스에서 학습할 수 있는 동적 MAC 주소의 최대 수를 지정할 수 있습니다. 최대 개수가 초과될 경우 스위치가 수행하는 기본 조치는 drop입니다. 패킷을 드롭하고 알람, SNMP 트랩 또는 시스템 로그 항목을 생성합니다.

J-Web 인터페이스를 사용하여 하나 이상의 인터페이스에 대한 MAC 제한을 활성화하려면,

  1. 구성>보안>포트 보안을 선택합니다.
  2. 인터페이스 목록에서 하나 이상의 인터페이스를 선택합니다.
  3. 편집 버튼을 클릭합니다. 포트 보안을 사용할지 여부를 묻는 메시지가 나타나면 Yes(예)를 클릭합니다.
  4. 동적 MAC 제한을 설정하려면 다음을 수행합니다.

    1. MAC Limit(MAC 제한) 상자에 제한 값을 입력합니다.

    2. MAC 제한 조치(MAC Limit Action) 상자에서 작업을 선택합니다(선택 사항). MAC 제한이 초과되면 스위치가 이 작업을 수행합니다. 작업을 선택하지 않으면 스위치가 기본 작업인 drop을 적용합니다.

      • Log(로그) - 시스템 로그 항목을 생성합니다.

      • Drop—패킷을 드롭하고 시스템 로그 항목을 생성합니다. (기본값)

      • Shutdown(종료) - VLAN을 종료하고 시스템 로그 항목을 생성합니다. 비활성화 상태에서 자동 복구되도록 스위치를 구성하고 비활성화 시간 제한 값을 지정하여 이 옵션의 영향을 완화할 수 있습니다.

      • None— 수행할 작업이 없습니다.

  5. 허용된 MAC 주소 추가 방법:

    1. Add(추가)를 클릭합니다.

    2. 허용된 MAC 주소를 입력하고 확인을 클릭합니다.

    허용된 MAC 주소를 더 추가하려면 이 단계를 반복합니다.

  6. MAC 제한 설정을 마쳤으면 확인을 클릭합니다.
  7. 구성이 성공적으로 전달된 후 OK(확인 )를 클릭합니다.
메모:

Port Security Configuration(포트 보안 컨피그레이션) 페이지에서 Activate(활성화 ) 또는 Deactivate(비활성화 ) 버튼을 클릭하여 언제든지 스위치에서 포트 보안을 활성화 또는 비활성화할 수 있습니다. VLAN 또는 인터페이스(포트)에 대한 설정을 편집하려고 할 때 보안 상태가 사용 안 함 으로 표시되면 포트 보안을 사용할지 여부를 묻는 메시지가 나타납니다.

참조