MAC 제한 구성
ELS(Configuring MAC Limiting)
이 주제는 장비가 수신 및 포워딩하는 패킷의 MAC 주소에 대한 제한 사항을 구성하는 다양한 방법을 설명합니다.
이 섹션에 제시된 작업은 EX 시리즈 스위치, QFX3500 및 QFX3600 스위치, ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하는 PTX 시리즈 라우터에 Junos OS를 사용합니다. ELS 구성에 대한 자세한 내용은 Enhanced Layer 2 소프트웨어 CLI를 참조하십시오 .
-
MAC 제한으로 인한 종료로부터 자동 복구하기 위해 인터페이스 구성에 대한 자세한 내용은 포트 보안 이벤트의 자동 복구 구성을 참조하십시오. 비활성화된 상태에서 자동 복구할 수 있도록 디바이스를 구성하지 않으면 명령을 실행하여 비활성화된 인터페이스를
clear ethernet-switching recovery-timeout
가져올 수 있습니다.
MAC 제한을 설정하는 다양한 방법은 다음 섹션에서 설명합니다.
인터페이스를 통해 학습한 MAC 주소 수 제한
PTX 시리즈 라우터에서는 인터페이스에서 학습한 MAC 주소의 수를 제한할 수 있습니다.
포트를 보호하기 위해 인터페이스에서 학습할 수 있는 최대 MAC 주소 수를 설정할 수 있습니다.
[edit switch-options] user@switch# set interface interface-name interface-mac-limit limit packet-action action
[edit routing-instances] user@switch# set routing-instance-name switch-options interface interface-name interface-mac-limit limit
[edit switch-options] user@switch# set interface-mac-limit limit
[edit routing-instances] user@switch# set routing-instance-name switch-options interface-mac-limit limit
인터페이스에 대한 새로운 MAC 제한을 설정하면 시스템은 인터페이스와 연결된 MAC 주소 포워딩 테이블의 기존 엔트리를 지웁니다.
VLAN에서 학습한 MAC 주소 수 제한
VLAN에서 학습한 MAC 주소 수를 제한하려면 다음 단계를 수행합니다.
[edit vlans] user@switch# set vlan-name switch-options mac-table-size limit packet-action action
VLAN의 인터페이스를 통해 학습한 MAC 주소 수 제한
VLAN의 인터페이스에서 학습한 MAC 주소의 수를 제한하려면 다음 단계를 수행합니다.
CONfiguring MAC Limiting(비 ELS)
이 작업은 EX 시리즈 스위치와 QFX3500 및 QFX3600 스위치에 Junos OS를 사용하며 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하지 않습니다.
이 주제는 스위치가 수신 및 포워딩하는 패킷의 MAC 주소에 대한 제한을 구성하는 다양한 방법을 설명합니다.
이전에 인터페이스 또는 VLAN에 대해 설정된 MAC 제한을 변경하려면 먼저 원하는 변경에 해당하는 MAC 주소 포워딩 테이블의 기존 항목을 지워야 합니다. 따라서 인터페이스의 제한을 변경하려면 먼저 해당 인터페이스에 대한 MAC 주소 포워딩 테이블 엔트리를 지워야 합니다. 모든 인터페이스 및 VLAN에 대한 제한을 변경하려면 모든 MAC 주소 포워딩 테이블 엔트리를 지우십시오. VLAN에 대한 제한을 변경하려면 해당 VLAN에 대한 MAC 주소 포워딩 테이블 항목을 지워야 합니다.
포워딩 테이블에서 MAC 주소를 지우려면 다음을 수행합니다.
포워딩 테이블의 특정 인터페이스에서 MAC 주소 엔트리 지우기(여기 인터페이스는 ge-0/0/1)입니다.
user@switch> clear ethernet-switching-table interface ge-0/0/1
포워딩 테이블의 모든 MAC 주소 엔트리 지우기:
user@switch>clear ethernet-switching-table
특정 VLAN의 MAC 주소 항목 지우기(여기 VLAN은 vlan-abc)입니다.
user@switch> clear ethernet-switching-table vlan vlan-abc
MAC 제한을 설정하는 다양한 방법은 다음 섹션에서 설명합니다.
인터페이스에서 학습할 수 있는 MAC 주소 수 제한
인터페이스에서 학습할 수 있는 최대 MAC 주소 수를 설정하여 포트 보안을 위해 MAC 제한을 구성합니다.
허용되는 MAC 주소 지정
MAC 주소 제한을 변경하기 전에 MAC 주소 포워딩 테이블의 기존 항목을 지워야 합니다.
허용 MAC 주소를 지정하여 포트 보안을 위한 MAC 제한을 구성하려면 다음을 수행합니다.
VLAN을 위한 MAC 제한 구성
MAC 주소 제한을 변경하려면 MAC 주소 포워딩 테이블의 기존 항목을 지워야 합니다.
VLAN에 대한 MAC 제한은 해당 VLAN에 대해 학습할 수 있는 MAC 주소를 제한하지만 패킷을 삭제 하지 는 않습니다. 따라서 VLAN에서 MAC 제한을 설정하는 것은 포트 보안 기능으로 간주되지 않습니다.
허용된 특정 MAC 주소의 구성은 VLAN에는 적용되지 않습니다.
CLI를 사용하여 VLAN에 MAC 제한을 구성하려면 다음을 수행합니다.
특정 VLAN에 대한 MAC 제한을 초과하는 경우, 장치는 한도를 초과하게 하는 패킷의 MAC 주소를 기록합니다. 다른 조치는 불가능합니다.
[edit vlans] user@switch# set vlan-abc mac-limit 20
VLAN에 MAC 제한을 적용하는 경우 RPI(Routed VLAN Interfaces)로 구성된 VLAN 또는 LACP를 사용한 어그리게이션된 이더넷 번들로 구성된 VLAN에 대해 1로 설정 mac-limit
하지 마십시오. 이러한 경우, to 1을 mac-limit
설정하면 디바이스가 자동 주소가 아닌 MAC 주소를 학습하지 못하게 됩니다.
RVI의 경우 포워딩 데이터베이스에 삽입된 첫 번째 MAC 주소는 RVI의 MAC 주소입니다.
LACP를 사용하는 통합 이더넷 번들의 경우 포워딩 테이블의 포워딩 데이터베이스에 삽입된 최초의 MAC 주소는 프로토콜 패킷의 소스 주소입니다.
VLAN이 일반 액세스 또는 트렁크 인터페이스로 구성되어 있는 경우 이를 선택한 경우 1로 설정할 mac-limit
수 있습니다.
MX 시리즈 라우터에서 MAC 제한 구성
이 주제는 MX 시리즈 라우터가 수신 및 포워딩하는 패킷의 MAC 주소에 대한 제한 사항을 구성하는 다양한 방법을 설명합니다.
인터페이스를 통해 학습한 MAC 주소 수 제한
포트를 보호하기 위해 인터페이스에서 학습할 수 있는 최대 MAC 주소 수를 설정할 수 있습니다.
MX 시리즈 라우터는 드롭 작업만 지원합니다. 작업이 지정되지 않은 경우, 라우터는 한도가 초과되면 기본 작업 드롭 을 수행합니다.
[edit switch-options] user@switch# set interface interface-name interface-mac-limit limit packet-action action
[edit routing-instances] user@switch# set routing-instance-name switch-options interface interface-name interface-mac-limit limit
[edit switch-options] user@switch# set interface-mac-limit limit
[edit routing-instances] user@switch# set routing-instance-name switch-options interface-mac-limit limit
인터페이스에 대한 새로운 MAC 제한을 설정하면 시스템은 인터페이스와 연결된 MAC 주소 포워딩 테이블의 기존 엔트리를 지웁니다.
브리지 도메인에서 학습한 MAC 주소 수 제한
브리지 도메인에서 학습한 MAC 주소 수를 제한하려면 다음 단계를 수행합니다.
[edit bridge-domains] user@switch# set bridge-domain-name bridge-options mac-table-size limit packet-action action
브리지 도메인의 인터페이스를 통해 학습한 MAC 주소 수 제한
브리지 도메인의 인터페이스에서 학습한 MAC 주소의 수를 제한하려면 다음 단계를 수행합니다.
MAC 제한 구성(J-Web 절차)
MAC 제한 기능은 EX 시리즈 스위치에서 이더넷 스위칭 테이블의 플러딩을 차단합니다. MAC 제한은 단일 Layer 2 액세스 인터페이스(포트)에서 학습할 수 있는 MAC 주소의 수에 대한 제한을 설정합니다.
Junos OS는 2가지 MAC 제한 방법을 제공합니다.
인터페이스당 허용되는 최대 동적 MAC 주소 개수—한도가 초과되면 새 MAC 주소가 있는 수신 패킷이 드롭됩니다.
액세스 인터페이스를 위한 특정 "허용" MAC 주소—구성된 주소 목록에 없는 모든 MAC 주소는 학습되지 않습니다.
각 VLAN이 아닌 각 인터페이스에 MAC 제한을 구성합니다. 단일 Layer 2 액세스 인터페이스 또는 모든 Layer 2 액세스 인터페이스에서 학습할 수 있는 동적 MAC 주소의 최대 수를 지정할 수 있습니다. 최대 수를 초과하는 경우 스위치가 취하는 기본 조치는 드롭됩니다. 패킷을 드롭하고 알람, SNMP 트랩 또는 시스템 로그 엔트리를 생성합니다.
J-Web 인터페이스를 사용하여 하나 이상의 인터페이스에서 MAC 제한을 사용하려면 다음을 수행합니다.
포트 보안 구성 페이지에서 Activate 또는 비활성화 버튼을 클릭하여 언제든지 스위치에서 포트 보안을 활성화하거나 비활성화할 수 있습니다. VLAN 또는 인터페이스(포트)에 대한 설정을 편집하려고 할 때 보안 상태가 비활성화 된 것으로 표시되면 포트 보안 사용 여부를 묻는 메시지가 나타납니다.