영구 MAC 학습의 이해 및 사용

인터페이스에서 영구 MAC 학습을 구성하여 다음을 수행할 수 있습니다.

• 재시작된 후 인터페이스가 수신 트래픽에서 주소를 다시 학습할 필요가 없기 때문에 신뢰할 수 있는 워크스테이션 및 서버의 트래픽 손실을 방지합니다.

• 보안 공격으로부터 스위치를 보호합니다. 인터페이스가 지정된 수의 MAC 주소를 동적으로 학습하도록 허용하면서 허용되는 MAC 주소를 제한함으로써 레이어 2 서비스 거부(DoS) 공격, 이더넷 스위칭 테이블에 대한 오버플로우 공격 및 DHCP 기아 공격과 같은 공격으로부터 보호하기 위해 MAC 제한과 함께 영구 MAC 학습을 사용합니다. 제한에 도달한 후에는 추가 디바이스를 포트에 연결할 수 없기 때문에 인터페이스가 보호됩니다.

MAC 제한과 함께 영구 MAC 학습을 구성하면 인터페이스가 인터페이스에 인터페이스를 연결하는 시점부터 MAC 주소 제한에 도달할 때까지 신뢰할 수 있는 워크스테이션 및 서버의 MAC 주소를 학습할 수 있으며, 이 제한에 도달한 후에는 스위치가 다시 시작되더라도 새 디바이스가 인터페이스에 연결할 수 없도록 할 수 있습니다. MAC 제한과 함께 영구 MAC 학습을 사용하는 대신 각 포트에서 각 MAC 주소 정적으로 구성하거나 재시작 또는 인터페이스 비활성화 이벤트 후 포트가 지속적으로 새 MAC 주소를 학습하도록 할 수 있습니다. 포트가 MAC 주소를 지속적으로 학습하도록 허용하는 것은 보안 위험을 나타냅니다.

메모:

• 스위치가 재시작되거나 인터페이스가 다시 작동하는 동안 인터페이스가 더 많은 MAC 주소를 학습할 수 있을 때까지 약간의 지연이 있을 수 있습니다. 이 지연은 시스템이 이전에 학습한 영구 MAC 주소를 인터페이스의 포워딩 데이터베이스에 다시 입력하는 동안 발생합니다.

• Junos OS 릴리스 22.4R1부터는 트렁크(VLAN 태깅) 및 액세스 인터페이스 모두에서 영구 MAC 학습을 활성화할 수 있습니다.

영구 MAC 학습을 구성할 때 다음 구성 지침을 고려하십시오.

• 802.1x 인증이 구성된 인터페이스에서 영구 MAC 학습을 활성화할 수 없습니다.

• 중복 트렁크 그룹의 일부인 인터페이스에서 영구 MAC 학습을 활성화할 수 없습니다.

• no-mac-learning이 활성화된 인터페이스에서는 영구 MAC 학습을 활성화할 수 없습니다.

팁:

스위치에 영구 MAC 주소 항목이 있는 네트워크 내에서 디바이스를 이동하는 경우 명령을 사용하여 clear ethernet-switching table persistent-learning <interface | mac-address> 인터페이스에서 영구 MAC 주소 항목을 삭제합니다. 디바이스를 이동하고 학습한 원래 포트에서 영구 MAC 주소 을(를) 지우지 않으면 새 포트가 디바이스의 MAC 주소 을(를) 학습하지 못하며 디바이스를 연결할 수 없습니다. 디바이스를 이동할 때 원래 포트가 다운되면 새 포트가 MAC 주소 학습하고 디바이스를 연결할 수 있습니다. 그러나 원래 포트에서 영구 MAC 주소를 지우지 않으면 포트가 다시 시작될 때 시스템은 해당 포트의 포워딩 테이블에 영구 MAC 주소를 다시 설치합니다. 이 경우 영구 MAC 주소는 새 포트에서 제거되고 디바이스의 연결이 끊어집니다.

• 목적
• 행동
• 의미