가입자 인터페이스에 대한 MAC 주소 검증 개요
MAC 주소 검증을 통해 라우터는 수신된 패킷에 신뢰할 수 있는 IP 소스 및 이더넷 MAC 소스 주소가 포함되어 있는지 확인할 수 있습니다.
MAC 주소 검증을 구성하면 가입자가 청구 가능한 서비스에 액세스할 때 추가 검증을 제공할 수 있습니다. MAC 주소 검증은 라우터가 스푸핑된 주소가 있는 패킷과 같이 일치하지 않는 패킷을 삭제할 수 있도록 함으로써 추가적인 보안을 제공합니다.
가입자가 로그인하면 DHCP에서 자동으로 IP 주소가 할당됩니다. MAC 주소 검증이 활성화된 상태에서 라우터는 IP 소스 및 MAC 소스 주소를 신뢰할 수 있는 주소와 비교하여 일치 및 검증 모드에 따라 패킷을 전달하거나 삭제합니다.
지원되는 유형의 가입자 인터페이스
MAC 주소 검증은 다음과 같이 정적 또는 동적으로 생성된 이더넷 인터페이스 및 demux 인터페이스에서 지원됩니다.
라우터가 일반(비 향상) 네트워크 서비스 모드로 구성되면 DPC와 MPC 모두에서 MAC 주소 검증이 지원됩니다. 라우터는 하나 또는 다른 유형의 라인 카드로 완전히 채워지거나 두 유형을 혼합할 수 있습니다. 일반적인 네트워크 서비스 모드는 기본값입니다.
라우터가 Enhanced IP 네트워크 서비스 모드 또는 Enhanced Ethernet Network Services 모드로 구성된 경우, MPC에서만 MAC 주소 검증이 지원됩니다. 라우터에 DPC와 MPC가 모두 있거나 DPC만 있는 경우 섀시를 향상된 모드로 구성할 수 없습니다.
MAC 주소 검증은 라우터가 향상된 네트워크 서비스 모드에 있는 경우 확장에 최적화됩니다. 향상된 네트워크 서비스 모드는 멀티캐스트 및 방화벽 필터와 같은 다른 기능에 영향을 미치므로, 향상된 모드 구성 여부를 결정할 때 이를 고려해야 합니다. 향상된 네트워크 서비스 모드에 대한 자세한 내용은 네트워크 서비스 모드 개요를 참조하십시오.
일반적인 네트워크 서비스 모드에서는 명령을 사용하여 show interfaces statistics interface-name
검증에 실패하고 누락된 패킷의 인터페이스당 수를 표시할 수 있습니다. 향상된 네트워크 서비스 모드에서 이 명령은 손실된 패킷을 계산하지 않습니다. 이 데이터 수집의 도움을 받으려면 주니퍼 네트웍스 고객 지원에 연락해야 합니다.
신뢰할 수 있는 주소
신뢰할 수 있는 주소 튜플은 32비트 IP 주소와 48비트 MAC 주소. 접두사와 범위는 지원되지 않습니다.
검증에 사용되는 IP 소스 주소 및 MAC 소스 주소는 신뢰할 수 있는 소스에서 가져온 것이어야 합니다.
CLI를 통해 구성된 모든 정적 ARP 주소는 신뢰할 수 있는 주소입니다. 동적 ARP 주소는 신뢰할 수 있는 주소로 간주되지 않습니다.
확장된 DHCP 로컬 서버 또는 확장된 DHCP 릴레이를 통해 동적으로 생성된 주소도 신뢰할 수 있는 주소입니다. DHCP 서버와 클라이언트가 IP 주소를 협상하면 결과 IP 주소와 MAC 주소 튜플이 신뢰할 수 있습니다. 각 DHCP 가입자는 하나 이상의 주소 튜플을 생성할 수 있습니다.
각 MAC 주소 하나 이상의 IP 주소를 가질 수 있으며, 이로 인해 두 개 이상의 유효한 튜플이 발생할 수 있습니다. 각 IP 주소는 하나의 MAC 주소 매핑해야 합니다.
MAC 주소 검증 유형
두 가지 유형 또는 MAC 주소 검증 모드 중 하나를 loose 또는 strict 중 하나를 구성할 수 있습니다. 두 모드의 동작은 수신 패킷이 신뢰할 수 있는 주소 튜플과 얼마나 잘 일치하는지에 따라 다릅니다. 모드는 IP 소스 주소만으로는 신뢰할 수 있는 IP 주소와 일치하지 않는 경우에만 다릅니다. 표 1 은 두 모드의 동작을 비교합니다. 드롭된 패킷은 스푸핑된 것으로 간주됩니다.
수신 패킷 주소 일치 신뢰할 수 있는 주소 튜플 |
느슨한 모드 작업 |
엄격한 모드 작업 |
---|---|---|
|
패킷 전달 |
패킷 전달 |
|
패킷 드롭 |
패킷 드롭 |
|
패킷 전달 |
패킷 드롭 |
strict 모드를 구성하는 것은 신뢰할 수 있는 주소와 일치하려면 수신된 소스 주소가 모두 필요하기 때문에 보다 보수적인 전략입니다.
동적 프로필에서 IP demux 인터페이스에 대한 MAC 주소 검증을 구성하고 느슨한 또는 엄격한 검증 중 하나를 지정할 때, 결과 동작은 항상 느슨한 검증입니다. 동적 IP demux 인터페이스에 대해 엄격한 동작을 활성화하려면 IP demux 인터페이스와 기본 인터페이스 모두에 대해 엄격한 검증을 구성해야 합니다.