- play_arrow ポート セキュリティ
- play_arrow ポートセキュリティの概要
-
- play_arrow IPSec
- play_arrow IPsecとセキュリティ アソシエーションについて
- play_arrow IPsecの設定と例
- play_arrow IPsecセキュリティアソシエーションの設定
- play_arrow IPsec にデジタル証明書を使用する
- play_arrow その他の IPsec オプション
- play_arrow IPsec動的エンドポイントの設定
- play_arrow その他のESおよびAS PICの設定例
-
- play_arrow デジタル証明書
- play_arrow デジタル証明書の設定
- play_arrow SSHおよびSSLルーターアクセスの設定
-
- play_arrow Trusted Platform モジュール
- play_arrow MACsec
- play_arrow MACsecについて
- play_arrow MACsec の例
-
- play_arrow DHCP保護
- play_arrow DHCPv4 および DHCPv6
- play_arrow DHCP スヌーピング
- play_arrow DHCP オプション 82
- play_arrow Dynamic ARP Inspection(DAI)
-
- play_arrow IPソース ガード
- play_arrow IPソース ガードについて
- play_arrow IPソース ガードの例
- 例:音声VLANとインターフェイスを共有するデータVLANでのIPソースガードの設定
- 例:他のEXシリーズスイッチ機能を使用してIPソースガードを設定し、信頼できないアクセスインターフェイスに対するアドレススプーフィング攻撃を軽減
- 例:IP スプーフィングと ARP スプーフィングからスイッチを保護するための IP ソース ガードとダイナミック ARP インスペクションの設定
- 例:IPv6 アドレス スプーフィングからスイッチを保護するための IPv6 ソース ガードおよび近隣探索インスペクションの設定
- 元 IP アドレス スプーフィングと送信元 MAC アドレス スプーフィングの影響を軽減するための IP ソース ガードの設定
- 例:指定されたブリッジ ドメインで IP ソース ガードとダイナミック ARP インスペクションを設定して、攻撃からデバイスを保護する
- 例:IPv6 アドレス スプーフィングからスイッチを保護するための IPv6 ソース ガードおよび近隣探索インスペクションの設定
-
- play_arrow IPv6アクセスセキュリティ
- play_arrow 近隣探索プロトコル
- play_arrow SLAAC スヌーピング
- play_arrow ルーター アドバタイズメント ガード
-
- play_arrow コントロールプレーンの分散型サービス拒否(DDoS)攻撃防御およびフロー検知
- play_arrow コントロールプレーンDDoS防御
- play_arrow フロー検出と原因フロー
-
- play_arrow ユニキャスト転送
- play_arrow ユニキャスト リバース パス フォワーディング
- play_arrow 不明なユニキャスト転送
-
- play_arrow ストーム制御
- play_arrow ストーム制御の理解と使用
-
- play_arrow マルウェア防御
- play_arrow ジュニパーマルウェア削除ツール
-
- play_arrow 設定ステートメントと運用コマンド
このページの目次
MAC 制限と MAC 移動制限について
MAC 制限は、イーサネット スイッチング テーブルのフラッディングから保護し、レイヤー 2 インターフェイス(ポート)で有効になります。MAC 移動制限は、アクセス インターフェイス上の MAC 移動と MAC スプーフィングを検出します。VLANで有効になっています。
MAC 制限 は、VLAN 内で学習できる MAC アドレスの数を制限することで、ポート セキュリティを強化します。MAC アドレスの数を制限することで、スイッチがイーサネット スイッチング テーブル(MAC 転送テーブルまたはレイヤー 2 転送テーブルとも呼ばれる)のフラッディングから保護されます。フラッディングは、学習された新しいMACアドレスの数によってイーサネットスイッチングテーブルがオーバーフローし、以前に学習されたMACアドレスがテーブルからフラッシュされる場合に発生します。その後、スイッチは以前に学習したMACアドレスのフラッドに戻るため、パフォーマンスに影響を与え、セキュリティの脆弱性をもたらす可能性があります。
MAC 移動制限 は、VLAN 内で許可される 1 秒以内の MAC アドレス移動の数を制御することで、セキュリティを強化します。MACアドレスの移動は、スイッチがすでに学習されているが、異なるインターフェイス上の送信元MACアドレスを持つパケットをスイッチが受信したときに発生します。その後、イーサネットスイッチングテーブルが更新され、MACアドレスと新しいインターフェイスとの関連付けが反映されます。イーサネット スイッチング テーブルは MAC アドレスの移動ごとに更新する必要があるため、頻繁に移動イベントが発生すると、スイッチの処理リソースが枯渇する可能性があります。これは、MAC スプーフィング攻撃またはネットワーク内のループの結果として発生する可能性があります。
MAC 制限
MAC 制限では、MAC アドレスの数を制限するか、許可された MAC アドレスを指定することで、レイヤー 2 アクセス インターフェイスで学習できる MAC アドレスを制限します。
MACアドレス数の制限-インターフェイスごとに動的に学習(イーサネットスイッチングテーブルに追加)できるMACアドレスの最大数を設定します。制限を超えた場合、新しい MAC アドレスを持つ着信パケットを無視、ドロップ、またはログに記録するように指定できます。また、インターフェイスをシャットダウンするか、一時的に無効にするかを指定することもできます。
手記:静的 MAC アドレスは、動的 MAC アドレスに指定した制限にはカウントされません。
許可された MAC アドレスの指定 - インターフェイスに許可された MAC アドレスを設定します。設定されたアドレスのリストにないMACアドレスは学習されず、スイッチは適切なメッセージを記録します。許可された MAC アドレスは VLAN にバインドされているため、そのアドレスは VLAN の外部に登録されません。許可された MAC 設定がダイナミック MAC 設定と競合する場合は、許可された MAC 設定が優先されます。
レイヤー 2 インターフェイスで MAC 制限を構成します。VLAN 内のメンバーシップに基づいて、単一のインターフェイス、すべてのインターフェイス、または特定のインターフェイスで学習できるダイナミック MAC アドレスの最大数を指定できます(VLAN メンバーシップの MAC 制限)。
インターフェイスの最大 MAC 制限を設定する場合、MAC 制限を超えたときに着信パケットで実行するアクションを選択できます。制限を超えた場合に、着信パケットを無視、ドロップ、またはログに記録するように指定できます。また、インターフェイスをシャットダウンするか、一時的に無効にするかを指定することもできます。
MAC制限はデフォルトでは有効になっていません。ELSをサポートするデバイス上のインターフェイスのMAC制限を設定する詳細については、 MAC制限(ELS)の設定を参照してください。拡張レイヤー2ソフトウェア(ELS)をサポートしないデバイス上のインターフェイスのMAC制限を設定する詳細については、 MAC制限の設定(非ELS)を参照してください。
ELSの詳細については 、 拡張レイヤー2ソフトウェアCLIの使用 を参照してください。
MAC 移動制限
MAC 移動制限では、MAC アドレスが 1 秒以内に新しいインターフェイスに移動できる回数を制限します。MAC 移動制限が設定されている場合、MAC アドレスの移動はスイッチによって追跡されます。MAC アドレスが初めて移動したときは、常に適切な移動と見なされ、構成された MAC 移動制限にはカウントされません。MAC アドレス移動の監視は、MAC 移動制限が 1 に設定されている場合でも、最初の移動後に有効になります。
MAC 移動制限は VLAN ごとに設定します。VLAN でこの機能を有効にしても、MAC 移動制限は、VLAN 内の MAC アドレス移動の合計数ではなく、個々の MAC アドレスの移動数に適用されます。たとえば、MAC 移動制限が 1 に設定されている場合、スイッチは、同じ MAC アドレスが 1 秒間に複数回移動しない限り、VLAN 内で無制限の数の MAC アドレスの移動を許可します。
MAC アドレスの移動制限を超えた場合に実行するアクションを設定できます。制限を超えた場合に、着信パケットを無視、ドロップ、またはログに記録するように指定できます。また、インターフェイスをシャットダウンするか、一時的に無効にするかを指定することもできます。
MAC 移動制限は、デフォルトでは有効になっていません。ELSに対応していないデバイスでのMAC移動制限の設定に関する詳細については、 MAC移動制限の設定(非ELS)を参照してください。ELSをサポートするデバイスでのMAC移動制限の設定の詳細については、 MAC移動制限(ELS)の設定を参照してください。
MAC 制限と MAC 移動制限のアクション
MAC 制限または MAC 移動制限を超えたときに、以下のいずれかのアクションを実行するように選択できます。
drop
- パケットをドロップしますが、アラームは生成しません。drop-and-log
- パケットをドロップし、アラーム、SNMP トラップ、またはシステム ログ エントリを生成します。log
- パケットをドロップせず、アラーム、SNMP トラップ、またはシステム ログ エントリを生成します。none
- 新しい送信元MACアドレスでパケットを転送し、新しい送信元MACアドレスを学習します。shutdown
- VLAN のインターフェイスを無効にし、アラーム、SNMP トラップ、またはシステム ログ エントリを生成します。vlan-member-shutdown
—(EX9200のみ)Junos OSリリース15.1以降、EX9200スイッチのMAC制限とMAC移動制限に対応するvlan-member-shutdown
ステートメントがサポートされ、特定のVLANへのメンバーシップに基づいてインターフェイスをブロックし、アラーム、SNMPトラップ、またはシステムログエントリを生成することができます。
シャットダウンが発生した場合、指定した時間が経過すると、無効になったインターフェイスを自動的に復旧するようにスイッチを設定できます。ELSをサポートするデバイスで自動リカバリーを設定するには、 ポートセキュリティイベントの自動リカバリーの設定を参照してください。ELS をサポートしていないデバイスで自動リカバリーを設定するには、 ポート セキュリティ イベントの自動リカバリーの設定を参照してください。
MAC 制限機能のシステム ログ エントリを表示するには、重大度をログ通知としてシステム ロギングを設定する必要があります。 システムロギングの概要を参照してください。
無効状態から自動回復するようにスイッチを設定しない場合、以下のコマンドのいずれかを実行して、無効になっているインターフェイスを起動できます。
(ELSをサポートするデバイスの場合)—
clear ethernet-switching recovery-timeout
(ELSをサポートしていないデバイスの場合)—
clear ethernet-switching port-error
既存のdot1xセッションの場合:
MAC 制限を初めて設定すると、既存の dot1x セッションがクリアされ、ポートは接続状態に移行します。
MAC 制限を増やすと、セッションはクリアされず、ポートは認証状態のままになります。
MAC 制限を減らすか、スイッチ オプションの設定を削除すると、既存の dot1x セッションがクリアされ、ポートは接続状態に移行します。
要約すると、設定されているインターフェイスMAC制限が学習されたMACの数よりも低い場合、MACフラッシュが発生します。設定されているインターフェイスMAC制限が、学習されたMACの数よりも大きい場合、影響はありません
設定ミスを防ぐために、コミットチェックが導入されました。L2に設定されたインターフェイスのみが、これらの階層のいずれかで設定できるようになります。
ルーティングインスタンス<ルーティングインスタンス名>VLAN<VLAN名>スイッチオプションインターフェイス<インターフェイス名>を設定します
ルーティングインスタンス<ルーティングインスタンス名>ブリッジドメイン<ブリッジドメイン名>ブリッジオプションインターフェイス<インターフェイス名>を設定します
VLAN <VLAN 名>スイッチ オプション インターフェイス<インターフェイス名>の設定
ブリッジドメイン<ブリッジドメイン名>ブリッジオプションインターフェイス<インターフェイス名>の設定
VLAN <VLAN 名>スイッチ オプション MAC 移動制限インターフェイス<インターフェイス名>の設定
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。
vlan-member-shutdown
ステートメントがサポートされています。