イーサネット接続されたエンドシステムにおけるレイヤー2ポートセキュリティ機能の設定

このセクションでは、次のレイヤー 2 ポートセキュリティ機能を構成する方法を示します。これらの機能の概要については、データセンターファブリックのイーサネット接続されたエンドシステム上のレイヤー2ポートセキュリティ機能ブループリントアーキテクチャのコンポーネント

ストーム制御の設定

このサンプル構成では、ストーム制御レートが、サーバー向けの集合型イーサネットインターフェイス上の BUM トラフィックを制限します。BUM トラフィックの量がインターフェイスで使用可能な帯域幅の 6% を超えると、ブロードキャストストームを防ぐためにストーム制御がそれをドロップします。

ストーム制御を有効にするには:

ストーム制御プロファイルを作成し、BUM トラフィックに使用できる帯域幅の割合を指定します。
ストーム制御プロファイルをイングレスレイヤー2インターフェイスに適用します。プロファイルをインターフェイスに適用すると、そのインターフェイスはデフォルトのスイッチインターフェイスに存在します。

ストーム制御の検証

ストーム制御アクティビティを確認するには、ストーム制御に関連するシステムログメッセージをフィルタリングします。

MAC フィルタリングを使用したポートセキュリティの設定

MAC フィルタリングを設定するには、ファイアウォールフィルターを作成して、サポートされている一致条件を 1 つ以上指定します。QFX5110スイッチおよびQFX10000スイッチでサポートされている一致条件の一覧については、https://www.juniper.net/documentation/en_US/junos/topics/concept/evpn-vxlan-security-monitor.html を参照してください。次に、ファイアウォールフィルターをレイヤー2インターフェイスに適用します。

MAC フィルタリングを設定するには:

イングレスインターフェイス用のファイアウォールフィルターを作成します。

ファイアウォールフィルターをアクセスインターフェイス/レイヤー2インターフェイスのイングレスに適用します。

エグレスインターフェイス用のファイアウォールフィルターを作成します。

ファイアウォールフィルターをエグレスインターフェイスに適用します。

MAC フィルタリングの検証

イングレスインターフェイスの MAC フィルタリングを確認します。

エグレスインターフェイスのMACフィルタリングを検証します。

アナライザベースのポートミラーリングの設定

このセクションでは、アンダーレイインターフェイス上のイングレストラフィックを他の物理ポートにミラーリングする方法を示します。

ミラーリングされたトラフィックの送信元ポートと宛先ポートが、同じリーフまたは同じスパイン上にある。

インターフェイス ae1.0 でイングレストラフィックをミラーリングするようにアナライザを設定します。
ミラーリングするパケットの宛先インターフェイスを設定します。
他のスイッチに接続するインターフェイス(アップリンクインターフェイス)をトランクモードに設定し、適切な VLAN に関連付けます。

ポートミラーリングの検証

ポートミラーリングを確認するには:

レイヤー 2 ポートセキュリティ機能 — リリース履歴

表1 は、このセクションのすべての機能と、このリファレンスデザインでのサポートについての歴史を示しています。

表 1: レイヤー 2 ポートセキュリティのリリース履歴
リリース	説明
19.1R2	同リリースのJunos OSリリース19.1R2以降のリリースで動作するQFX5120-32Cスイッチは、MACフィルタリング、ストーム制御、ポートミラーリングと分析をサポートしています。同リリースのJunos OSリリース19.1R2以降のリリースを実行しているQFX10002-60Cスイッチは、MACフィルタリングをサポートしています。これらのスイッチは、ストーム制御、ポートミラーリングおよび分析をサポートしていません。
18.4R2	同じリリースのJunos OSリリース18.4R2以降のリリースを実行するQFX5120-48Yスイッチは、このセクションに記載されているすべての機能をサポートしています。
18.1R3-S3	同じリリーストレインで Junos OS リリース 18.1R3-S3 以降のリリースをサポートするリファレンスデザイン内のすべてのデバイスは、このセクションに記載されているすべての機能もサポートしています。

このページの目次