ポート セキュリティの機能
イーサネット、ファスト イーサネット、またはギガビット イーサネット ポートへのアクセスを試みたステーションの MAC アドレスが、そのポートに指定されている MAC アドレスと異なる場合、ポート セキュリティ機能を使用してポートへのアクセスをブロックできます。また、ホスト MAC アドレスに基づく指定ホストに送信、または指定ホストから受信したトラフィックをフィルタリングすることができます。
ここでは、トラフィック フィルタリング方式について説明します。
• 「ホスト MAC アドレスに基づくトラフィックの許可」
• 「ホスト MAC アドレスに基づくトラフィックの制限」
• 「セキュア ポート上でのユニキャスト フラッディング パケットのブロック」
ホスト MAC アドレスに基づくトラフィックの許可
ポートあたりに指定できる MAC アドレスの総数には、次のような制限があります。
• Release 8.1(1) より前のソフトウェア リリースでは、1 つのポートにつき、指定できる MAC アドレスの総数は、グローバル リソースとしての 1024 に、デフォルトの MAC アドレス 1 つを加えた数です。1 ポート上の総 MAC アドレス数が 1025 を超えることはありません。
• Release 8.1(1) 以降のソフトウェア リリースでは、1 つのポートにつき、指定できる MAC アドレスの総数は、グローバル リソースとしての 4096 に、デフォルトの MAC アドレス 1 つを加えた数です。1 ポート上の総 MAC アドレス数が 4097 を超えることはありません。
各ポートに MAC アドレスの最大数を割り当てるかどうかは、ネットワーク構成によって決まります。次の組み合わせは、Release 8.1(1) より前のソフトウェア リリースで有効な割り当て例です。ロジックは Release 8.1(1) 以降のソフトウェア リリースでも同じです。
• 1 ポートに 1025(1 + 1024)個のアドレス、残りの各ポートに 1 アドレスずつ
• システム内の 2 ポートにそれぞれ 513(1 + 512)個、残りの各ポートに 1 アドレスずつ
• 1 ポートに 901(1 + 900)個、次のポートに 101(1 + 100)個、第 3 のポートに 25(1 + 24)個、残りの各ポートに 1 アドレスずつ
ポートに最大 MAC アドレス数を割り当てたあとで、そのポートに手動でセキュア MAC アドレスを指定するか、または接続装置の MAC アドレスをポートに動的に設定させることができます。ポートに割り当てられた最大数の MAC アドレスのうち、すべてを手動で設定するか、すべてを動的に学習するか、または一部を手動で設定し、残りを動的に学習することができます。手動または自動で設定したアドレスは、NVRAM(不揮発性 RAM)に保存され、リセット後も維持されます。動的に学習されたアドレスは保存されないので、スイッチのリセット後、それらはすべて消去されます。
ポートに最大 MAC アドレス数を割り当てたあとで、特定のポート上でアドレスの安全性が維持される期間を指定できます。エージング タイムが経過すると、そのポート上の MAC アドレスは非保護状態になります。デフォルトの設定では、ポート上のすべてのアドレスが永続的に保護されます。
セキュリティ違反が発生した場合に、ポートがシャットダウン モードまたは制限モードになるように設定できます。シャットダウン モードを使用すると、ポートを永続的にディセーブルにするのか、指定された期間だけディセーブルにするのかを指定できます。デフォルトの設定では、ポートは永続的にシャットダウンされます。制限モードを使用すると、セキュリティ違反が発生しても、ポートをイネーブルにしておき、非保護ホストから送られてきたパケットだけが廃棄されるように設定できます。
(注) 制限モードでセキュア ポートを設定していて、スイッチの別のポート上でセキュア MAC アドレスとして設定済みの MAC アドレスを持つポートにステーションを接続した場合、制限モードのポートはそのステーションからのトラフィックを制限するのではなく、シャットダウンしてしまいます。たとえば、ポート 2/1 のセキュア MAC アドレスとして MAC-1、ポート 2/2 のセキュア MAC アドレスとして MAC-2 を設定し、さらに、ポート 2/2 が制限モードとして設定されているときに、MAC-1 を指定してステーションとポート 2/2 を接続した場合、ポート 2/2 は MAC-1 からのトラフィックを制限するのではなく、シャットダウンします。
セキュア ポートがパケットを受信すると、そのパケットの送信元 MAC アドレスを、ポートに手動で設定された、または動的に学習された送信元セキュア アドレスのリストと比較します。ポートに接続された装置の MAC アドレスと、セキュア アドレス リストが異なる場合、ポートは永続的にシャットダウン(デフォルトのモード)するか、指定された期間だけシャットダウンするか、または非保護ホストからの着信パケットを廃棄します。ポートの動作は、セキュリティ違反に対してどのように対処するか、その設定によって決まります。
セキュリティ違反が発生すると、そのポートの LINK LED がオレンジに点灯し、SNMP(簡易ネットワーク管理プロトコル)マネージャにリンク ダウン トラップが送信されます。制限モードでポートを設定している場合は、SNMP トラップは送信されません。トラップが送信されるのは、セキュリティ違反時にシャットダウンするようにポートを設定している場合だけです。
ホスト MAC アドレスに基づくトラフィックの制限
ホスト MAC アドレスに基づいてトラフィックをフィルタリングし、特定の送信元 MAC アドレスを持つパケットを廃棄することができます。 set cam filter コマンドを使用して MAC アドレス フィルタを指定すると、指定したホスト MAC アドレスからの着信トラフィックが廃棄されます。また、指定したホストを宛先とするパケットは転送されません。
(注) set cam filter コマンドでフィルタリングできるのは、ユニキャスト アドレスだけです。このコマンドでは、マルチキャスト アドレス用のトラフィックをフィルタリングすることはできません。
セキュア ポート上でのユニキャスト フラッディング パケットのブロック
ユニキャスト フラッディング機能をディセーブルにすることで、セキュア イーサネット ポート上でユニキャスト フラッディング パケットをブロックできます。ポートでユニキャスト フラッディング パケットをディセーブルにすると、ポートは、MAC アドレスの最大許容数に達すると、ユニキャスト フラッディング パケットを廃棄します。
MAC アドレス数が最大許容数を下回ると、ポートは自動的にユニキャスト フラッディング パケットの学習を再開します。学習された MAC アドレスのカウントは、設定された MAC アドレスが削除されるか、Time to Live(TTL)カウンタに達すると減少します。
スイッチ上でのポート セキュリティの設定
ここでは、ポート セキュリティを設定する手順について説明します。
• 「ポート セキュリティのイネーブル化」
• 「セキュア MAC アドレスの最大数の設定」
• 「動的に学習された MAC アドレスの自動設定」
• 「ポート セキュリティ エージング タイムの設定」
• 「ポート セキュリティ エージング タイプの設定」
• 「MAC アドレスの消去」
• 「セキュア ポート上でのユニキャスト フラッディング ブロックの設定」
• 「セキュリティ違反時の処置の指定」
• 「シャットダウン タイムアウトの設定」
• 「ポート セキュリティのディセーブル化」
• 「ホスト MAC アドレスに基づくトラフィックの制限」
• 「ポート セキュリティの表示」
ポート セキュリティのイネーブル化
ポート上でポート セキュリティをイネーブルにすると、そのポートと対応付けられたスタティックまたはダイナミック CAM エントリは消去されます。その時点ですでに設定されている永続 CAM エントリは、安全とみなされます。
ポート セキュリティをイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ポートを指定して、ポート セキュリティをイネーブルにします。セキュア MAC アドレスも指定できます。トランク ポートでポート セキュリティをイネーブルにするには、セキュア MAC アドレスが許可されている VLAN を指定します。 |
set port security mod/port enable [ mac_addr ] [vlan_list] |
ステップ 2 |
セキュア アドレス リストに MAC アドレスを追加できます。 |
set port security mod/port mac_addr [vlan_list] |
ステップ 3 |
設定を確認します。 |
show port [ mod [ / port ]] [ mac_addr ][vlan_list] |
次に、ポート上で学習した MAC アドレスを使用してポート セキュリティをイネーブルにし、設定を確認する例を示します。
Console> (enable) set port security 2/1 enable
Port 2/1 security enabled.
Console> (enable) show port 2/1
Port Name Status Vlan Level Duplex Speed Type
----- ------------------ ---------- ---------- ------ ------ ----- ------------
2/1 connected 522 normal half 100 100BaseTX
Port Security Secure-Src-Addr Last-Src-Addr Shutdown Trap IfIndex
----- -------- ----------------- ----------------- -------- -------- -------
2/1 enabled 00-90-2b-03-34-08 00-90-2b-03-34-08 No disabled 1081
Port Broadcast-Limit Broadcast-Drop
-------- --------------- --------------
Port Align-Err FCS-Err Xmit-Err Rcv-Err UnderSize
----- ---------- ---------- ---------- ---------- ---------
Port Single-Col Multi-Coll Late-Coll Excess-Col Carri-Sen Runts Giants
----- ---------- ---------- ---------- ---------- --------- --------- ---------
--------------------------
Fri Jul 10 1998, 17:53:38
次に、ポート上でポート セキュリティをイネーブルにし、セキュア MAC アドレスを手動で指定する例を示します。
Console> (enable) set port security 2/1 enable 00-90-2b-03-34-08
Port 2/1 port security enabled with 00-90-2b-03-34-08 as the secure mac address
Trunking disabled for Port 2/1 due to Security Mode
次に、トランク ポートでポート セキュリティを設定する例を示します。
Console> (enable) set port security 2/2 00-90-2b-03-34-09 1,20,30
Mac address 00-90-2b-03-34-09 set for port 2/2 on vlan 1,20,20
セキュア MAC アドレスの最大数の設定
ポート上で保護する MAC アドレスの数を設定できます。デフォルトの設定では、1 ポートに少なくとも 1 個の MAC アドレスを保護できます。このデフォルトに加えて、次のようにポートで共有するグローバル リソースが使用可能です。
• Release 8.1(1) より前のソフトウェア リリースでは、最大 1024 個の MAC アドレスを 1 つのポートで設定できます。1 ポート上の総 MAC アドレス数が 1025 を超えることはありません。
• Release 8.1(1) 以降のソフトウェア リリースでは、最大 4096 個の MAC アドレスを 1 つのポートで設定できます。1 ポート上の総 MAC アドレス数が 4097 を超えることはありません。
一部のポートで MAC アドレスのグローバル リソース全体を使用しても、残りのポートではまだ、1 ポートに最大 1 個の MAC アドレスを使用して、ポート セキュリティをイネーブルにできます。
MAC アドレスの最大数を少なくすると、システムによって指定された数の MAC アドレスが消去され、削除したアドレスのリストが表示されます。
8.1 および 8.2 のソフトウェア リリースでは、異なる VLAN にあるアクセス ポートに単一の MAC アドレスを設定できますが、そのポートにポート セキュリティを設定できません。Release 8.3(1) 以降のソフトウェア リリースでは、トランク ポートでポート セキュリティをサポートしていますが、異なる VLAN にある複数のポートに対して単一の MAC アドレスを設定しポート セキュリティを設定できます。たとえば、MAC アドレス [00-00-aa-00-00-aa] を VLAN 10 のポート 2/1 と VLAN 20 のポート 2/2 に設定し、いずれもポート セキュリティを設定できます。両方のポートが VLAN 10 にある場合、この MAC アドレスとポート セキュリティが設定できるのはいずれか一方になります。単一の MAC アドレスとポート セキュリティを設定できるのは、1 つの VLAN に属するポートのみです。
特定のポートで保護する MAC アドレスの数を設定するには、イネーブル モードで次の作業を行います。
|
|
ポート上で保護する MAC アドレスの数を設定します。 |
set port security mod/port maximum num_of_mac |
次に、保護する MAC アドレスの数を設定する例を示します。
Console> (enable) set port security 7/7 maximum 20
Maximum number of secure addresses set to 20 for port 7/7.
次に、MAC アドレスの数を減らし、消去された MAC アドレスを表示する例を示します。
Console> (enable) set port security 7/7 maximum 18
Maximum number of secure addresses set to 18 for port 7/7
00-11-22-33-44-55 cleared from secure address list for port 7/7
00-11-22-33-44-66 cleared from secure address list for port 7/7
動的に学習された MAC アドレスの自動設定
動的に学習された MAC アドレスの自動設定により、動的に学習された MAC アドレスを特定のポートに関連付けることができます。この機能は、システム内のすべてのセキュア ポートにグローバルに適用されます。
動的に学習されたアドレスは、手動で設定されたアドレスのように処理され、設定は NVRAM に保存されます。アドレスは、セキュリティ違反によるセキュア ポートのシャットダウン、ポート セキュリティのディセーブル化、またはセキュア ポートの管理上のディセーブル化といったイベントで保存されます。
(注) 自動設定オプションを使用して設定された動的に学習されたアドレスは、いかなる状況でも消去されません。これらのアドレスは、clear port security コマンドを入力して手動で消去する必要があります。
動的に学習された MAC アドレスの自動設定をイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
動的に学習された MAC アドレスの自動設定をイネーブルにします。 |
set port security auto-configure enable | disable |
次に、動的に学習された MAC アドレスの自動設定をスイッチ上でグローバルにイネーブルにする例を示します。
Console> (enable)set port security auto-configure enable
Automatic configuration of secure learnt addresses enabled.
自動設定を確認するには、 show port security statistics system コマンドを入力します。
Console> (enable) show port security statistics system
Auto-Configure Option: Enabled
Total global address space used (out of 4096): 0
Total global address space used (out of 4096): 0
Total global address space used (out of 4096): 0
Total secure ports in the system: 0
Total secure MAC addresses in the system: 74
Total global MAC address resource used in the system (out of 4096): 0
ポート セキュリティ エージング タイムの設定
ポートのエージング タイムによって、そのポート上のすべてのアドレスの保護期間を指定します。このエージング タイムは、MAC アドレスがそのポート上のトラフィックを開始したときからアクティブになります。MAC アドレスに対応するエージング タイムが満了すると、ポート上のその MAC アドレスに対応するエントリがセキュア アドレス リストから削除されます。有効な範囲は 1 ~ 1440 分です。エージング タイムをゼロに設定すると、セキュア アドレスのエージングがディセーブルになります。
ポート上でエージング タイムを設定するには、イネーブル モードで次の作業を行います。
|
|
ポート上の保護するアドレスにエージング タイムを設定します。 |
set port security mod/port age time |
次に、ポート 7/7 上にエージング タイムを設定する例を示します。
Console> (enable) set port security 7/7 age 600
Secure address age time set to 600 minutes for port 7/7.
ポート セキュリティ エージング タイプの設定
(注) set port security mod/port timer-type {absolute | inactivity}コマンドは、Supervisor Engine 720 および Supervisor Engine 32 でのみサポートされています。
Release 8.2(1) 以降のソフトウェア リリースでは、ポート単位でエージングのタイプを設定し、動的に学習されたアドレスに適用できます。エージングのタイプには次の 2 つがあります。
• 絶対エージング ― age_time を超過すると、MAC アドレスはトラフィックのパターンに関係なく期限切れとなります。これはすべてのセキュア ポートでデフォルトであり、 age_time は 0 に設定されます。
• 非アクティブ エージング ― 対応するホストが age_time を超過して非アクティブであった場合だけ、MAC アドレスは期限切れとなります。
動的に学習されたアドレスのポート セキュリティ エージング タイプをポートごとに設定するには、イネーブル モードで次の作業を行います。
|
|
動的に学習されたアドレスのポート セキュリティ エージング タイプをポート単位で設定します。 |
set port security mod/port timer-type { absolute | inactivity } |
次に、ポート 5/1 上に異なるポート セキュリティ エージング タイプを設定する例を示します。
Console> (enable) set port security 5/1 timer-type absolute
Port 5/1 security timer type absolute.
Console> (enable) set port security 5/1 timer-type inactivity
Port 5/1 security timer type inactive.
MAC アドレスの消去
clear port security コマンドを使用して、ポート上のセキュア アドレス リストから MAC アドレスを消去します。
(注) 使用中の MAC アドレスに clear コマンドを入力した場合、その MAC アドレスが学習されて、再び保護される可能性があります。ポート セキュリティをディセーブルにしてから、MAC アドレスを消去するようにしてください。
セキュア MAC アドレス リストからすべての MAC アドレス、または特定の MAC アドレスを消去するには、イネーブル モードで次の作業を行います。
|
|
セキュア MAC アドレス リストから全部または特定の MAC アドレスを消去します。
(注) トランク ポートでは、VLAN リスト パラメータを使用して 1 つまたは複数の特定 VLAN のリストから MAC アドレスを消去できます。all キーワードを指定すると、トランク ポート上にあるすべての VLAN 用のセキュア MAC アドレス リストから MAC アドレスが消去されます。
|
clear port security mod/port all | mac_addr [ all | vlan_list] |
次に、ポート 3/37 上のセキュア アドレス リストから MAC アドレスを 1 つ消去する例を示します。
Console> (enable) clear port security 3/37 00-00-aa-00-00-aa 20,30
Secure MAC address 00-00-aa-00-00-aa cleared for port 3/37 and Vlan 20.
Secure MAC address 00-00-aa-00-00-aa cleared for port 3/37 and Vlan 30.
次に、ポート 3/37 からすべての MAC アドレスを消去する例を示します。
Console> (enable) clear port security 3/37 00-00-aa-00-00-aa all
Secure MAC address 00-00-aa-00-00-aa cleared for port 3/37 and Vlan 1.
Secure MAC address 00-00-aa-00-00-aa cleared for port 3/37 and Vlan 20.
Secure MAC address 00-00-aa-00-00-aa cleared for port 3/37 and Vlan 30.
次に、トランク ポート 2/2 の VLAN 1 から MAC アドレスをすべて消去する例を示します。
Console> (enable) clear port security 2/2 00-90-2b-03-34-09 1
Secure MAC address 00-90-2b-03-34-09 cleared for port 2/2 and Vlan 1.
セキュア ポート上でのユニキャスト フラッディング ブロックの設定
セキュア ポートでユニキャスト フラッディング ブロックを設定するには、ユニキャスト フラッディング機能をディセーブルにします。
(注) MAC アドレスの限度に達すると、ポートはユニキャスト フラッディングをディセーブルにします。
セキュア ポート上でユニキャスト フラッディング ブロックを設定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
指定のセキュア ポート上でユニキャスト フラッディング ブロックをディセーブルにします。 |
set port security mod/port unicast-flood disable |
ステップ 2 |
ユニキャスト フラッディングの設定を確認します。 |
show port security mod/port |
ステップ 3 |
ユニキャスト フラッディング ブロックのステータスを確認します。 |
show port unicast-flood mod / port |
次に、ポート上でユニキャスト フラッディング パケットをディセーブルにするようにスイッチを設定し、設定を確認する例を示します。
Console> (enable) set port security 4/1 unicast-flood disable
Port 4/1 security flood mode set to disable.
Console> (enable) show port security 4/1
Port Security Violation Shutdown-Time Age-Time Max-Addr Trap IfIndex
----- -------- --------- ------------- -------- -------- -------- -------
4/1 disabled shutdown 0 0 1 disabled 50
Port Num-Addr Secure-Src-Addr Age-Left Last-Src-Addr Shutdown/Time-Left
----- -------- ----------------- -------- ----------------- ------------------
Port Flooding on Address Limit
---- -------------------------
Console> (enable) show port unicast-flood 4/1
(注) show port unicast-flood コマンドにより、ユニキャスト フラッディング ブロックの実行時のステータスが表示されます。出力では、ポートがアドレスの限度を超えているかどうかに応じて、ユニキャスト フラッディングがイネーブルまたはディセーブルのいずれになっているかが表示されます。
セキュリティ違反時の処置の指定
ポートには、セキュリティ違反に対する処理として、次の 2 つのモードを設定できます。
• シャットダウン ― ポートを永続的にまたは指定した期間だけシャットダウンします。永続的なシャットダウンがデフォルトのモードです。
• 制限 ― 非保護ホストから送られてきたすべてのパケットを廃棄しますが、ポートは引き続きイネーブルです。
セキュリティ違反の発生時にとるべき処置を指定するには、イネーブル モードで次の作業を行います。
|
|
ポート上での違反発生時の処置を指定します。 |
set port security mod/port violation { shutdown | restrict } |
次に、ポート 7/7 上で、非保護ホストから送られたすべてのパケットを廃棄するように指定する例を示します。
Console> (enable) set port security 7/7 violation restrict
Port security violation on port 7/7 will cause insecure packets to be dropped.
(注) ポートのセキュア MAC アドレス数を 1 に制限して、他のホストがそのポートに接続しようとした場合、ポート セキュリティによって、他のホストからそのポートに接続することが禁止されるとともに、VLAN エージング タイムの間、同じ VLAN 内のすべてのポートへの接続が防止されます。デフォルトの設定では、VLAN エージング タイムは 5 分です。セキュア ポートであるために、同一 VLAN 内のポートにホストが接続できない場合は、VLAN エージング タイムが経過したあとで、もう一度ホストからポートに接続してください。
シャットダウン タイムアウトの設定
セキュリティ違反が発生した場合に、ポートをディセーブルにしておく時間を指定できます。デフォルトの設定では、ポートは永続的にシャットダウンされます。有効な範囲は 1 ~ 1440 分です。
この時間をゼロに設定すると、そのポートではシャットダウンがディセーブルになります。
(注) シャットダウン タイムが満了すると、ポートは再びイネーブルになり、ポート セキュリティ関連のすべての設定が維持されます。
シャットダウン タイムアウトを設定するには、イネーブル モードで次の作業を行います。
|
|
ポート上でシャットダウン タイムアウトを設定します。 |
set port security mod/port shutdown time |
次に、ポート 7/7 上でシャットダウン タイムアウト値を 600 分に設定する例を示します。
Console> (enable) set port security 7/7 shutdown 600
Secure address shutdown time set to 600 minutes for port 7/7.
ポート セキュリティのディセーブル化
ポート セキュリティをディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ポートを指定して、ポート セキュリティをディセーブルにします。 |
set port security mod/port disable |
ステップ 2 |
設定を確認します。 |
show port security [ mod / port ] |
次に、ポート セキュリティをディセーブルにする例を示します。
Console> (enable) set port security 2/1 disable
Port 2/1 port security disabled.
Console> (enable) show port security 2/1
Port Security Violation Shutdown-Time Age-Time Max-Addr Trap IfIndex
----- -------- --------- ------------- -------- -------- -------- -------
3/24 disabled restrict 20 300 10 disabled 921
Port Num-Addr Secure-Src-Addr Age-Left Last-Src-Addr Shutdown/Time-Left
----- -------- ----------------- -------- ----------------- ------------------
3/24 1 00-e0-4f-ac-b4-00 - - - -
ホスト MAC アドレスに基づくトラフィックの制限
特定の MAC アドレスのトラフィックを制限するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
指定した MAC アドレスとの間の送信または受信トラフィックを制限します。 |
set cam { static | permanent } filter unicast_mac vlan |
ステップ 2 |
フィルタを削除します。 |
clear cam mac_address vlan |
ステップ 3 |
設定を確認します。 |
show cam { static | permanent } |
次に、特定の MAC アドレスに対するトラフィックを制限するフィルタを作成する例を示します。
Console> (enable) set cam static filter 00-02-03-04-05-06 1
Filter entry added to CAM table.
次に、フィルタを消去する例を示します。
Console> (enable) clear cam 00-02-03-04-05-06 1
次に、スタティック CAM エントリを表示する例を示します。
VLAN Dest MAC/Route Des [CoS] Destination Ports or VCs /[Protocol Type]
---- ------------------ ----- -------------------------------------------
3 04-04-05-06-07-08 * FILTER
ポート セキュリティの表示
show port security コマンドを使用すると、次の情報が表示されます。
• ポートのセキュア MAC アドレス リスト
• ポート上で使用できる最大セキュア アドレス数
• セキュア MAC アドレスの総数
• エージング タイム
• 残っているエージング タイムおよびシャットダウンのタイムアウトまでの時間
• シャットダウン/セキュリティ モード
• ポート セキュリティ関連の統計情報
ポート セキュリティの設定情報および統計情報を表示するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
設定を表示します。 |
show port security [statistics] mod/port |
ステップ 2 |
ポート セキュリティの統計情報を表示します。 |
show port security statistics [system] [ mod/port ] |
次に、ポート セキュリティの設定情報および統計情報を表示する例を示します。
Console> (enable) show port security 4/1
* = Configured MAC Address
Port Security Violation Shutdown-Time Age-Time Maximum-Addrs Trap IfIndex
----- -------- --------- ------------- -------- ------------- -------- -------
4/1 enabled shutdown 120 1440 25 disabled 3
Port Secure-Src-Addrs Age-Left Last-Src-Addr Shutdown Shutdown-Time-Left
---- ----------------- -------- ----------------- -------- ------------------
4/1 00-11-22-33-44-55 4 00-11-22-33-44-55 No -
Port Flooding on Address Limit
----- -------------------------
Console> (enable) show port security statistics 4/1
Port Total-Addrs Maximum-Addrs
----- ----------- -------------
次に、モジュールに関してポート セキュリティの統計情報を表示する例を示します。
Console> (enable) show port security statistics 7
Port Total-Addrs Maximum-Addrs
----- ----------- -------------
Total MAC address(es): 223
Total global address space used (out of 4096): 199
次に、システムに関してポート セキュリティの統計情報を表示する例を示します。
Console> (enable) show port security statistics system
Auto-Configure Option: Enabled
Total global address space used (out of 4096): 0
Total global address space used (out of 4096): 0
Total global address space used (out of 4096): 0
Total secure ports in the system: 0
Total secure MAC addresses in the system: 74
Total global MAC address resource used in the system (out of 4096): 0
MAC アドレス モニタリングの設定
ここでは、MAC アドレス モニタリングを設定する手順について説明します。
• 「グローバル MAC アドレス モニタリングの設定」
• 「CAM テーブル内の MAC アドレスのモニタリング」
• 「モニタリングのポーリング間隔の指定」
• 「MAC アドレス モニタリングの下限スレッシュホールドの指定」
• 「MAC アドレス モニタリングの上限スレッシュホールドの指定」
• 「MAC アドレス モニタリング設定の消去」
• 「CAM モニタの設定の表示」
• 「CAM モニタのグローバル設定の表示」
グローバル MAC アドレス モニタリングの設定
MAC アドレス モニタリングをグローバルにイネーブルまたはディセーブルにできます。MAC アドレス モニタリングをグローバルにディセーブルにしても設定は消去されません。
MAC アドレス モニタリングをグローバルにイネーブルまたはディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
MAC アドレス モニタリングをグローバルにイネーブルまたはディセーブルにします。
(注) デフォルトで、モニタリングはグローバルにイネーブルです。
|
set cam monitor { disable | enable } |
次に、グローバル MAC アドレス モニタリング設定をディセーブルおよびイネーブルにする例を示します。
Console> (enable) set cam monitor disable
Console> (enable) set cam monitor enable
CAM テーブル内の MAC アドレスのモニタリング
学習されて CAM テーブルに保存された MAC アドレスをモニタするには、イネーブル モードで次の作業を行います。
|
|
ポート単位、VLAN 単位、またはポート/VLAN 単位ベースで学習されて CAM テーブルに保存されている MAC アドレスをモニタします。
(注) MAC アドレス モニタリングは、インターフェイス(ポート、VLAN、ポート/VLAN ベース)上でデフォルトでディセーブルです。
|
set cam monitor {disable | enable} [mod/port | {mod/port vlan } | vlan] |
次に、特定のポートで学習されて CAM テーブルに保存されている MAC アドレスをモニタする例を示します。
Console> (enable) set cam monitor enable 3/1
Successfully enabled cam monitor on 3/1
次に、特定のポートで学習された MAC アドレスのモニタリングをディセーブルにする例を示します。
Console> (enable) set cam monitor disable 3/1
Successfully disabled cam monitor on 3/1
モニタリングのポーリング間隔の指定
MAC アドレス モニタリングはソフトウェアでサポートされています。CAM テーブルに多くの MAC アドレスと多くの設定済みインターフェイス(ポート、VLAN、またはポート VLAN)がある場合、CPU 使用率が上がります。 set cam monitor interval コマンドを入力してソフトウェア ポーリング間隔を調整することで、CPU の負荷を低減できます。
CAM テーブルのポーリング間隔を指定するには、イネーブル モードで次の作業を行います。
|
|
CAM テーブルのモニタリングに関するポーリング間隔を秒単位で指定します。有効な範囲は 5 ~ 30 秒です。
(注) デフォルトのポーリング間隔は 5 秒です。
|
set cam monitor interval time_s |
次に、CAM テーブルのポーリング間隔を指定する例を示します。
Console> (enable) set cam monitor interval 20
Cam monitor interval set to 20 sec
MAC アドレス モニタリングの下限スレッシュホールドの指定
MAC アドレス モニタリングの下限スレッシュホールドを指定するには、イネーブル モードで次の作業を行います。
|
|
MAC アドレス モニタリングの下限スレッシュホールドと、システムがこのスレッシュホールドを超過した場合に行う処置について指定します。下限スレッシュホールドの有効な範囲は 5 ~ 32000 です。
(注) no-learn キーワードを指定する場合、設定はポート/VLAN 設定で、違反発生時には、すべての VLAN 上のポートで MAC アドレスの学習を停止します。warning キーワードを指定した場合、下限スレッシュホールドを超過するとシステムはシステム メッセージを表示します。
|
set cam monitor low-threshold value [action {no-learn | warning}] {mod/port | {mod/port vlan } | vlan} |
次に、ポートの下限スレッシュホールドとスレッシュホールドを超過した場合に行う処置を指定する例を示します。
Console> (enable) set cam monitor low-threshold 500 action warning 3/1
Successfully configured cam monitor on 3/1
MAC アドレス モニタリングの上限スレッシュホールドの指定
MAC アドレス モニタリングの上限スレッシュホールドを指定するには、イネーブル モードで次の作業を行います。
|
|
MAC アドレス モニタリングの上限スレッシュホールドと、システムがこのスレッシュホールドを超過した場合に行う処置について指定します。上限スレッシュホールドの有効な範囲は 5 ~ 32000 です。
(注) no-learn キーワードを指定する場合、設定はポートと VLAN の組み合わせで、違反発生時には、VLAN 上のすべてのポートで MAC アドレスの学習を停止します。shutdown キーワードを指定し、設定がポートと VLAN の組み合わせの場合、違反発生時にはポートを errdisable にします。warning キーワードを指定した場合、上限スレッシュホールドを超過するとシステムはシステム メッセージを表示します。
|
set cam monitor high-threshold value [action {no-learn | shutdown | warning}] {mod/port | {mod/port vlan } | vlan} |
次に、ポートの上限スレッシュホールドとスレッシュホールドを超過した場合に行う処置を指定する例を示します。
Console> (enable) set cam monitor high-threshold 28000 action shutdown 3/1
Successfully configured cam monitor on 3/1
MAC アドレス モニタリング設定の消去
MAC アドレス モニタリングの設定を消去するには、イネーブル モードで次の作業を行います。
|
|
MAC アドレス モニタリングの設定を消去します。 |
clear cam monitor mod/port | mod/port vlan | vlan clear cam monitor all clear cam monitor high-threshold mod/port | mod/port vlan | vlan clear cam monitorlow-threshold mod/port | mod/port vlan | vlan |
次に、ポート 3/1 上で上限スレッシュホールドを消去する例を示します。
Console> (enable) clear cam monitor high-threshold 3/1
Successfully cleared high-threshold on 3/1
次に、すべてのポートから CAM テーブル モニタリングおよび MAC アドレス モニタリング設定を消去する例を示します。
Console> (enable) clear cam monitor all
Cleared all cam monitor configuration
CAM モニタの設定の表示
CAM モニタの設定を表示するには、イネーブル モードで次の作業を行います。
|
|
CAM モニタの設定を表示します。 |
show cam monitor [mod/port | mod/port vlan | vlan | all] |
次に、CAM モニタの設定を表示する例を示します。
Console> (enable) show cam monitor all
Cam monitor global configuration:
Port Status Low Low High High No. of
Threshold Action Threshold Action mac addrs
------ -------- --------- -------- --------- -------- ---------
3/1 enabled 500 warning 32000 warning 0
4/2 enabled 500 warning* 32000 warning 0
CAM モニタのグローバル設定の表示
グローバル CAM モニタの設定を表示するには、イネーブル モードで次の作業を行います。
|
|
CAM モニタのグローバル設定を表示します。 |
show cam monitor |
Console> (enable) show cam monitor
Cam monitor global configuration: