Cisco 7600 シリーズ ルータ Cisco IOS ソフトウェア コンフィギュレーション ガイド Release 15.0S
ポート セキュリティの設定
ポート セキュリティの設定
発行日;2012/10/11 | 英語版ドキュメント(2012/10/07 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ポート セキュリティの設定

ポート セキュリティの概要

ダイナミックに学習される MAC アドレスとスタティック MAC アドレスによるポート セキュリティ

スティッキ MAC アドレスによるポート セキュリティ

デフォルトのポート セキュリティ設定

ポートセキュリティに関する注意事項および制約事項

ポート セキュリティの設定

ポート セキュリティのイネーブル化

トランクでのポート セキュリティのイネーブル化

アクセス ポートでのポート セキュリティのイネーブル化

ポートでのポート セキュリティ違反モードの設定

ポートでのセキュア MAC アドレスの最大数の設定

スティッキ MAC アドレスによるポート セキュリティのポートでのイネーブル化

ポートでのスタティック セキュア MAC アドレスの設定

ポートでのセキュア MAC アドレスのエージング設定

ポートでのセキュア MAC アドレスのエージング タイプの設定

ポートでのセキュア MAC アドレスのエージング タイムの設定

ポート セキュリティ設定の表示

ポート セキュリティの設定

この章では、ポート セキュリティ機能を設定する手順について説明します。


) この章で使用しているコマンドの構文および使用方法の詳細については、次の URL にある『Cisco 7600 Series Routers Command References』を参照してください。

http://www.cisco.com/en/US/products/hw/routers/ps368/prod_command_reference_list.html


 

この章で説明する内容は、次のとおりです。

「ポート セキュリティの概要」

「デフォルトのポート セキュリティ設定」

「ポートセキュリティに関する注意事項および制約事項」

「ポート セキュリティの設定」

「ポート セキュリティ設定の表示」

ポート セキュリティの概要

ここでは、ポート セキュリティについて説明します。

「ダイナミックに学習される MAC アドレスとスタティック MAC アドレスによるポート セキュリティ」

「スティッキ MAC アドレスによるポート セキュリティ」

ダイナミックに学習される MAC アドレスとスタティック MAC アドレスによるポート セキュリティ

ダイナミックに学習される MAC アドレス、およびスタティック MAC アドレスを使用したポート セキュリティでは、ポートへのトラフィック送信を許可する MAC アドレスを制限できるので、ポートの入力トラフィックを制限できます。セキュア ポートにセキュア MAC アドレスを割り当てると、ポートは、定義されたアドレスのグループ外に送信元アドレスがある入力トラフィックを転送しません。セキュア MAC アドレスの数を 1 つに制限し、単一のセキュア MAC アドレスを割り当てると、そのポートに接続されているデバイスはそのポートの全帯域を使用できます。

次のいずれかの場合に、セキュリティ違反が発生します。

ポート セキュリティは、セキュア MAC アドレスがセキュア ポートで最大数に達した場合に、識別されたどのセキュア MAC アドレスとも入力トラフィックの送信元 MAC アドレスが異なると、設定された違反モードを適用します。

ポート セキュリティは、特定のセキュア ポートで設定または学習されたセキュア MAC アドレスを持つトラフィックが、同一 VLAN 上の別のセキュア ポートにアクセスしようとすると、シャットダウン違反モードを適用します。


) 特定のセキュア ポートでセキュア MAC アドレスが設定または学習されたあと、同一 VLAN 上の別のポートでポート セキュリティがセキュア MAC アドレスを検出したときに発生する一連のイベントは、MAC 移動の違反と呼ばれます。


違反モードの詳細については、「ポートでのポート セキュリティ違反モードの設定」を参照してください。

ポートにセキュア MAC アドレスの最大数を設定すると、ポート セキュリティによって、次のいずれかの方法でアドレス テーブルにセキュア アドレスが組み込まれます。

すべてのセキュア MAC アドレスを、 switchport port-security mac-address mac_address インターフェイス コンフィギュレーション コマンドを使用してスタティックに設定できます。

接続されているデバイスの MAC アドレスで、ポートがセキュア MAC アドレスをダイナミックに設定するようにすることができます。

アドレス数をいくつかスタティックに設定し、残りのアドレスがダイナミックに設定されるようにすることができます。

ポートがリンクダウン状態になると、ダイナミックに学習されたアドレスはすべて削除されます。

起動、リロード、またはリンクダウン状態のあとは、ポートが入力トラフィックを受信するまで、ポート セキュリティは、ダイナミックに学習された MAC アドレスをアドレス テーブルに読み込みません。

最大数のセキュア MAC アドレスがアドレス テーブルに追加された時点で、アドレス テーブルにはない MAC アドレスからのトラフィックをポートが受信すると、セキュリティ違反となります。

protect、restrict、または shutdown の違反モードのいずれかにポートを設定できます。「ポート セキュリティの設定」を参照してください。

アドレスの最大数を 1 に設定し、接続されたデバイスの MAC アドレスを設定すると、そのデバイスにはポートの全帯域幅が保証されます。

スティッキ MAC アドレスによるポート セキュリティ

スティッキ MAC アドレスを使用するポート セキュリティには、スタティック MAC アドレスによるポート セキュリティと同様の多数の利点がありますが、さらに、スティッキ MAC アドレスはダイナミックに学習できます。

スティッキ MAC アドレスを使用したポート セキュリティでは、リンクダウン状態の発生中も、ダイナミックに学習された MAC アドレスを維持します。

write memory または copy running-config startup-config コマンドを入力すると、スティッキ MAC アドレスによるポート セキュリティは、ダイナミックに学習された MAC アドレスを startup-config ファイルに保存します。したがって、起動後または再起動後に、ポートが入力トラフィックからアドレスを学習する必要がありません。

デフォルトのポート セキュリティ設定

表 50-1 にインターフェイス用のデフォルトのポート セキュリティ設定を示します。

 

表 50-1 デフォルトのポート セキュリティ設定

機能
デフォルト設定

ポート セキュリティ

ポートで、ディセーブルに設定されています。

セキュア MAC アドレスの最大数

1

違反モード

shutdown。セキュア MAC アドレスが最大数を超過した場合、ポートはシャットダウンし、SNMP トラップ通知が送信されます。

ポートセキュリティに関する注意事項および制約事項

ポート セキュリティを設定する場合、次の注意事項に従ってください。

errdisable ステートのセキュア ポートを、デフォルトのポート セキュリティ設定によって回復するには、 errdisable recovery cause shutdown グローバル コンフィギュレーション コマンドを入力します。または、 shutdown および no shut down インターフェイス コンフィギュレーション コマンドを入力して、このセキュア ポートを手動で再びイネーブルに戻すこともできます。

ダイナミックに学習されたすべてのセキュア アドレスを消去するには、 clear port-security dynamic グローバル コンフィギュレーション コマンドを入力します。構文の詳細については、『 Cisco 7600 Series Router Cisco IOS Command Reference 』を参照してください

ポート セキュリティは、許可された MAC アドレスを特定のビット セットとともに学習します。このビット セットにより、このアドレスから送信されるトラフィック、およびこのアドレス宛てに送信されるトラフィックはいずれも廃棄されます。 show mac-address-table コマンドを使用すると、無許可の MAC アドレスを表示できますが、ビット ステートは表示されません (CSCeb76844)。

スティッキ MAC アドレスがダイナミックに学習されたあとに、このアドレスを保持して、起動またはリロード後にポートに設定されるようにするには、 write memory または copy running-config startup-config コマンドを入力して、アドレスを startup-config ファイルに保存する必要があります。

ポート セキュリティは、Private VLAN(PVLAN; プライベート VLAN)ポートをサポートします。

ポート セキュリティは、非交渉トランクをサポートします。

ポート セキュリティは、次のコマンドで設定したトランクだけをサポートします。

switchport
switchport trunk encapsulation
switchport mode trunk
switchport nonegotiate

セキュア アクセス ポートをトランクとして再設定すると、ポート セキュリティは、アクセス VLAN でダイナミックに学習されたこのポートのすべてのスティッキおよびスタティック セキュア アドレスを、トランクのネイティブ VLAN 上のスティッキまたはスタティック セキュア アドレスに変換します。ポート セキュリティによって、アクセス ポートの音声 VLAN 上のすべてのセキュア アドレスが削除されます。

セキュア トランクをアクセス ポートとして再設定すると、ポート セキュリティは、ネイティブ VLAN で学習されたすべてのスティッキおよびスタティック アドレスを、アクセス ポートのアクセス VLAN で学習されたアドレスに変換します。ポート セキュリティによって、ネイティブ VLAN 以外の VLAN で学習されたすべてのアドレスが削除されます。


) ポート セキュリティは、IEEE 802.1Q トランクおよび ISL トランク双方に対し、switchport trunk native vlan コマンドで設定した VLAN ID を使用します。


ポート セキュリティは、トランクをサポートします。

ポート セキュリティは、IEEE 802.1Q トンネル ポートをサポートします。

ポート セキュリティは、スイッチド ポート アナライザ(SPAN)宛先ポートをサポートしません。

ポート セキュリティは、EtherChannel のポートチャネル インターフェイスをサポートしません。

ポート セキュリティおよび 802.1x ポート ベースの認証は、同一ポート上には設定できません。

セキュア ポートで 802.1x ポート ベース認証をイネーブルにしようとすると、エラー メッセージが表示され、このポートで 802.1x ポート ベース認証はイネーブルになりません。

802.1x ポート ベース認証用に設定したポートでポート セキュリティをイネーブルにしようとすると、エラー メッセージが表示され、このポートでポート セキュリティはイネーブルになりません。

ポート セキュリティの設定

ここでは、ポート セキュリティを設定する手順について説明します。

「ポート セキュリティのイネーブル化」

「ポートでのポート セキュリティ違反モードの設定」

「ポートでのセキュア MAC アドレスの最大数の設定」

「スティッキ MAC アドレスによるポート セキュリティのポートでのイネーブル化」

「ポートでのスタティック セキュア MAC アドレスの設定」

「ポートでのセキュア MAC アドレスのエージング設定」

ポート セキュリティのイネーブル化

ここでは、ポート セキュリティをイネーブルにする手順について説明します。

「トランクでのポート セキュリティのイネーブル化」

「アクセス ポートでのポート セキュリティのイネーブル化」

トランクでのポート セキュリティのイネーブル化

ポート セキュリティは、非交渉トランクをサポートします。


注意 セキュア アドレス数はデフォルトで 1 であり、違反に対するデフォルト アクションはポートのシャットダウンであるため、トランクでポート セキュリティをイネーブルにする前に、このポートのセキュア MAC アドレスの最大数を設定します(「ポートでのセキュア MAC アドレスの最大数の設定」を参照)。

トランクでポート セキュリティをイネーブルにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 1 slot/port

設定する LAN ポートを選択します。

ステップ 2

Router(config-if)# switchport

ポートをレイヤ 2 スイッチポートとして設定します。

ステップ 3

Router(config-if)# switchport trunk encapsulation { isl | dot1q }

カプセル化を設定して、レイヤ 2 スイッチング ポートを ISL または 802.1Q トランクとして設定します。

ステップ 4

Router(config-if)# switchport mode trunk

無条件にポートをトランクに設定します。

ステップ 5

Router(config-if)# switchport nonegotiate

DTP を使用しないようにトランクを設定します。

ステップ 6

Router(config-if)# switchport port-security

トランクでポート セキュリティをイネーブルにします。

Router(config-if)# no switchport port-security

トランクでポート セキュリティをディセーブルにします。

ステップ 7

Router(config-if)# do show port-security interface type 1 slot/port | include Port Security

設定を確認します。

1.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

次に、ファスト イーサネット ポート 5/36 を非交渉トランクとして設定し、ポート セキュリティをイネーブルにする例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/36
Router(config-if)# switchport
Router(config-if)# switchport mode trunk
Router(config-if)# switchport nonegotiate
Router(config-if)# switchport port-security
Router(config-if)# do show port-security interface fastethernet 5/36 | include Port Security
Port Security : Enabled

アクセス ポートでのポート セキュリティのイネーブル化

アクセス ポートでポート セキュリティをイネーブルにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 2 slot/port

設定する LAN ポートを選択します。

(注) ポートは、トンネル ポートまたは PVLAN ポートとして使用できます。

ステップ 2

Router(config-if)# switchport

ポートをレイヤ 2 スイッチポートとして設定します。

ステップ 3

Router(config-if)# switchport mode access

ポートをレイヤ 2 アクセス ポートとして設定します。

(注) デフォルト モード(dynamic desirable)のポートは、セキュア ポートとして設定できません。

ステップ 4

Router(config-if)# switchport port-security

ポートのポート セキュリティをイネーブルにします。

Router(config-if)# no switchport port-security

ポートのポート セキュリティをディセーブルにします。

ステップ 5

Router(config-if)# do show port-security interface type 1 slot/port | include Port Security

設定を確認します。

2.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

次に、ファスト イーサネット ポート 5/12 でポート セキュリティをイネーブルにする例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/12
Router(config-if)# switchport
Router(config-if)# switchport mode access
Router(config-if)# switchport port-security
Router(config-if)# do show port-security interface fastethernet 5/12 | include Port Security
Port Security : Enabled

ポートでのポート セキュリティ違反モードの設定

ポートでポート セキュリティの違反モードを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 3 slot/port

設定する LAN ポートを選択します。

ステップ 2

Router(config-if)# switchport port-security violation { protect | restrict | shutdown }

(任意)違反モード、およびセキュリティ違反が検出されたときのアクションを設定します。

Router(config-if)# no switchport port-security violation

デフォルト設定( shutdown )に戻します。

ステップ 3

Router(config-if)# do show port-security interface type 1 slot/port | include violation_mode4

設定を確認します。

3.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

4.violation_mode = protectrestrict、または shutdown

ポート セキュリティの違反モードを設定する場合、次の点に注意してください。

protect :十分な数のセキュア MAC アドレスを削除して MAC アドレス数が最大値を下回るまで、送信元アドレスが不明なパケットを廃棄します。

restrict :十分な数のセキュア MAC アドレスを削除して MAC アドレス数が最大値を下回るまで、送信元アドレスが不明なパケットを廃棄し、SecurityViolation カウンタを増分させます。

shutdown :インターフェイスをただちに errordisable ステートにして、SNMP トラップ通知を送信します。


) errdisable ステートからセキュア ポートを回復するには、errdisable recovery cause violation_mode グローバル コンフィギュレーション コマンドを入力します。または、shutdown および no shut down インターフェイス コンフィギュレーション コマンドを入力して、手動でセキュア ポートを再びイネーブルに戻すことができます。


次に、ファスト イーサネット ポート 5/12 のセキュリティ違反モードを protect に設定する例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 3/12
Router(config-if)# switchport port-security violation protect
Router(config-if)# do show port-security interface fastethernet 5/12 | include Protect
Violation Mode : Protect
 

次に、ファスト イーサネット ポート 5/12 のセキュリティ違反モードを restrict に設定する例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 3/12
Router(config-if)# switchport port-security violation restrict
Router(config-if)# do show port-security interface fastethernet 5/12 | include Restrict
Violation Mode : Restrict

ポートでのセキュア MAC アドレスの最大数の設定

セキュア MAC アドレスの最大数をポートに設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 5 slot/port

設定する LAN ポートを選択します。

ステップ 2

Router(config-if)# switchport port-security maximum number_of_addresses vlan { vlan_ID | vlan_range }

ポートに対し、セキュア MAC アドレスの最大数を設定します(デフォルトは 1)。

(注) VLAN ごとの設定は、トランクだけでサポートされます。

Router(config-if)# no switchport port-security maximum

デフォルト設定に戻します。

ステップ 3

Router(config-if)# do show port-security interface type 1 slot/port | include Maximum

設定を確認します。

5.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

セキュア MAC アドレスの最大数をポートに設定する場合、次の点に注意してください。

number_of_addresses の有効範囲は 1 ~ 4,097 です。

ポート セキュリティは、トランクをサポートします。

トランクでは、トランクおよびトランク上のすべての VLAN に対して、セキュア MAC アドレスの最大数を設定できます。

セキュア MAC アドレスの最大数は、1 つの VLAN、または特定の VLAN 範囲に対して設定できます。

特定の VLAN 範囲は、一組の VLAN 番号をダッシュ(-)でつなげて入力します。

複数の VLAN 番号をカンマで区切って入力することも、一組の VLAN 番号をダッシュでつなげて入力することもできます。

次に、ファスト イーサネット ポート 5/12 に対し、セキュア MAC アドレスの最大数を 64 に設定する例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 3/12
Router(config-if)# switchport port-security maximum 64
Router(config-if)# do show port-security interface fastethernet 5/12 | include Maximum
Maximum MAC Addresses : 64

スティッキ MAC アドレスによるポート セキュリティのポートでのイネーブル化

スティッキ MAC アドレスによるポート セキュリティをポートでイネーブルにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 6 slot/port

設定する LAN ポートを選択します。

ステップ 2

Router(config-if)# switchport port-security mac-address sticky

スティッキ MAC アドレスによるポート セキュリティをポートでイネーブルにします。

Router(config-if)# no switchport port-security mac-address sticky

スティッキ MAC アドレスによるポート セキュリティをポートでディセーブルにします。

6.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

スティッキ MAC アドレスによるポート セキュリティをイネーブルにする場合、次の点に注意してください。

switchport port-security mac-address sticky コマンドを入力すると、次のようになります。

ポートでダイナミックに学習されたすべてのセキュア MAC アドレスは、スティッキ セキュア MAC アドレスに変換されます。

スタティックなセキュア MAC アドレスは、スティッキ MAC アドレスに変換されません。

音声 VLAN でダイナミックに学習されたセキュア MAC アドレスは、スティッキ MAC アドレスに変換されません。

ダイナミックに学習された新規のセキュア MAC アドレスは、スティッキ アドレスとなります。

no switchport port-security mac-address sticky コマンドを入力すると、ポート上のすべてのスティッキ セキュア MAC アドレスは、ダイナミックなセキュア MAC アドレスに変換されます。

スティッキ MAC アドレスがダイナミックに学習されたあとに、このアドレスを保持して、起動またはリロード後にポートに設定されるようにするには、 write memory または copy running-config startup-config コマンドを入力して、アドレスを startup-config ファイルに保存する必要があります。

次に、スティッキ MAC アドレスによるポート セキュリティをファスト イーサネット ポート 5/12 でイネーブルにする例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/12
Router(config-if)# switchport port-security mac-address sticky

ポートでのスタティック セキュア MAC アドレスの設定

スタティック セキュア MAC アドレスをポートに設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 7 slot/port

設定する LAN ポートを選択します。

ステップ 2

Router(config-if)# switchport port-security mac-address [ sticky ] mac_address [ vlan vlan_ID ]

ポートに対し、スタティック MAC アドレスをセキュア アドレスとして設定します。

(注) VLAN ごとの設定は、トランクだけでサポートされます。

Router(config-if)# no switchport port-security mac-address [ sticky ] mac_address

ポートからスタティック セキュア MAC アドレスを消去します。

ステップ 3

Router(config-if)# end

コンフィギュレーション モードを終了します。

ステップ 4

Router# show port-security address

設定を確認します。

7.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

スタティック セキュア MAC アドレスをポートに設定する場合、次の点に注意してください。

スティッキ MAC アドレスによるポート セキュリティをイネーブルにしている場合に、スティッキ セキュア MAC アドレスを設定できます(「スティッキ MAC アドレスによるポート セキュリティのポートでのイネーブル化」を参照)。

switchport port-security maximum コマンドでポートに設定するセキュア MAC アドレスの最大数により、設定可能なセキュア MAC アドレスの数が定義されます。

最大数より少ないセキュア MAC アドレスを設定すると、残りの MAC アドレスはダイナミックに学習されます。

トランクでは、ポート セキュリティがサポートされます。

トランクでは、VLAN 内でスタティック セキュア MAC アドレスを設定できます。

トランクでは、スタティック セキュア MAC アドレスに対応するように VLAN を設定していない場合、このアドレスは switchport trunk native vlan コマンドで設定した VLAN でセキュアとなります。

次に、ファスト イーサネット ポート 5/12 で MAC アドレス 1000.2000.3000 をセキュア アドレスとして設定し、その設定を確認する例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/12
Router(config-if)# switchport port-security mac-address 1000.2000.3000
Router(config-if)# end
Router# show port-security address
Secure Mac Address Table
------------------------------------------------------------
 
Vlan Mac Address Type Ports
---- ----------- ---- -----
1 1000.2000.3000 SecureConfigured Fa5/12

ポートでのセキュア MAC アドレスのエージング設定

absolute キーワードを使用してエージング タイプを設定すると、ダイナミックに学習されるすべてのセキュア アドレスは、エージング タイムを過ぎると期限切れとなります。 inactivity キーワードを使用してエージング タイプを設定すると、エージング タイムは、ダイナミックに学習されたすべてのセキュア アドレスが期限切れとなるまでの非アクティブ期間として定義されます。


) スタティック セキュア MAC アドレスおよびスティッキ セキュア MAC アドレスは、期限切れとなりません。


ここでは、ポートでセキュア MAC アドレスのエージングを設定する方法について説明します。

「ポートでのセキュア MAC アドレスのエージング タイプの設定」

「ポートでのセキュア MAC アドレスのエージング タイムの設定」

ポートでのセキュア MAC アドレスのエージング タイプの設定

PFC3 では、セキュア MAC アドレスのエージング タイプをポートに設定できます。

セキュア MAC アドレスのエージング タイプをポートに設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 8 slot/port

設定する LAN ポートを選択します。

ステップ 2

Router(config-if)# switchport port-security aging type { absolute | inactivity }

セキュア MAC アドレスのエージング タイプをポートに設定します(デフォルトは absolute)。

Router(config-if)# no switchport port-security aging type

デフォルトの MAC アドレス エージング タイプに戻します。

ステップ 3

Router(config-if)# do show port-security interface type 1 slot/port | include Time

設定を確認します。

8.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

次に、ファスト イーサネット ポート 5/12 のエージング タイプを inactivity に設定する例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/12
Router(config-if)# switchport port-security aging type inactivity
Router(config-if)# do show port-security interface fastethernet 5/12 | include Type
Aging Type : Inactivity

ポートでのセキュア MAC アドレスのエージング タイムの設定

セキュア MAC アドレスのエージング タイムをポートに設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 9 slot/port

設定する LAN ポートを選択します。

ステップ 2

Router(config-if)# switchport port-security aging time aging_time

セキュア MAC アドレスのエージング タイムをポートに設定します。aging_time の有効範囲は 1 ~ 1440 分です(デフォルトは 0)。

Router(config-if)# no switchport port-security aging time

セキュア MAC アドレスのエージング タイムをディセーブルにします。

ステップ 3

Router(config-if)# do show port-security interface type 1 slot/port | include Time

設定を確認します。

9.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

次に、ファスト イーサネット ポート 5/1 に対し、セキュア MAC アドレスのエージング タイムを 2 時間(120 分)に設定する例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/1
Router(config-if)# switchport port-security aging time 120
Router(config-if)# do show port-security interface fastethernet 5/12 | include Time
Aging Time : 120 mins

ポート セキュリティ設定の表示

ポート セキュリティ設定を表示するには、次のコマンドを入力します。

 

コマンド
目的

Router# show port-security [ interface {{ vlan vlan_ID } | { type 10 slot/port }}] [ address ]

ルータまたは指定のインターフェイスに対するポート セキュリティ設定を表示します。

10.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

ポート セキュリティ設定を表示する場合、次の点に注意してください。

ポート セキュリティでは、 vlan キーワードはトランクだけでサポートされます。

address キーワードを入力してセキュア MAC アドレスを表示すると、各アドレスのエージング情報(スイッチに対するグローバル情報、またはインターフェイスごとの情報)が表示されます。

次の値が表示されます。

各インターフェイスで許可されるセキュア MAC アドレスの最大数

インターフェイスに設定されたセキュア MAC アドレスの数

発生したセキュリティ違反の数

違反モード

次に、インターフェイスを入力しない場合の show port-security コマンドの出力例を表示します。

Router# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security
Action
(Count) (Count) (Count)
----------------------------------------------------------------------------
 
Fa5/1 11 11 0 Shutdown
Fa5/5 15 5 0 Restrict
Fa5/11 5 4 0 Protect
----------------------------------------------------------------------------
 
Total Addresses in System: 21
Max Addresses limit in System: 128
 

次に、特定のインターフェイスに対する show port-security コマンドの出力例を示します。

Router# show port-security interface fastethernet 5/1
Port Security: Enabled
Port status: SecureUp
Violation mode: Shutdown
Maximum MAC Addresses: 11
Total MAC Addresses: 11
Configured MAC Addresses: 3
Aging time: 20 mins
Aging type: Inactivity
SecureStatic address aging: Enabled
Security Violation count: 0
 

次に、show port-security address 特権 EXEC コマンドの出力例を示します。

Router# show port-security address
Secure Mac Address Table
-------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0001.0001.0001 SecureDynamic Fa5/1 15 (I)
1 0001.0001.0002 SecureDynamic Fa5/1 15 (I)
1 0001.0001.1111 SecureConfigured Fa5/1 16 (I)
1 0001.0001.1112 SecureConfigured Fa5/1 -
1 0001.0001.1113 SecureConfigured Fa5/1 -
1 0005.0005.0001 SecureConfigured Fa5/5 23
1 0005.0005.0002 SecureConfigured Fa5/5 23
1 0005.0005.0003 SecureConfigured Fa5/5 23
1 0011.0011.0001 SecureConfigured Fa5/11 25 (I)
1 0011.0011.0002 SecureConfigured Fa5/11 25 (I)
-------------------------------------------------------------------
Total Addresses in System: 10
Max Addresses limit in System: 128