Cisco DCNM Security コンフィギュレーション ガイド Release 4.0
ポート セキュリティの設定
ポート セキュリティの設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

ポート セキュリティの設定

ポート セキュリティの概要

セキュア MAC アドレスの学習

スタティック方式

ダイナミック方式

スティッキ方式

ダイナミック アドレスのエージング

セキュア MAC アドレスの最大数

セキュリティ違反と処理

ポート セキュリティとポート タイプ

ポート タイプの変更

802.1X とポート セキュリティ

バーチャライゼーション サポート

ポート セキュリティのライセンス要件

ポート セキュリティの前提条件

注意事項および制約事項

ポート セキュリティの設定

ポート セキュリティのグローバルなイネーブル化またはディセーブル化

レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化

スティッキ MAC アドレス学習のイネーブル化またはディセーブル化

インターフェイスのスタティック セキュア MAC アドレスの追加

インターフェイスのスタティック セキュア MAC アドレスの削除

ダイナミックまたはスティッキ セキュア MAC アドレスの削除

MAC アドレスの最大数の設定

アドレス エージングのタイプと期間

セキュリティ違反時の処理の設定

セキュア MAC アドレスの表示

違反統計情報の表示

ポート セキュリティのフィールドに関する説明

Device:Global Settings タブ

Interface:Secure Interface Details:Secure Interface Configuration セクション

Interface:Secure Interface Details:Secure Address Configuration セクション

Interface:Dynamic MAC Addresses タブ

その他の参考資料

関連資料

規格

MIB

ポート セキュリティの概要

ポート セキュリティを使用すると、限定された MAC アドレス セットからのインバウンド トラフィックだけを許可するようなレイヤ 2 インターフェイスを設定できます。この限定セットの MAC アドレスをセキュア MAC アドレスといいます。さらに、デバイスは、同じ VLAN 内の別のインターフェイスでは、これらの MAC アドレスからのトラフィックを許可しません。セキュア MAC アドレスの数は、インターフェイス単位で設定します。

ここでは、次の内容について説明します。

「セキュア MAC アドレスの学習」

「ダイナミック アドレスのエージング」

「セキュア MAC アドレスの最大数」

「セキュリティ違反と処理」

「ポート セキュリティとポート タイプ」

「ポート タイプの変更」

「802.1X とポート セキュリティ」

「バーチャライゼーション サポート」

セキュア MAC アドレスの学習

MAC アドレスは学習というプロセスによってセキュア アドレスになります。学習できるアドレスの数には制限があります(セキュア MAC アドレスの最大数を参照)。デバイスは、ポート セキュリティがイネーブルに設定されたインターフェイスごとに、スタティック、ダイナミック、またはスティッキの方式でアドレスを学習します。

スタティック方式

スタティック学習方式では、ユーザが手動でインターフェイス設定にセキュア MAC アドレスを追加したり、設定から削除したりできます。

スタティック セキュア MAC アドレスのエントリは、次のいずれかのイベントが発生するまで、インターフェイスの設定内に維持されます。

ユーザが明示的に設定からアドレスを削除します。詳細については、「インターフェイスのスタティック セキュア MAC アドレスの削除」を参照してください。

ユーザがそのインターフェイスをレイヤ 3 インターフェイスとして設定します。詳細については、「ポート タイプの変更」を参照してください。

スタティック方式では、ダイナミック方式またはスティッキ方式のアドレス学習がイネーブルになっているかどうかに関係なく、セキュア アドレスを追加できます。

ダイナミック方式

デフォルトでは、インターフェイスのポート セキュリティをイネーブルにすると、ダイナミック学習方式がイネーブルになります。この方式では、デバイスは、そのインターフェイスを通じた入力トラフィックパスとして MAC アドレスをセキュア アドレスにします。このようなアドレスがまだセキュア アドレスではなく、デバイスのアドレス数が適用可能な最大数に達していなければ、デバイスはそのアドレスをセキュア アドレスにして、トラフィックを許可します。

デバイスは、ダイナミック アドレスのエージングを行い、エージングの制限時間に達すると、そのアドレスをドロップします(ダイナミック アドレスのエージングを参照)。

ダイナミック アドレスは、デバイスやインターフェイスの再起動後は維持されません。

ダイナミック方式で学習された特定のアドレス、または特定のインターフェイスでダイナミックに学習されたすべてのアドレスを削除する場合は、「ダイナミックまたはスティッキ セキュア MAC アドレスの削除」を参照してください。

スティッキ方式

スティッキ方式をイネーブルにすると、デバイスは、ダイナミック アドレス学習と同じ方法で MAC アドレスをセキュア アドレスにしますが、この方法で学習されたアドレスは NVRAM に保存されます。そのため、スティッキ方式で学習されたアドレスは、デバイスの再起動後も維持されます。スティッキ セキュア MAC アドレスは、インターフェイスの実行コンフィギュレーション内にはありません。

ダイナミックとスタティックのアドレス学習を両方同時にイネーブルにすることはできません。あるインターフェイスのスティッキ学習をイネーブルにした場合、デバイスはダイナミック学習を停止して、代わりにスティッキ学習を実行します。スティッキ学習をディセーブルにすると、デバイスはダイナミック学習を再開します。

デバイスは、スティッキ セキュア MAC アドレスのエージングは行いません。

スティッキ方式で学習された特定のアドレスを削除する場合は、「インターフェイスのスタティック セキュア MAC アドレスの削除」を参照してください。

ダイナミック アドレスのエージング

デバイスは、ダイナミック方式で学習された MAC アドレスのエージングを行い、エージングの期限に達すると、アドレスをドロップします。エージングの期限は、インターフェイスごとに設定できます。設定できる範囲は 0 ~ 1440 分です。0 を設定すると、エージングはディセーブルになります。

MAC アドレスのエージングを判断するためにデバイスが使用する方法も設定できます。アドレス エージングの判断には、次に示す 2 つの方法が使用されます。

非アクティブ ― 適用可能なインターフェイス上のアドレスからデバイスが最後にパケットを受信して以降の経過時間

絶対時間 ― デバイスがアドレスを学習して以降の経過時間。これがデフォルトのエージング方法ですが、デフォルトのエージング時間は 0 分(エージングはディセーブル)です。

セキュア MAC アドレスの最大数

デフォルトでは、各インターフェイスのセキュア MAC アドレスは 1 つだけです。各インターフェイス、またはインターフェイス上の各 VLAN に許容可能な最大 MAC アドレス数を設定できます。最大数は、ダイナミック、スティッキ、スタティックのいずれの方式で学習された MAC アドレスにも適用されます。


ヒント アドレスの最大数を 1 に設定し、接続された装置の MAC アドレスを設定すると、その装置にはポートの全帯域幅が保証されます。


各インターフェイスに許容されるセキュア MAC アドレスの数は、次の 3 つの制限によって決定されます。

デバイスの最大数 ― デバイスが許容できるセキュア MAC アドレスの最大数は 8192 です。この値は変更できません。新しいアドレスを学習するとデバイスの最大数を超過してしまう場合、たとえインターフェイスや VLAN の最大数に達していなくても、デバイスは新しいアドレスの学習を許可しません。

インターフェイスの最大数 ― ポート セキュリティで保護されるインターフェイスごとに、セキュア MAC アドレスの最大数を設定できます。デフォルトでは、インターフェイスの最大数は 1 です。インターフェイスの最大数を、デバイスの最大数より大きくすることはできません。

VLAN の最大数 ― ポート セキュリティで保護される各インターフェイスについて、VLAN あたりのセキュア MAC アドレスの最大数を設定できます。VLAN の最大数を、インターフェイスの最大数より大きくすることはできません。VLAN 最大数の設定が適しているのは、トランク ポートの場合だけです。VLAN の最大数には、デフォルト値はありません。

VLAN とインターフェイスの最大値の関係については、「セキュリティ違反と処理」に例が示されています。

インターフェイスあたりの、VLAN とインターフェイスの最大数は必要に応じて設定できます。ただし、新しい制限値が、適用可能なセキュア アドレス数より少ない場合は、まず、セキュア MAC アドレスの数を減らす必要があります。ダイナミックに学習されたアドレスの削除方法については、「ダイナミックまたはスティッキ セキュア MAC アドレスの削除」を参照してください。スティッキまたはスタティック方式で学習されたアドレスの削除方法については、「インターフェイスのスタティック セキュア MAC アドレスの削除」を参照してください。

セキュリティ違反と処理

次の 2 つのイベントのいずれかが発生すると、ポート セキュリティ機能によってセキュリティ違反がトリガーされます。

セキュア MAC アドレス以外のアドレスから入力トラフィックが着信し、そのアドレスを学習するとセキュア MAC アドレスの適用可能な最大数を超えてしまう場合

VLAN とインターフェイスの両方の最大数が設定されていて、どちらかの最大数を超える場合。たとえば、ポート セキュリティが設定されている単一のインターフェイスについて、次のように想定します。

VLAN 1 の最大アドレス数は 5 です。

このインターフェイスの最大アドレス数は 10 です。

デバイスは、次のいずれかが発生すると違反を検出します。

VLAN 1 のアドレスをすでに 5 つ学習していて、6 つめのアドレスからのインバウンド トラフィックが VLAN 1 のインターフェイスに着信した場合

このインターフェイス上のアドレスをすでに 10 個学習していて、11 番めのアドレスからのインバウンド トラフィックがこのインターフェイスに着信した場合

あるインターフェイスのセキュア MAC アドレスになっているアドレスからの入力トラフィックが、そのインターフェイスと同じ VLAN 内の別のインターフェイスに着信した場合


) あるセキュア ポートでセキュア MAC アドレスが設定または学習されたあと、同じ VLAN 内の別のポート上でこのセキュア MAC アドレスが検出された場合に発生する一連のイベントを、MAC の移行違反と呼びます。


セキュリティ違反が発生すると、デバイスは、該当するインターフェイスのポート セキュリティ設定に指定されている処理を実行します。デバイスが実行できる処理は次のとおりです。

シャットダウン ― 違反をトリガーしたパケットの受信インターフェイスをシャットダウンします。このインターフェイスはエラー ディセーブル状態になります。これがデフォルトの処理です。インターフェイスの再起動後も、セキュア MAC アドレスを含めて、ポート セキュリティの設定は維持されます。

制限 ― セキュア MAC アドレス以外のアドレスからの入力トラフィックをドロップします。デバイスは、ドロップされたパケット数のカウントを維持します。

保護 ― 違反の発生を防止します。インターフェイスの最大 MAC アドレス数に到達するまでアドレス学習を継続し、到達後はそのインターフェイスでの学習をディセーブルにして、セキュア MAC アドレス以外のアドレスからの入力トラフィックをすべてドロップします。

セキュア MAC アドレスからの入力トラフィックが、そのアドレスをセキュア アドレスにしたインターフェイスとは異なるインターフェイスに着信したことにより違反が発生した場合、デバイスはトラフィックを受信したインターフェイスに対して処理を実行します。

ポート セキュリティとポート タイプ

ポート セキュリティを設定できるのは、レイヤ 2 インターフェイスだけです。各種のインターフェイスまたはポートとポート セキュリティについて以下に詳しく説明します。

アクセス ポート ― レイヤ 2 アクセス ポートとして設定したインターフェイスにポート セキュリティを設定できます。アクセス ポートでポート セキュリティが適用されるのは、アクセス VLAN だけです。

トランク ポート ― レイヤ 2 トランク ポートとして設定したインターフェイスにポート セキュリティを設定できます。アクセス ポートには、VLAN 最大数を設定しても効果はありません。デバイスが VLAN 最大数を適用するのは、トランク ポートに関連付けられた VLAN だけです。

SPAN ポート ― SPAN 送信元ポートにはポート セキュリティを設定できますが、SPAN 宛先ポートには設定できません。

イーサネット ポート チャネル ― イーサネット ポート チャネルでは、ポート セキュリティはサポートされていません。

ポート タイプの変更

レイヤ 2 インターフェイスにポート セキュリティを設定し、そのインターフェイスのポート タイプを変更した場合、デバイスは次のように動作します。

アクセス ポートからトランク ポートへ ― レイヤ 2 インターフェイスをアクセス ポートからトランク ポートに変更すると、デバイスはダイナミック方式で学習したすべてのセキュア アドレスをドロップします。ネイティブ トランク VLAN に接続されているデバイスは、スタティック方式またはスティッキ方式で学習したアドレスを移行します。

トランク ポートからアクセス ポートへ ― レイヤ 2 インターフェイスをトランク ポートからアクセス ポートに変更すると、デバイスはダイナミック方式で学習したすべてのセキュア アドレスをドロップします。ネイティブ トランク VLAN でスティッキ方式で学習されたアドレスはすべて、アクセス VLAN に移行されます。ネイティブ トランク VLAN でない場合、スティッキ方式で学習されたセキュア アドレスはドロップされます。

スイッチド ポートからルーテッド ポートへ ― インターフェイスをレイヤ 2 インターフェイスからレイヤ 3 インターフェイスに変更すると、デバイスはそのインターフェイスのポート セキュリティをディセーブルにし、そのインターフェイスのすべてのポート セキュリティ設定を廃棄します。デバイスは、学習方式に関係なく、そのインターフェイスのセキュア MAC アドレスもすべて廃棄します。

ルーテッド ポートからスイッチド ポートへ ― インターフェイスをレイヤ 3 インターフェイスからレイヤ 2 インターフェイスに変更すると、デバイス上のそのインターフェイスのポート セキュリティ設定はなくなります。

802.1X とポート セキュリティ

ポート セキュリティと 802.1X は同じインターフェイス上に設定できます。ポート セキュリティによって、802.1X 認証の MAC アドレスを保護できます。802.1X はポート セキュリティよりも前にパケットを処理するので、1 つのインターフェイスで両方をイネーブルにすると、802.1X が、そのインターフェイスで、未知の MAC アドレスからのインバウンド トラフィックを妨げます。

同じインターフェイス上で 802.1X とポート セキュリティをイネーブルにしても、ポート セキュリティは設定どおりにスティッキ方式またはダイナミック方式で MAC アドレスの学習を続行します。また、単一ホスト モードと複数ホスト モードのどちらで 802.1X をイネーブルにするかによって、次のいずれかが発生します。

単一ホスト モード ― ポート セキュリティは認証済みのホストの MAC アドレスを学習します。

複数ホスト モード ― ポート セキュリティは、このインターフェイスでダイナミックに学習された MAC アドレスをドロップし、802.1X で認証された最初のホストの MAC アドレスを学習します。

802.1X がポート セキュリティに渡した MAC アドレスによってセキュア MAC アドレスの適用可能な最大数を違反することになる場合、デバイスはホストに認証エラー メッセージを送信します。

802.1X によって認証された MAC アドレスは、たとえそのアドレスがポート セキュリティによってスティッキ方式またはスタティック方式で学習されていたとしても、ダイナミック方式で学習されたアドレスと同様に扱われます。802.1X で認証されたセキュア MAC アドレスを削除しようとしても、そのアドレスはセキュア アドレスのまま保持されます。

認証済みのホストの MAC アドレスがスティッキ方式またはスタティック方式でセキュア アドレスになった場合、デバイスはそのアドレスをダイナミック方式で学習されたものとして扱うので、その MAC アドレスを手動で削除することはできません。

認証済みのホストのセキュア MAC アドレスがポート セキュリティのエージング期限に達すると、ポート セキュリティは 802.1X と連動して、そのホストを再認証します。デバイスは、エージングのタイプに応じて、次のように異なる動作をします。

絶対 ― ポート セキュリティは 802.1X に通知し、デバイスはホストの再認証を試行します。そのアドレスが引き続きセキュア アドレスになるかどうかは、再認証の結果によって決まります。再認証が成功すれば、デバイスはそのセキュア アドレスのエージング タイマーを再起動します。再認証に失敗した場合、デバイスはそのインターフェイスのセキュア アドレス リストからそのアドレスをドロップします。

非アクティブ ― ポート セキュリティは、そのインターフェイスのセキュア アドレス リストからそのセキュア アドレスをドロップし、802.1X に通知します。デバイスはホストの再認証を試行します。再認証が成功すれば、ポート セキュリティは再度そのアドレスをセキュア アドレスにします。

バーチャライゼーション サポート

ポート セキュリティは次のように VDC をサポートします。

ポート セキュリティは各 VDC に設定されます。ポート セキュリティは VDC 単位でイネーブルに設定できます。

セキュア MAC アドレスは VDC ごとに個別に維持されます。

ある VDC のセキュア MAC アドレスが別の VDC の保護インターフェイス上にあっても、セキュリティ違反にはなりません。

ポート セキュリティのライセンス要件

この機能のライセンス要件は次の表のとおりです。

 

製品
ライセンス要件

DCNM

ポート セキュリティには LAN Enterprise のライセンスが必要です。DCNM のライセンス スキームおよびライセンスの取得方法と適用方法に関する詳細は、『 Cisco DCNM Licensing Guide 』を参照してください。

NX-OS

ポート セキュリティにはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS デバイス イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide 』を参照してください。

ポート セキュリティの前提条件

ポート セキュリティの前提条件は次のとおりです。

ポート セキュリティで保護するデバイスのポート セキュリティをグローバルにイネーブル化する必要があります。

注意事項および制約事項

ポート セキュリティを設定する場合は、次の注意事項に従ってください。

ポート セキュリティは、イーサネット ポート チャネル インターフェイスや、Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)の宛先ポートをサポートしていません。

ポート セキュリティは他の機能に依存していません。

ポート セキュリティは 802.1X との連動が可能です(802.1X とポート セキュリティを参照)。

ポート セキュリティを設定するために DCNM を使用する各デバイスに対して、ポート セキュリティのログ レベルが 5(Notifications)以上に設定されていることを確認します。この必要最小限のログ レベルをデバイスに設定するには、デバイスの CLI(コマンドライン インターフェイス)にログインし、次のコマンドを使用します。

logging level port-security 5

ポート セキュリティの設定

図10-1 は、Port Security のコンテンツ ペインを示しています。

図10-1 Port Security のコンテンツ ペイン

 

ここでは、次の内容について説明します。

「ポート セキュリティのグローバルなイネーブル化またはディセーブル化」

「レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化」

「スティッキ MAC アドレス学習のイネーブル化またはディセーブル化」

「インターフェイスのスタティック セキュア MAC アドレスの追加」

「インターフェイスのスタティック セキュア MAC アドレスの削除」

「ダイナミックまたはスティッキ セキュア MAC アドレスの削除」

「MAC アドレスの最大数の設定」

「アドレス エージングのタイプと期間」

「セキュリティ違反時の処理の設定」

ポート セキュリティのグローバルなイネーブル化またはディセーブル化

デバイスに対してポート セキュリティ機能のグローバルなイネーブル化またはディセーブル化が可能です。

ポート セキュリティをグローバルにディセーブルにすると、スタティック方式で設定されたセキュア MAC アドレス、ダイナミックまたはスティッキ方式のセキュア MAC アドレスを含めて、すべてのポート セキュリティ設定が削除されます。

作業を開始する前に

デフォルトでは、ポート セキュリティはディセーブルです。

NX-OS デバイス上で、ポート セキュリティのログ レベルが 6(Informational)以上に設定されていることを確認します。この必要最小限のログ レベルをデバイスに設定するには、デバイスの CLI にログインし、次のコマンドを使用します。

logging level port-security 5

詳細な手順

デバイスのポート セキュリティをイネーブルまたはディセーブルに設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > Port Security を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、ポート セキュリティをイネーブル化またはディセーブル化するデバイスをクリックします。

ステップ 3 以下のいずれかを実行します。

デバイスに対してグローバルにポート セキュリティをイネーブル化するには、メニューバーから Port Security > Enable Port Security を選択します。

Details ペインの Global Settings タブに Stop Learning チェック ボックスが表示されます。

デバイスに対してグローバルにポート セキュリティをディセーブル化するには、メニューバーから Port Security > Disable Port Security を選択します。

「Port Security is disabled on device」というメッセージが Details ペインの Global Settings タブに表示されます。

ステップ 4 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化

レイヤ 2 インターフェイスに対してポート セキュリティ機能のイネーブル化またはディセーブル化が可能です。MAC アドレスのダイナミック学習についての詳細は、「セキュア MAC アドレスの学習」を参照してください。


) ルーテッド インターフェイスでは、ポート セキュリティをイネーブルにできません。


作業を開始する前に

デフォルトでは、ポート セキュリティはすべてのインターフェイスでディセーブルです。

インターフェイスのポート セキュリティをイネーブルにすると、MAC アドレスのダイナミック学習もイネーブルになります。スティッキ方式の MAC アドレス学習をイネーブルにするには、「スティッキ MAC アドレス学習のイネーブル化またはディセーブル化」の手順も完了する必要があります。

ポート セキュリティがイネーブルになっていることを確認します。ポート セキュリティをイネーブルにする手順については、「ポート セキュリティのグローバルなイネーブル化またはディセーブル化」を参照してください。

詳細な手順

インターフェイスのポート セキュリティをイネーブルまたはディセーブルに設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > Port Security を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、該当するデバイスをダブルクリックし、ポート セキュリティのイネーブル化またはディセーブル化が必要なインターフェイスを含むスロットをダブルクリックします。

Summary ペインに、そのデバイスのスロットと、ポート セキュリティが設定されているインターフェイスが表示されます。スロットは選択された状態です。

ステップ 3 (任意)必要なインターフェイスがない場合、メニューバーから Port Security > Add Interface を選択します。Interface カラムのドロップダウン リストから、ポート セキュリティをイネーブル化するインターフェイスを選択します。

Summary ペインの新しい行に、そのインターフェイスの名前が表示されます。

ステップ 4 ポート セキュリティをイネーブル化またはディセーブル化するインターフェイスをクリックします。

ステップ 5 以下のいずれかを実行します。

選択したインターフェイスのポート セキュリティをイネーブル化するには、Port Security カラムでチェック ボックスをオンにします。

選択したインターフェイスのポート セキュリティがイネーブルになります。

選択したインターフェイスのポート セキュリティをディセーブル化するには、Port Security カラムでチェック ボックスをオフにします。

選択したインターフェイスのポート セキュリティがディセーブルになります。

ステップ 6 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

スティッキ MAC アドレス学習のイネーブル化またはディセーブル化

インターフェイスのスティッキ MAC アドレス学習をディセーブルまたはイネーブルに設定できます。スティッキ学習をディセーブルにすると、そのインターフェイスはダイナミック MAC アドレス学習(デフォルトの学習方式)に戻ります。

作業を開始する前に

デフォルトでは、スティッキ MAC アドレス学習はディセーブルです。

ポート セキュリティが、グローバルにイネーブル化され、さらに目的のインターフェイスでもイネーブルになっていることを確認します。ポート セキュリティをグローバルにイネーブル化する手順については、「ポート セキュリティのグローバルなイネーブル化またはディセーブル化」を参照してください。インターフェイスのポート セキュリティをイネーブルにする手順については、「レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化」を参照してください。

詳細な手順

スティッキ セキュア MAC アドレス学習をイネーブルまたはディセーブルに設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > Port Security を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、該当するデバイスをダブルクリックし、スティッキ セキュア MAC アドレス学習のイネーブル化またはディセーブル化が必要なインターフェイスを含むスロットをダブルクリックします。

Summary ペインに、そのデバイスのスロットと、ポート セキュリティが設定されているインターフェイスが表示されます。スロットは選択された状態です。

ステップ 3 スティッキ MAC アドレス学習をイネーブル化またはディセーブル化するインターフェイスをクリックします。

ステップ 4 以下のいずれかを実行します。

選択したインターフェイスのスティッキ MAC アドレス学習をイネーブル化するには、Stickiness カラムでチェック ボックスをオンにします。

選択したインターフェイスのスティッキ MAC アドレス学習がイネーブルになります。

選択したインターフェイスのスティッキ MAC アドレス学習をディセーブル化するには、Stickiness カラムでチェック ボックスをオフにします。

選択したインターフェイスのスティッキ MAC アドレス学習がディセーブルになります。

ステップ 5 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

インターフェイスのスタティック セキュア MAC アドレスの追加

レイヤ 2 インターフェイスにスタティック セキュア MAC アドレスを追加できます。インターフェイスがトランク ポート モードである場合、新しいスタティック セキュア MAC アドレスを VLAN に割り当てる必要があります。

作業を開始する前に

デフォルトでは、インターフェイスにスタティック セキュア MAC アドレスは設定されません。

インターフェイスのセキュア MAC アドレスが最大数に達しているかどうかを判断します(セキュア MAC アドレスの表示を参照)。必要な場合は、セキュア MAC アドレスを削除できます(インターフェイスのスタティック セキュア MAC アドレスの削除またはダイナミックまたはスティッキ セキュア MAC アドレスの削除を参照)。あるいは、インターフェイスのセキュア アドレスの最大数を変更することもできます(MAC アドレスの最大数の設定を参照)。

ポート セキュリティが、グローバルにイネーブル化され、さらに、そのインターフェイスでもイネーブルになっていることを確認します。ポート セキュリティをグローバルにイネーブル化する手順については、「ポート セキュリティのグローバルなイネーブル化またはディセーブル化」を参照してください。インターフェイスのポート セキュリティをイネーブルにする手順については、「レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化」を参照してください。

詳細な手順

インターフェイスにスタティック セキュア MAC アドレスを追加するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > Port Security を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、該当するデバイスをダブルクリックし、スタティック セキュア MAC アドレスの設定が必要なインターフェイスを含むスロットをダブルクリックします。

Summary ペインに、そのデバイスのスロットと、ポート セキュリティが設定されているインターフェイスが表示されます。スロットは選択された状態です。

ステップ 3 アドレスを設定するインターフェイスをクリックします。

ステップ 4 Details ペインで、 Secure Interface Details タブをクリックします。

ステップ 5 必要に応じて、 Secure Address Configuration セクションを展開表示します。

セキュア MAC アドレスのテーブルが Secure Address Configuration セクションに表示されます。選択したインターフェイスがトランク ポート モードである場合、テーブルは VLAN ID 順に整理されます。

ステップ 6 (任意)インターフェイスがトランク ポート モードであり、新しいセキュア アドレスの VLAN がない場合には、既存の VLAN エントリまたはブランク行の上で右クリックし、 Add VLAN を選択してから、そのセキュア アドレスを関連付ける VLAN ID をドロップダウン リスト上で選択します。

選択した VLAN が、Secure Address Configuration セクションのテーブルに表示されます。

ステップ 7 (任意)インターフェイスがトランク ポート モードである場合、セキュア アドレスを追加する VLAN を展開表示します。

ステップ 8 Host MAC Address のヘッダー下の何もないところで右クリックし、 Add Host を選択します。

Host MAC Address のヘッダーの下に新しい行が表示されます。

ステップ 9 その新しい行をダブルクリックし、新しいスタティック セキュア MAC アドレスを入力します。

ステップ 10 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

インターフェイスのスタティック セキュア MAC アドレスの削除

レイヤ 2 インターフェイスのスタティック セキュア MAC アドレスを削除できます。

作業を開始する前に

ポート セキュリティがイネーブルになっていることを確認します。ポート セキュリティをグローバルにイネーブル化する手順については、「ポート セキュリティのグローバルなイネーブル化またはディセーブル化」を参照してください。インターフェイスのポート セキュリティをイネーブルにする手順については、「レイヤ 2 インターフェイスに対するポート セキュリティのイネーブル化またはディセーブル化」を参照してください。

インターフェイスからスタティック セキュア MAC アドレスを削除するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > Port Security を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、該当するデバイスをダブルクリックし、スタティック セキュア MAC アドレスの削除が必要なインターフェイスを含むスロットをダブルクリックします。

Summary ペインに、そのデバイスのスロットと、ポート セキュリティが設定されているインターフェイスが表示されます。スロットは選択された状態です。

ステップ 3 アドレスを削除するインターフェイスをクリックします。

ステップ 4 Details ペインで、 Secure Interface Details タブをクリックします。

ステップ 5 必要に応じて、 Secure Address Configuration セクションを展開表示します。

セキュア MAC アドレスのテーブルが Secure Address Configuration セクションに表示されます。選択したインターフェイスがトランク ポート モードである場合、テーブルは VLAN ID 順に整理されます。

ステップ 6 (任意)インターフェイスがトランク ポート モードである場合、セキュア アドレスを削除する VLAN を展開表示します。

Host MAC Address のヘッダー下のテーブルに、選択した VLAN に関連付けられたセキュア MAC アドレスが表示されます。

ステップ 7 削除するアドレスを右クリックし、 Delete Host を選択します。

確認の警告が表示されます。

ステップ 8 Yes をクリックします。

そのアドレスがスタティック セキュア MAC アドレスのテーブルから削除されます。

ステップ 9 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

ダイナミックまたはスティッキ セキュア MAC アドレスの削除

スティッキ セキュア MAC アドレスを含み、ダイナミックに学習されたセキュア MAC アドレスを削除できます。

詳細な手順

インターフェイスからダイナミックまたはスタティック セキュア MAC アドレスを削除するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > Port Security を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、該当するデバイスをダブルクリックし、ダイナミックまたはスタティック セキュア MAC アドレスの削除が必要なインターフェイスを含むスロットをダブルクリックします。

Summary ペインに、そのデバイスのスロットと、ポート セキュリティが設定されているインターフェイスが表示されます。スロットは選択された状態です。

ステップ 3 アドレスを削除するインターフェイスをクリックします。

ステップ 4 Details ペインで、 Dynamic MAC Addresses タブをクリックします。

VLAN ID 順に整理されたダイナミック セキュア MAC アドレスのテーブルが表示されます。

ステップ 5 削除するアドレスを右クリックし、 Clear MAC Address を選択します。

確認の警告が表示されます。

ステップ 6 Yes をクリックします。

そのアドレスが、ダイナミックおよびスタティック セキュア MAC アドレスのテーブルから削除されます。

ステップ 7 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

MAC アドレスの最大数の設定

レイヤ 2 インターフェイスで学習可能な MAC アドレスまたはスタティックに設定可能な MAC アドレスの最大数を設定できます。レイヤ 2 インターフェイス上の VLAN 単位でも MAC アドレスの最大数を設定できます。設定できる最大アドレス数は 4096 です。


) インターフェイスですでに学習されているアドレス数またはインターフェイスにスタティックに設定されたアドレス数よりも小さい数を最大数に指定すると、デバイスはこのコマンドを拒否します。スティッキ方式またはスタティック方式で学習されたアドレスの数を減らす場合は、「インターフェイスのスタティック セキュア MAC アドレスの削除」を参照してください。


作業を開始する前に

デフォルトでは、各インターフェイスのセキュア MAC アドレスの最大数は 1 です。VLAN には、セキュア MAC アドレス数のデフォルトの最大値はありません。

ポート セキュリティがイネーブルになっていることを確認します。ポート セキュリティをイネーブルにする手順については、「ポート セキュリティのグローバルなイネーブル化またはディセーブル化」を参照してください。

詳細な手順

インターフェイスのセキュア MAC アドレスの最大数を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > Port Security を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、該当するデバイスをダブルクリックし、セキュア MAC アドレスの最大数の設定が必要なインターフェイスを含むスロットをダブルクリックします。

Summary ペインに、そのデバイスのスロットと、ポート セキュリティが設定されているインターフェイスが表示されます。スロットは選択された状態です。

ステップ 3 セキュア MAC アドレスの最大数を設定するインターフェイスをクリックします。

ステップ 4 Details ペインで、 Secure Interface Details タブをクリックします。

ステップ 5 (任意)インターフェイスのセキュア MAC アドレスの最大数を設定する場合、必要に応じて Secure Interface Configuration セクションを展開表示し、Maximum number of addresses フィールドに新しい最大数を入力します。

ステップ 6 (任意)インターフェイス上にある VLAN のセキュア MAC アドレスの最大数を設定する場合、必要に応じて Secure Address Configuration セクションを展開表示します。Maximum Number of Secure Addresses カラムで、VLAN のエントリをダブルクリックし、新しい最大数を入力します。

ステップ 7 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

アドレス エージングのタイプと期間

MAC アドレス エージングのタイプと期間を設定できます。デバイスは、ダイナミック方式で学習された MAC アドレスがエージング期限に到達する時期を判断するためにこれらの設定を使用します。

作業を開始する前に

デフォルトのエージング タイムは 0 分(エージングはディセーブル)です。

デフォルトのエージング タイプは絶対エージングです。

ポート セキュリティがイネーブルになっていることを確認します。ポート セキュリティをイネーブルにする手順については、「ポート セキュリティのグローバルなイネーブル化またはディセーブル化」を参照してください。

詳細な手順

インターフェイスのセキュア MAC アドレスのエージングを設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > Port Security を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、該当するデバイスをダブルクリックし、セキュア MAC アドレス エージングの設定が必要なインターフェイスを含むスロットをダブルクリックします。

Summary ペインに、そのデバイスのスロットと、ポート セキュリティが設定されているインターフェイスが表示されます。スロットは選択された状態です。

ステップ 3 セキュア MAC アドレス エージングを設定するインターフェイスをクリックします。

ステップ 4 Details ペインで、 Dynamic MAC Addresses タブをクリックします。

ステップ 5 Aging Type ドロップダウン リストから、エージング タイプを選びます。

ステップ 6 Age フィールドで、エージング期間を分単位の数値で入力します。

ステップ 7 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

セキュリティ違反時の処理の設定

セキュリティ違反が発生した場合にデバイスが実行する処理を設定できます。違反時の処理は、ポート セキュリティをイネーブルにしたインターフェイスごとに設定できます。

作業を開始する前に

デフォルトのセキュリティ処理では、セキュリティ違反が発生したポートがシャットダウンされます。

ポート セキュリティがイネーブルになっていることを確認します。ポート セキュリティをイネーブルにする手順については、「ポート セキュリティのグローバルなイネーブル化またはディセーブル化」を参照してください。

詳細な手順

インターフェイスのセキュリティ違反時の処理を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > Port Security を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、該当するデバイスをダブルクリックし、セキュリティ違反時の処理を設定するインターフェイスを含むスロットをダブルクリックします。

Summary ペインに、そのデバイスのスロットと、ポート セキュリティが設定されているインターフェイスが表示されます。スロットは選択された状態です。

ステップ 3 セキュリティ違反時の処理を設定するインターフェイスをクリックします。

ステップ 4 Details ペインで Secure Interface Details タブをクリックし、必要に応じて Secure Interface Configuration セクションを展開表示します。

ステップ 5 Interface Setting エリアで、Violation Action ドロップダウン リストからセキュリティ違反時の処理を選択します。

ステップ 6 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

セキュア MAC アドレスの表示

インターフェイスのセキュア MAC アドレスを表示するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > Port Security を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、該当するデバイスをダブルクリックします。

ステップ 3 設定の必要なインターフェイスを持つスロットをダブルクリックします。

ステップ 4 そのインターフェイスをクリックします。

Secure Interface Details タブと Dynamic MAC Addresses タブが Details ペインに表示されます。

ステップ 5 (任意)ダイナミック セキュア MAC アドレスを表示するには、 Dynamic MAC Addresses タブをクリックします。

Dynamic MAC Addresses タブに Host MAC Address テーブルが表示され、ダイナミック セキュア MAC アドレスが VLAN ごとにリストされます。

ステップ 6 (任意)スタティック セキュア MAC アドレスを表示するには、 Secure Interface Details タブをクリックし、必要に応じて Secure Address Configuration セクションを展開表示します。

Secure Address Configuration セクションに Host MAC Address テーブルが表示され、スタティック セキュア MAC アドレスが VLAN ごとにリストされます。


 

違反統計情報の表示

次のウィンドウが Violation Statistics タブに表示されます。

Port Security Statistics ― 選択したインターフェイスのセキュリティ違反のチャートを表示します。

この機能の統計情報収集に関する詳細は、『 Cisco DCNM Fundamentals Configuration Guide 』を参照してください。

ポート セキュリティのフィールドに関する説明

ここでは、ポート セキュリティのフィールドについて説明します。

「Device:Global Settings タブ」

「Interface:Secure Interface Details:Secure Interface Configuration セクション」

「Interface:Secure Interface Details:Secure Address Configuration セクション」

「Interface:Dynamic MAC Addresses タブ」

Device:Global Settings タブ

 

表10-1 Device:Global Settings タブ

フィールド
説明

Enable Port Security service

デバイスに対してグローバルにポート セキュリティ機能をイネーブル化します。このリンクは、選択したデバイスのポート セキュリティがイネーブルでないときにのみ表示されます。デフォルトでは、ポート セキュリティはイネーブルではありません。

Stop learning

デバイスに対してダイナミック セキュア MAC アドレス学習がグローバルに許可されるかどうかの指定。デフォルトでは、このチェック ボックスはオフです。

Interface:Secure Interface Details:Secure Interface Configuration セクション

 

表10-2 Interface:Secure Interface Details:Secure Interface Configuration セクション

フィールド
説明

Interface

表示のみ 。インターフェイスの名前。

Allowed VLANs

表示のみ 。このインターフェイスを使用するパケットが所属できる VLAN。

Port Type

表示のみ 。インターフェイスのポート モード。選択される値は次のとおりです。

Access(アクセス)

Trunk(トランク)

PVLAN Host(プライベート VLAN ホスト)

PVLAN Promiscuous(プライベート VLAN 混合)


) ポート セキュリティは、Routed(ルーテッド)ポート モードのインターフェイスをサポートしません。


Violation Action

デバイスが、インターフェイス上でセキュリティ違反を検出したときに実行する処理。次の設定のいずれかを選択できます。

Protect(保護)

Restrict(制限)

Shutdown(シャットダウン、デフォルトの処理)

セキュリティ違反時の処理についての詳細は、「セキュリティ違反と処理」を参照してください。

Maximum number of addresses

そのインターフェイス上で許可されるセキュア MAC アドレスの数。デフォルトでは、セキュア MAC アドレスの数は 1 です。

Number of configured MAC addresses

表示のみ 。そのインターフェイスに設定されたスタティック セキュア MAC アドレスの数。

Number of learnt MAC addresses

表示のみ 。そのインターフェイスで学習されたダイナミック セキュア MAC アドレスの数。

Interface:Secure Interface Details:Secure Address Configuration セクション

 

表10-3 Interface:Secure Interface Details:Secure Address Configuration セクション

フィールド
説明

Host MAC Address

スタティック セキュア MAC アドレス。有効なエントリは、ドット付き 16 進 MAC アドレスです。デフォルトでは、スタティック セキュア MAC アドレスはありません。

Interface:Dynamic MAC Addresses タブ

 

表10-4 Interface:Dynamic MAC Addresses タブ

フィールド
説明

Port

表示のみ 。インターフェイス名。

Port Type

表示のみ 。インターフェイスのポート モード。選択される値は次のとおりです。

Access(アクセス)

Trunk(トランク)

PVLAN Host(プライベート VLAN ホスト)

PVLAN Promiscuous(プライベート VLAN 混合)


) ポート セキュリティは、Routed(ルーテッド)ポート モードのインターフェイスをサポートしません。


Aging Type

ダイナミックに学習されたセキュア MAC アドレスのエージング タイプ。次の設定のいずれかを選択できます。

Absolute ― デバイスがそのアドレスを学習して以降の経過時間に基づくアドレスのエージング。これがデフォルトの設定です。

InActivity ― 現在のインターフェイス上で、その MAC アドレスから最後にトラフィックを受信して以降の経過時間に基づくアドレスのエージング。

Age

ダイナミックに学習されたセキュア MAC アドレスの、分単位のエージング タイム。有効なエントリは、1 ~ 1440 の整数です。

Dynamic MAC Stickiness

デバイスが、この方法で学習したアドレスを NVRAM に保存するかどうかの指定。詳細については、「スティッキ方式」を参照してください。

Host MAC Address

表示のみ 。ダイナミックまたはスティッキ方式のアドレス学習方法により、セキュアであると認められた MAC アドレス

その他の参考資料

ポート セキュリティの実装に関する詳細情報については、次を参照してください。

「関連資料」

「規格」

「MIB」

関連資料

関連事項
タイトル

レイヤ 2 スイッチング

Cisco NX-OS Layer 2 Switching Configuration Guide

規格

規格
タイトル

この機能のサポート対象の規格には、新規規格も変更された規格もありません。また、この機能は既存の規格に対するサポートに影響を及ぼしません。

--

MIB

NX-OS はポート セキュリティに関して読み取り専用の SNMP をサポートしています。

 

MIB
MIB のリンク

CISCO-PORT-SECURITY-MIB

MIB の確認とダウンロードを行うには、次の URL にアクセスします。

http://www.cisco.com/nx-os/mibs