Cisco DCNM for SAN セキュリティ コンフィギュレーション ガイド Cisco DCNM for SAN, Release 6.x
ポート セキュリティの設定
ポート セキュリティの設定
発行日;2012/09/18 | 英語版ドキュメント(2012/07/24 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

ポート セキュリティの設定

ポート セキュリティについて

ポート セキュリティの実行

自動学習の概要

ポート セキュリティのアクティブ化

データベースのアクティブ化の拒否

自動学習のイネーブル化の概要

自動学習デバイスの許可

許可の例

WWN の識別の概要

アクティブ化および自動学習の設定の配信

データベースの相互作用

データベースのシナリオ

注意事項と制限

データベース マージの注意事項

デフォルト設定

ポート セキュリティの設定

自動学習と CFS 配信を使用するポート セキュリティの設定

自動学習を使用し、CFS 配信を使用しないポート セキュリティの設定

手動データベース設定によるポート セキュリティの設定

設定ウィザードを使用したポート セキュリティの設定

ポート セキュリティのイネーブル化

ポート セキュリティのアクティブ化

ポート セキュリティの強制的なアクティブ化

データベースの再アクティブ化

コンフィギュレーション データベースへのアクティブ データベースのコピー

自動学習の設定

自動学習のイネーブル化

自動学習のディセーブル化

ポート セキュリティの手動設定

ポート セキュリティ設定のタスク フロー

許可済みのポート ペアの追加

ポート セキュリティ設定の削除

ポート セキュリティの配信の設定

配信のイネーブル化

ファブリックのロック

変更のコミット

データベースの操作

ポート セキュリティ データベースのコピー

ポート セキュリティ データベースの削除

ポート セキュリティ データベースのクリア

ポート セキュリティの設定の確認

アクティブなポート セキュリティ設定の表示

ポート セキュリティ統計情報の表示

ポート セキュリティ違反の表示

ポート セキュリティのフィールドの説明

ポート セキュリティのアクション

ポート セキュリティ コンフィギュレーション データベース

ポート セキュリティ アクティブ データベース

ポート セキュリティ データベースの相違点

ポート セキュリティ違反

ポート セキュリティ統計情報

ポート セキュリティの機能の履歴

ポート セキュリティの設定

Cisco MDS 9000 ファミリのスイッチにはすべて、侵入の試みを拒否し、管理者に侵入を報告するポート セキュリティ機能があります。

この章では、次の事項について説明します。

「ポート セキュリティについて」

「注意事項と制限」

「デフォルト設定」

「ポート セキュリティの設定」

「自動学習の設定」

「ポート セキュリティの手動設定」

「ポート セキュリティの配信の設定」

「データベースの操作」

「ポート セキュリティの設定の確認」

「ポート セキュリティのフィールドの説明」

「ポート セキュリティの機能の履歴」

ポート セキュリティについて

Cisco MDS 9000 ファミリのスイッチにはすべて、侵入の試みを拒否し、管理者に侵入を報告するポート セキュリティ機能があります。

通常、SAN 内のすべてのファイバ チャネル デバイスを任意の SAN スイッチ ポートに接続して、ゾーン メンバーシップに基づいて SAN サービスにアクセスできます。ポート セキュリティ機能は、次の方法で、Cisco MDS 9000 ファミリのスイッチ ポートへの不正アクセスを防止します。

不正なファイバ チャネル デバイス(Nx ポート)およびスイッチ(xE ポート)からのログイン要求は拒否されます。

侵入に関するすべての試みは、システム メッセージを通して SAN 管理者に報告されます。

設定配信は CFS インフラストラクチャを使用し、CFS 対応スイッチに制限されています。配信はデフォルトでディセーブルになっています。

ポート セキュリティ ポリシーの設定には、ENTERPRISE_PKG ライセンスが必要です(『Cisco MDS 9000 Family NX-OS Licensing Guide』を参照)。

ここで説明する内容は、次のとおりです。

「ポート セキュリティの実行」

「自動学習の概要」

「ポート セキュリティのアクティブ化」

「データベースのアクティブ化の拒否」

「自動学習のイネーブル化の概要」

「自動学習デバイスの許可」

「許可の例」

「WWN の識別の概要」

「アクティブ化および自動学習の設定の配信」

「データベースの相互作用」

「データベースのシナリオ」

ポート セキュリティの実行

ポート セキュリティを実行するには、デバイスおよびスイッチ ポート インターフェイス(これらを通じて各デバイスまたはスイッチが接続される)を設定し、設定をアクティブにします。

デバイスごとに Nx ポート接続を指定するには、Port World Wide Name(pWWN)または Node World Wide Name(nWWN)を使用します。

スイッチごとに xE ポート接続を指定するには、Switch World Wide Name(sWWN)を使用します。

Nx および xE ポートをそれぞれ設定して、単一ポートまたはポート範囲に限定することができます。

ポート セキュリティ ポリシーはポートがアクティブになるたび、およびポートを起動しようとした場合に実行されます。

ポート セキュリティ機能は 2 つのデータベースを使用して、設定の変更を受け入れ、実装します。

コンフィギュレーション データベース:すべての設定の変更がコンフィギュレーション データベースに保存されます。

アクティブ データベース:ファブリックが現在実行しているデータベース。ポート セキュリティ機能を実行するには、スイッチに接続されているすべてのデバイスがポート セキュリティ アクティブ データベースに格納されている必要があります。ソフトウェアはこのアクティブ データベースを使用して、認証を行います。

自動学習の概要

指定期間内にポート セキュリティ設定を自動的に学習するように、スイッチを設定できます。この機能を使用すると、任意の Cisco MDS 9000 ファミリ スイッチで、接続先のデバイスおよびスイッチについて自動的に学習できます。ポート セキュリティ機能を初めてアクティブにするときに、この機能を使用してください。ポートごとに手動で設定する面倒な作業が軽減されます。自動学習は、VSAN 単位で設定する必要があります。この機能をイネーブルにすると、ポート アクセスを設定していない場合でも、スイッチに接続可能なデバイスおよびスイッチが自動学習されます。

自動学習がイネーブルのときは、まだスイッチにログインしていないデバイスまたはインターフェイスに関する学習だけ実行されます。自動学習がまだイネーブルなときにポートをシャットダウンすると、そのポートに関する学習エントリが消去されます。

学習は、既存の設定済みのポート セキュリティ ポリシーを上書きしません。たとえば、インターフェイスが特定の pWWN を許可するように設定されている場合、自動学習によって、そのインターフェイスに他の pWWN を許可する新しいエントリが追加されることはありません。他のすべての pWWN は、自動学習モードであってもブロックされます。

シャットダウン状態のポートについては、学習エントリは作成されません。

ポート セキュリティ機能をアクティブにすると、自動学習も自動的にイネーブルになります。


) ポート セキュリティをアクティブにする前に自動学習をイネーブルにした場合、自動学習をディセーブルにしないと、ポート セキュリティをアクティブにできません。


ポート セキュリティのアクティブ化

デフォルトでは、すべての Cisco MDS 9000 ファミリ スイッチで、ポート セキュリティ機能は非アクティブです。

ポート セキュリティ機能をアクティブにすると、次の処理が適用されます。

自動学習も自動的にイネーブルになります。つまり、

この時点から、スイッチにログインしていないデバイスまたはインターフェイスにかぎり、自動学習が実行されます。

自動学習をディセーブルにするまで、データベースをアクティブにできません。

すでにログインしているすべてのデバイスは学習され、アクティブ データベースに追加されます。

設定済みデータベースのすべてのエントリがアクティブ データベースにコピーされます。

データベースをアクティブにすると、以降のデバイスのログインは、自動学習されたエントリを除き、アクティブ化されたポートによってバインドされた WWN ペアの対象になります。自動学習されたエントリがアクティブになる前に、自動学習をディセーブルにする必要があります。

ポート セキュリティ機能をアクティブにすると、自動学習も自動的にイネーブルになります。ポート セキュリティ機能をアクティブにし、自動学習をディセーブルにすることもできます。


ヒント ポートがログインを拒否されて停止している場合、その後でログインを許可するようにデータベースを設定しても、ポートは自動的に起動しません。そのポートをオンラインに戻すには、no shutdown CLI コマンドを明示的に発行する必要があります。

データベースのアクティブ化の拒否

次の場合は、データベースをアクティブ化しようとしても、拒否されます。

存在しないエントリや矛盾するエントリがコンフィギュレーション データベースにあるが、アクティブ データベースにはない場合。

アクティベーションの前に、自動学習機能がイネーブルに設定されていた場合。この状態のデータベースを再アクティブ化するには、自動学習をディセーブルにします。

各ポート チャネル メンバーに正確なセキュリティが設定されていない場合。

設定済みデータベースが空であり、アクティブ データベースが空でない場合。

上記のような矛盾が 1 つ以上発生したためにデータベース アクティベーションが拒否された場合は、ポート セキュリティ アクティベーションを強制して継続することができます。

自動学習のイネーブル化の概要

自動学習設定の状態は、ポート セキュリティ機能の状態によって異なります。

ポート セキュリティ機能がアクティブでない場合、自動学習はデフォルトでディセーブルです。

ポート セキュリティ機能がアクティブである場合、自動学習はデフォルトでイネーブルです(このオプションを明示的にディセーブルにしていない場合)。


ヒント VSAN 上で自動学習がイネーブルの場合、force オプションを使用して、この VSAN のデータベースだけをアクティブにできます。

自動学習デバイスの許可

表 9-1 に、デバイス要求に対して接続が許可される条件をまとめます。

 

表 9-1 許可される自動学習デバイス要求

条件
デバイス(pWWN、nWWN、sWWN)
接続先
認証

1

1 つまたは複数のスイッチ ポートに設定されている場合

設定済みスイッチ ポート

許可

2

他のすべてのスイッチ ポート

拒否

3

未設定

設定されていないスイッチ ポート

自動学習がイネーブルの場合は許可

4

自動学習がディセーブルの場合は拒否

5

設定されている場合、または設定されていない場合

任意のデバイスを接続許可するスイッチ ポート

許可

6

任意のスイッチ ポートにログインするように設定されている場合

スイッチ上の任意のポート

許可

7

未設定

その他のデバイスが設定されたポート

拒否

許可の例

ポート セキュリティ機能がアクティブで、アクティブ データベースに次の条件が指定されていることが前提です。

pWWN(P1)には、インターフェイス fc1/1(F1)からアクセスできる。

pWWN(P2)には、インターフェイス fc1/1(F1)からアクセスできる。

nWWN(N1)には、インターフェイス fc1/2(F2)からアクセスできる。

インターフェイス fc1/3(F3)からは、任意の WWN にアクセスできる。

nWWN(N3)には、任意のインターフェイスからアクセスできる。

pWWN(P3)には、インターフェイス fc1/4(F4)からアクセスできる。

sWWN(S1)には、インターフェイス fc1/10 ~ 13(F10 ~ F13)からアクセスできる。

pWWN(P10)には、インターフェイス fc1/11(F11)からアクセスできる。

表 9-2 に、このアクティブ データベースに対するポート セキュリティ許可の結果をまとめます。ここに示す条件は、 表 9-1 の条件を参照しています。

 

表 9-2 各シナリオの許可結果

デバイス接続要求
認証
条件
理由

P1、N2、F1

許可

1

競合しません。

P2、N2、F1

許可

1

競合しません。

P3、N2、F1

拒否

2

F1 が P1/P2 にバインドされています。

P1、N3、F1

許可

6

N3 に関するワイルドカード一致です。

P1、N1、F3

許可

5

F3 に関するワイルドカード一致です。

P1、N4、F5

拒否

2

P1 が F1 にバインドされています。

P5、N1、F5

拒否

2

N1 は F2 でだけ許可されます。

P3、N3、F4

許可

1

競合しません。

S1、F10

許可

1

競合しません。

S2、F11

拒否

7

P10 が F11 にバインドされています。

P4、N4、F5(自動学習が有効)

許可

3

競合しません。

P4、N4、F5(自動学習が無効)

拒否

4

一致しません。

S3、F5(自動学習が有効)

許可

3

競合しません。

S3、F5(自動学習が無効)

拒否

4

一致しません。

P1、N1、F6(自動学習が有効)

拒否

2

P1 が F1 にバインドされています。

P5、N5、F1(自動学習が有効)

拒否

7

P1 と P2 だけが F1 にバインドされています。

S3、F4(自動学習が有効)

拒否

7

P3 と F4 がペアになります。

S1、F3(自動学習が有効)

許可

5

競合しません。

P5、N3、F3

許可

6

F3 および N3 に関するワイルドカード(*)一致です。

P7、N3、F9

許可

6

N3 に関するワイルドカード(*)が一致しています。

WWN の識別の概要

ポート セキュリティを手動で設定する場合は、次の注意事項に従ってください。

インターフェイスまたは fWWN でスイッチ ポートを識別します。

pWWN または nWWN でデバイスを識別します。

Nx ポートが SAN スイッチ ポート Fx にログインできる場合、その Nx ポートは指定された Fx ポートを通した場合に限りログインできます。

Nx ポートの nWWN が Fx ポート WWN にバインドされている場合、Nx ポートのすべての pWWN は暗黙的に Fx ポートとペアになります。

TE ポート チェックは、トランク ポートの許可 VSAN リスト内の VSAN ごとに実行されます。

同じポートチャネル内のすべてのポートチャネル xE ポートに、同じ WWN セットを設定する必要があります。

E ポートのセキュリティは、E ポートのポート VSAN に実装されます。この場合、sWWN を使用して許可チェックを保護します。

アクティブ化されたコンフィギュレーション データベースは、アクティブ データベースに影響を与えることなく変更できます。

実行コンフィギュレーションを保存することにより、コンフィギュレーション データベースおよびアクティブ データベース内のアクティブ化されたエントリを保存します。アクティブ データベース内の学習済みエントリは保存されません。

アクティブ化および自動学習の設定の配信

配信モードのアクティベーション設定および自動学習設定は、保留中のデータベースの変更をコミットするときに実行する処理として記憶されます。

学習済みエントリは一時的なもので、ログインを許可するか否かを決定するロールを持ちません。そのため、学習済みエントリは配信に参加しません。学習をディセーブルにし、保留中のデータベースの変更をコミットする場合、学習済みエントリはアクティブ データベース内のスタティック エントリになり、ファブリック内のすべてのスイッチに配信されます。コミット後、すべてのスイッチのアクティブ データベースが同一になり、学習をディセーブルにできます。

変更をコミットする場合、保留中のデータベースに複数のアクティブ化および自動学習の設定が含まれていると、アクティブ化と自動学習の変更が統合され、処理が変更されることがあります( 表 9-3 を参照)。

 

表 9-3 配信モードでのアクティブ化および 自動学習の設定シナリオ

シナリオ
アクション
配信がオフの場合
配信がオンの場合

コンフィギュレーション データベースに A および B が存在し、アクティベーションが行われておらず、デバイス C および D がログインされています。

1. ポート セキュリティ データベースをアクティブにし、自動学習をイネーブルにします。

コンフィギュレーション データベース = {A、B}

アクティブ データベース = {A、B、C1、D*}

コンフィギュレーション データベース = {A、B}

アクティブ データベース = {ヌル}

保留中のデータベース = {A、B + アクティベーション(イネーブル)}

2. 新規のエントリ E がコンフィギュレーション データベースに追加されました。

コンフィギュレーション データベース = {A、B、E}

アクティブ データベース = {A、B、C*、D*}

コンフィギュレーション データベース = {A、B}

アクティブ データベース = {ヌル}

保留中のデータベース = {A、B、E + アクティベーション(イネーブル)}

3. コミットを行います。

N/A

コンフィギュレーション データベース = {A、B、E}

アクティブ データベース = {A、B、E、C*、D*}

保留中のデータベース = 空の状態

コンフィギュレーション データベースに A および B が存在し、アクティベーションが行われておらず、デバイス C および D がログインされています。

1. ポート セキュリティ データベースをアクティブにし、自動学習をイネーブルにします。

コンフィギュレーション データベース = {A、B}

アクティブ データベース = {A、B、C*、D*}

コンフィギュレーション データベース = {A、B}

アクティブ データベース = {ヌル}

保留中のデータベース = {A、B + アクティベーション(イネーブル)}

2. 学習をディセーブルにします。

コンフィギュレーション データベース = {A、B}

アクティブ データベース = {A、B、C、D}

コンフィギュレーション データベース = {A、B}

アクティブ データベース = {ヌル}

保留中のデータベース = {A、B + アクティベーション(イネーブル)+ 学習(ディセーブル)}

3. コミットを行います。

N/A

コンフィギュレーション データベース = {A、B}

アクティブ データベース = {A、B}、デバイス C および D がログアウトされます。これは、自動学習をディセーブルにした場合のアクティベーションと同じです。

保留中のデータベース = 空の状態

1.*(アスタリスク)は学習されたエントリを意味します。


ヒント 各処理の最後にコミットを実行することを推奨します。つまり、ポート セキュリティのアクティブ化の後、および自動学習のイネーブル化の後です。

データベースの相互作用

表 9-4 に、アクティブ データベースとコンフィギュレーション データベース間の相違、および相互作用を示します。

 

表 9-4 アクティブおよびコンフィギュレーション ポート セキュリティ データベース

アクティブ データベース
コンフィギュレーション データベース

読み取り専用。

読み取りと書き込み。

設定を保存すると、アクティブなエントリだけが保存されます。学習済みエントリは保存されません。

設定を保存すると、コンフィギュレーション データベース内のすべてのエントリが保存されます。

アクティブ化すると、VSAN にログイン済みのすべてのデバイスも学習され、アクティブ データベースに追加されます。

アクティブ化されたコンフィギュレーション データベースは、アクティブ データベースに影響を与えることなく変更できます。

アクティブ データベースを設定済みデータベースで上書きするには、ポート セキュリティ データベースをアクティブ化します。強制的にアクティブにすると、アクティブ データベースの設定済みエントリに違反が生じることがあります。

コンフィギュレーション データベースをアクティブ データベースで上書きできます。

データベースのシナリオ

図 9-1 の各シナリオは、ポート セキュリティ設定に基づくアクティブ データベースとコンフィギュレーション データベースのステータスを示しています。

図 9-1 ポート セキュリティ データベースのシナリオ

 

注意事項と制限

ポート セキュリティがサポートされるのは、ファイバ チャネル ポートだけです。

データベース マージの注意事項

データベースのマージとは、コンフィギュレーション データベースとアクティブ データベース内のスタティック(学習されていない)エントリの統合を指します。

2 つのファブリック間のデータベースをマージする場合は、次のことに気をつけて行ってください。

アクティベーション ステータスと自動学習ステータスが両方のファブリックで同じであることを確認します。

両方のデータベースの各 VSAN のコンフィギュレーションの合計数が、2 K を超えていないことを確認してください。


注意 この 2 つの条件に従わない場合は、マージに失敗します。次の配信がデータベースとファブリック内のアクティベーション ステートを強制的に同期化します。

デフォルト設定

表 9-5 に、スイッチのすべてのポート セキュリティ機能のデフォルト設定を示します。

 

表 9-5 セキュリティのデフォルト設定値

パラメータ
デフォルト

Auto-learn

ポート セキュリティがイネーブルの場合は、イネーブル。

Port security

ディセーブル

Distribution

ディセーブル。

(注) 配信をイネーブルにすると、スイッチ上のすべての VSAN の配信がイネーブルになります。

ポート セキュリティの設定

ポート セキュリティを設定する手順は、使用する機能によって異なります。CFS 配信を使用している場合、自動学習の動作が異なります。

ここで説明する内容は、次のとおりです。

「自動学習と CFS 配信を使用するポート セキュリティの設定」

「自動学習を使用し、CFS 配信を使用しないポート セキュリティの設定」

「手動データベース設定によるポート セキュリティの設定」

「設定ウィザードを使用したポート セキュリティの設定」

「ポート セキュリティのイネーブル化」

「ポート セキュリティのアクティブ化」

「ポート セキュリティの強制的なアクティブ化」

「データベースの再アクティブ化」

「コンフィギュレーション データベースへのアクティブ データベースのコピー」

自動学習と CFS 配信を使用するポート セキュリティの設定

手順の詳細

自動学習および CFS 配信を使用してポート セキュリティを設定する手順は、次のとおりです。


ステップ 1 ポート セキュリティをイネーブルにします。「ポート セキュリティのイネーブル化」を参照してください。

ステップ 2 CFS 配信をイネーブルにします。「配信のイネーブル化」を参照してください。

ステップ 3 各 VSAN で、ポート セキュリティをアクティブにします。デフォルトで自動学習が有効になります。「ポート セキュリティのアクティブ化」を参照してください。

ステップ 4 CFS コミットを発行して、ファブリック内のすべてのスイッチにこの設定をコピーします。「変更のコミット」を参照してください。この時点で、すべてのスイッチがアクティブになり、自動学習が有効になります。

ステップ 5 すべてのスイッチとすべてのホストが自動的に学習されるまで待ちます。

ステップ 6 各 VSAN で、自動学習をディセーブルにします。「自動学習のディセーブル化」を参照してください。

ステップ 7 CFS コミットを発行して、ファブリック内のすべてのスイッチにこの設定をコピーします。「変更のコミット」を参照してください。この時点で、すべてのスイッチから自動学習されたエントリが、すべてのスイッチに配信されるスタティックなアクティブ データベースに組み込まれます。

ステップ 8 各 VSAN のコンフィギュレーション データベースにアクティブ データベースをコピーします。「ポート セキュリティ データベースのコピー」を参照してください。

ステップ 9 CFS コミットを発行して、ファブリック内のすべてのスイッチにこの設定をコピーします。「変更のコミット」を参照してください。これで、ファブリック内のすべてのスイッチのコンフィギュレーション データベースが同一になります。

ステップ 10 ファブリック オプションを使用して、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。これにより、ポート セキュリティ コンフィギュレーション データベースが、ファブリック内のすべてのスイッチのスタートアップ コンフィギュレーションに保存されます。


 

自動学習を使用し、CFS 配信を使用しないポート セキュリティの設定

手順の詳細

自動学習を使用し、CFS 配信を使用しないポート セキュリティを設定する手順は、次のとおりです。


ステップ 1 ポート セキュリティをイネーブルにします。「ポート セキュリティのイネーブル化」を参照してください。

ステップ 2 各 VSAN で、ポート セキュリティをアクティブにします。デフォルトで自動学習が有効になります。「ポート セキュリティのアクティブ化」を参照してください。

ステップ 3 すべてのスイッチとすべてのホストが自動的に学習されるまで待ちます。

ステップ 4 各 VSAN で、自動学習をディセーブルにします。「自動学習のディセーブル化」を参照してください。

ステップ 5 各 VSAN のコンフィギュレーション データベースにアクティブ データベースをコピーします。「ポート セキュリティ データベースのコピー」を参照してください。

ステップ 6 実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。これにより、ポート セキュリティ コンフィギュレーション データベースがスタートアップ コンフィギュレーションに保存されます。

ステップ 7 ファブリック内のすべてのスイッチについて、ステップ 1ステップ 6 を繰り返します。


 

手動データベース設定によるポート セキュリティの設定

手順の詳細

ポート セキュリティを設定し、ポート セキュリティ データベースを手動設定する手順は、次のとおりです。


ステップ 1 ポート セキュリティをイネーブルにします。「ポート セキュリティのイネーブル化」を参照してください。

ステップ 2 各 VSAN のコンフィギュレーション データベースにすべてのポート セキュリティ エントリを手動で設定します。「手動データベース設定によるポート セキュリティの設定」を参照してください。

ステップ 3 各 VSAN で、ポート セキュリティをアクティブにします。デフォルトで自動学習が有効になります。「ポート セキュリティのアクティブ化」を参照してください。

ステップ 4 各 VSAN で、自動学習をディセーブルにします。「自動学習のディセーブル化」を参照してください。

ステップ 5 実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。これにより、ポート セキュリティ コンフィギュレーション データベースがスタートアップ コンフィギュレーションに保存されます。

ステップ 6 ファブリック内のすべてのスイッチについて、ステップ 1ステップ 5 を繰り返します。


 

設定ウィザードを使用したポート セキュリティの設定

ポート セキュリティの設定ウィザードでは、選択した VSAN のポート セキュリティ ポリシーを、手順を追って設定します。ポート セキュリティの設定ウィザードでは、設定全体の一元的な管理を可能にする、CFS を使用した中央管理をサポートしています。

ウィザードが自動的に実行する基本処理はほとんどありません。たとえば、集中管理を行う場合、ウィザードは適切な段階で CFS 機能のチェック、CFS のイネーブル化、および CFS コミットの発行などの処理を実行します。

特定ポートのセキュリティを管理する場合、ウィザードを使用して VSAN 全体のポート セキュリティ ポリシーを設定する必要はありません。対象ポートに直接アクセスして編集できます。この処理は、[Port Binding] ダイアログボックスから実行できます。ポートが属するスイッチのポート セキュリティがまだイネーブルでない場合は、このダイアログボックスによってまずセキュリティがイネーブルにされます。ポート セキュリティがイネーブルの場合は、ユーザの操作に基づいてポリシー データベースを編集します。

VSAN 内のすべてのスイッチで CFS がイネーブルである。CFS マスター スイッチが選択され、すべての設定が実行されます。すべての変更は、CFS commit コマンドを使用して VSAN に配信されます。

前提条件

スイッチ上でポート セキュリティをイネーブルにします。

バインドされたデバイス、スイッチ、またはポートを編集することによって手動で、または自動学習機能を使用してポート セキュリティ ポリシーを定義します。

ポート セキュリティ ポリシーをアクティブにします。

アクティブ化されたデータベースと設定済みデータベースがコピーによって同期化されていることを確認します。

アクティブ化されたデータベースをコピーして、スタートアップ コンフィギュレーションに設定します。

手順の詳細

ポート セキュリティを設定する手順は、次のとおりです。


ステップ 1 ツールバーで [Port Security] ボタンをクリックします。

Port Security Setup Wizard が起動する前に、DCNM-SAN によって VSAN に含まれるスイッチの CFS 機能がチェックされます。

VSAN コンテキストが未選択の場合は、VSAN の選択を求めるプロンプトが表示されます(図 9-2 を参照)。

図 9-2 [Select VSAN] ウィンドウ

 

ステップ 2 リストから VSAN を選択して [OK] をクリックします。

ステップ 3 [Select Master Switch] ページで次の操作を行います。

必須のマスター スイッチを選択します。

ポート設定を自動学習するように [Automatically learn all logged in ports in VSAN] チェックボックスを選択します。

ステップ 4 [Next] をクリックして続行します。

[Edit and Activate Configuration] ページが表示されます。


) Cisco NX-OS Release 5.2 以降では、デバイスを vFC インターフェイスにバインドできます。


ステップ 5 [Insert] をクリックして、ポート バインディングを作成します。


) バインディング用のインターフェイスが挿入されている場合は、vFC ポートを選択できます。


ステップ 6 [Insert Port Security Devices] ダイアログボックスを使用して作成できるポート バインディングには、次の 2 つのタイプがあります。

Port WWN -pWWN:インターフェイス WWN にバインドされます。

Switch -Switch WWN:インターフェイスにバインドされます。(主に ISL バインディングに有効)

ステップ 7 オプション ボタンをクリックし、サポート値を入力してポート バインディングを選択します。

ステップ 8 [OK] をクリックします。

ステップ 9 [Close] をクリックして、[Insert Port Security] ウィンドウを終了します。


) ウィザードの [Edit and Activate Configuration] ページ内のエントリを削除するには、削除するエントリを選択して [Delete] ボタンをクリックします。


ステップ 10 [Finish] をクリックして、選択したスイッチのポート セキュリティ設定を完了します。


 

ポート セキュリティのイネーブル化

デフォルトでは、すべての Cisco MDS 9000 ファミリ スイッチで、ポート セキュリティ機能はディセーブルです。

手順の詳細

ポート セキュリティをイネーブルにするには、次の手順を実行します。


ステップ 1 [VSAN] を展開し、[Logical Domains] ペインで [Port Security] を選択します。

[Information] ペインに、その VSAN のポート セキュリティ設定が表示されます。

ステップ 2 [CFS] タブをクリックします。

ステップ 3 [Global] カラムの各エントリをクリックし、[enable] を選択して、VSAN 内のすべての参加スイッチ上の CFS をイネーブルにします。

ステップ 4 [Apply Changes] をクリックし、ポート セキュリティ機能の CFS 配信をイネーブルにします。

ステップ 5 [Control] タブをクリックします。

選択した VSAN に含まれるすべてのスイッチのポート セキュリティ イネーブル ステートが表示されます。

ステップ 6 VSAN に含まれる各スイッチの [Command] カラムを [enable] に設定します。

ステップ 7 [CFS] タブをクリックし、VSAN に含まれるすべての参加スイッチの [Command] カラムを [commit] に設定します。

ステップ 8 [Apply Changes] をクリックして、VSAN に含まれるすべてのスイッチに、イネーブルにしたポート セキュリティを配信します。


 

ポート セキュリティのアクティブ化

手順の詳細

ポート セキュリティをアクティブにするには、次の手順を実行します。


ステップ 1 [VSAN] を展開し、[Logical Domains] ペインで [Port Security] を選択します。

[Information] ペインに、その VSAN のポート セキュリティ設定が表示されます。

ステップ 2 [Actions] タブをクリックします。

ステップ 3 ポート セキュリティをアクティブにするスイッチまたは VSAN の横の [Activation] で [Action] カラムをクリックします。ドロップダウン メニューに、次のオプションが表示されます。

activate :有効なポート セキュリティ設定をアクティブにします。

activate(TurnLearningOff) :有効なポート セキュリティ設定をアクティブにし、自動学習をオフにします。

forceActivate :強制的にアクティブにします。

forceActivate(TurnLearningOff) :強制的にアクティブにし、自動学習をオフにします。

deactivate :現在アクティブであるすべてのポート セキュリティ設定を非アクティブにします。

NoSelection :何も実行しません。

ステップ 4 スイッチに適用する [Action] フィールドを設定します。

ステップ 5 自動学習をディセーブルにするには、VSAN の各スイッチの [AutoLearn] チェックボックスをオフにします。

ステップ 6 [CFS] タブをクリックし、VSAN に含まれるすべての参加スイッチの [Command] カラムを [commit] に設定します。

ステップ 7 DCNM-SAN で [Apply Changes] をクリックするか、Device Manager で [Apply] をクリックして、これらの変更を保存します。


) 必要に応じて、自動学習をディセーブルに設定できます(「自動学習のディセーブル化」を参照)。



 

ポート セキュリティの強制的なアクティブ化

ポート セキュリティ アクティベーション要求が拒否された場合は、アクティベーションを強制できます。


force オプションを使用してアクティブ化すると、アクティブ データベースに違反している既存のデバイスをログアウトさせることができます。


手順の詳細

ポート セキュリティ データベースを強制的にアクティブにするには、次の手順を実行します。


ステップ 1 [VSAN] を展開し、[Logical Domains] ペインで [Port Security] を選択します。

[Information] ペインに、その VSAN のポート セキュリティ設定が表示されます。

ステップ 2 [Actions] タブをクリックします。

ステップ 3 ポート セキュリティをアクティブにするスイッチまたは VSAN の横の [Activation] で [Action] カラムをクリックし、[forceactivate] オプションを選択します。

ステップ 4 スイッチに適用する [Action] フィールドを設定します。

ステップ 5 [CFS] タブをクリックし、VSAN に含まれるすべての参加スイッチの [Command] カラムを [commit] に設定します。

ステップ 6 DCNM-SAN で [Apply Changes] をクリックするか、Device Manager で [Apply] をクリックして、これらの変更を保存します。


 

データベースの再アクティブ化

手順の詳細


ヒント 自動学習がイネーブルで、データベースをアクティブ化できない場合、処理を継続できません。

ポート セキュリティ データベースを再アクティブ化するには、次の手順を実行します。


ステップ 1 自動学習をディセーブルにします。

ステップ 2 設定済みデータベースにアクティブ データベースをコピーします。


ヒント アクティブ データベースが空の場合は、この手順を実行できません。


ステップ 3 コンフィギュレーション データベースに必要な変更を加えます。

ステップ 4 データベースをアクティブにします


 

コンフィギュレーション データベースへのアクティブ データベースのコピー

手順の詳細

コンフィギュレーション データベースにアクティブ データベースをコピーするには、次の手順を実行します。


ステップ 1 [VSAN] を展開し、[Logical Domains] ペインで [Port Security] を選択します。

[Information] ペインに、その VSAN のポート セキュリティ設定が表示されます。

ステップ 2 [Actions] タブをクリックします。

その VSAN のスイッチが表示されます。

ステップ 3 データベースをコピーするスイッチの横にある [CopyActive ToConfig] チェックボックスをオンにします。

セキュリティ設定がアクティブになると、アクティブ データベースがコンフィギュレーション データベースにコピーされます。

ステップ 4 セキュリティ設定をアクティブにしたときにデータベースをコピーしない場合には、[CopyActive ToConfig] チェックボックスをオフにします。

ステップ 5 [CFS] タブをクリックし、VSAN に含まれるすべての参加スイッチの [Command] カラムを [commit] に設定します。

ステップ 6 これらの変更を保存する場合は [Apply Changes] をクリックします。保存されていない変更を廃棄する場合は [Undo Changes] をクリックします。


 

自動学習の設定

ここでは、次の内容について説明します。

「自動学習のイネーブル化」

「自動学習のディセーブル化」

自動学習のイネーブル化

手順の詳細

自動学習をイネーブルにするには、次の手順を実行します。


ステップ 1 [VSAN] を展開し、[Logical Domains] ペインで [Port Security] を選択します。

[Information] ペインに、その VSAN のポート セキュリティ設定が表示されます。

ステップ 2 [Actions] タブをクリックします。

ステップ 3 ポート セキュリティをアクティブにするスイッチまたは VSAN の横の [Activation] で [Action] カラムをクリックします。ドロップダウン メニューに、次のオプションが表示されます。

activate :有効なポート セキュリティ設定をアクティブにします。

activate(TurnLearningOff) :有効なポート セキュリティ設定をアクティブにし、自動学習をオフにします。

forceActivate :強制的にアクティブにします。

forceActivate(TurnLearningOff) :強制的にアクティブにし、自動学習をオフにします。

deactivate :現在アクティブであるすべてのポート セキュリティ設定を非アクティブにします。

NoSelection :何も実行しません。

ステップ 4 そのスイッチに適用する、いずれかのポート セキュリティ オプションを選択します。

ステップ 5 自動学習をイネーブルにするには、VSAN の各スイッチの [AutoLearn] チェックボックスをオンにします。

ステップ 6 [Apply Changes] アイコンをクリックして、これらの変更を保存します。


 

自動学習のディセーブル化

手順の詳細

自動学習をディセーブルにするには、次の手順を実行します。


ステップ 1 [VSAN] を展開し、[Logical Domains] ペインで [Port Security] を選択します。

[Information] ペインに、その VSAN のポート セキュリティ設定が表示されます。

ステップ 2 [Actions] タブをクリックします。

その VSAN のスイッチが表示されます。

ステップ 3 自動学習をディセーブルにするには、スイッチの横にある [AutoLearn] チェックボックスをオフにします。

ステップ 4 [Apply Changes] アイコンをクリックして、これらの変更を保存します。


 

ポート セキュリティの手動設定

ここで説明する内容は、次のとおりです。

「ポート セキュリティ設定のタスク フロー」

「許可済みのポート ペアの追加」

「ポート セキュリティ設定の削除」

ポート セキュリティ設定のタスク フロー

Cisco MDS 9000 ファミリの任意のスイッチにポート セキュリティを設定するには、次の手順を実行します。


ステップ 1 保護する必要があるポートの WWN を識別します。

ステップ 2 許可された nWWN または pWWN に対して fWWN を保護します。

ステップ 3 ポート セキュリティ データベースをアクティブにします。

ステップ 4 設定を確認します。


 

許可済みのポート ペアの追加

手順の詳細

バインドする必要がある WWN ペアを識別したら、これらのペアをポート セキュリティ データベースに追加します。


ヒント リモート スイッチのバインドは、ローカル スイッチで指定できます。リモート インターフェイスを指定する場合、fWWN または sWWN インターフェイスの組み合わせを使用できます。

許可済みのポート ペアをポート セキュリティに追加するには、次の手順を実行します。


ステップ 1 [VSAN] を展開し、[Logical Domains] ペインで [Port Security] を選択します。

ステップ 2 [Config Database] タブをクリックします。

ステップ 3 [Create Row] をクリックして、許可済みのポート ペアを追加します。

[Create Port Security] ダイアログボックスが表示されます。

ステップ 4 表示されたリストから、ポート セキュリティ設定を作成するデバイスをダブルクリックします。

ステップ 5 表示されたリストから、デバイスをバインドするポートをダブルクリックします。

ステップ 6 [Create] をクリックして、ポート セキュリティ設定を作成します。

ステップ 7 [Apply Changes] アイコンをクリックして、これらの変更を保存します。


 

ポート セキュリティ設定の削除

手順の詳細

スイッチ上の設定済みデータベースからポート セキュリティ設定を削除する手順は、次のとおりです。


ステップ 1 [VSAN] を展開し、[Logical Domains] ペインで [Port Security] を選択します。

ステップ 2 [Config Database] タブをクリックします。

VSAN の既存のポート セキュリティ設定が表示されます。

ステップ 3 削除する行をクリックします。

ステップ 4 [Delete Row] をクリックします。

確認ダイアログボックスが表示されます。

ステップ 5 行を削除するには、[Yes] をクリックします。行を削除しないで確認ダイアログボックスを閉じるには、[No] をクリックします。

ステップ 6 [Apply Changes] アイコンをクリックして、これらの変更を保存します。


 

ポート セキュリティの配信の設定

ポート セキュリティ機能は Cisco Fabric Services(CFS)インフラストラクチャを使用して効率的なデータベース管理を実現し、VSAN 内のファブリック全体にシングル ポイントの設定を提供します。また、ファブリック全体でポート セキュリティ ポリシーを実行します(「IPSec ネットワーク セキュリティの設定」を参照)。

ここで説明する内容は、次のとおりです。

「配信のイネーブル化」

「ファブリックのロック」

「変更のコミット」

配信のイネーブル化

手順の詳細

配信モードで実行されたすべての設定は保留中の(一時的な)データベースに保存されます。設定を変更する場合、設定に対して保留中のデータベースの変更をコミットまたは廃棄する必要があります。その間、ファブリックはロックされた状態になります。保留中のデータベースへの変更は、変更をコミットするまで設定に反映されません。


) CFS 配信がイネーブルの場合、ポートのアクティベーションまたは非アクティベーションおよび自動学習のイネーブル化またはディセーブル化は、CFS コミットを発行するまで有効になりません。常に CFS コミットとこれらの処理のいずれかを使用して、正しい設定を確認してください。「アクティブ化および自動学習の設定の配信」を参照してください。



ヒント この場合、各処理の最後にコミットを実行することを推奨します。つまり、ポート セキュリティのアクティブ化のあと、および自動学習のイネーブル化のあとです。

配信をイネーブルにするには、次の手順を実行します。


ステップ 1 [VSAN] を展開し、[Logical Domains] ペインで [Port Security] を選択します。

[Information] ペインに、その VSAN のポート セキュリティ設定が表示されます。

ステップ 2 [Control] タブをクリックします。

その VSAN のスイッチが表示されます。

ステップ 3 [Command] カラムをクリックして、ドロップダウン メニューから [enable] または [disable] を選択します。

ステップ 4 [Apply Changes] アイコンをクリックして、変更を保存します。


 

ファブリックのロック

既存の設定を変更するときの最初のアクションが実行されると、保留中のデータベースが作成され、VSAN 内の機能がロックされます。ファブリックがロックされると、次のような状況になります。

他のユーザがこの機能の設定に変更を加えることができなくなります。

コンフィギュレーション データベースのコピーが保留中のデータベースになります。

変更のコミット

設定に加えられた変更をコミットする場合、保留中のデータベースの設定が他のスイッチに配信されます。コミットが正常に行われると、設定の変更がファブリック全体に適用され、ロックが解除されます。

データベースの操作

ここで説明する内容は、次のとおりです。

「ポート セキュリティ データベースのコピー」

「ポート セキュリティ データベースの削除」

「ポート セキュリティ データベースのクリア」

ポート セキュリティ データベースのコピー

手順の詳細


ヒント 自動学習をディセーブルにしてから、アクティブ データベースをコンフィギュレーション データベースにコピーすることを推奨します。これにより、コンフィギュレーション データベースとアクティブ データベースを確実に同期化できます。配信がイネーブルの場合、このコマンドによってコンフィギュレーション データベースの一時的なコピーが作成され、結果としてファブリックがロックされます。ファブリックがロックされた場合、すべてのスイッチのコンフィギュレーション データベースに変更をコミットする必要があります。

アクティブ データベースをコンフィギュレーション データベースにコピーするには、次の手順を実行します。


ステップ 1 [Fabric] を展開し、[VSAN] を展開して、[Logical Domains] ペインで [Port Security] を選択します。

ステップ 2 [Actions] タブをクリックします。すべてのコンフィギュレーション データベースが表示されます。

ステップ 3 適切なコンフィギュレーション データベースを選択し、[Copy Active to Config] チェックボックスをオンにします。

ステップ 4 [Apply Changes] アイコンをクリックして変更を保存します。


 

アクティブ データベースとコンフィギュレーション データベース間の差分を表示するには、次の手順を実行します。

手順の詳細


ステップ 1 [Fabric] を展開し、[VSAN] を展開して、[Logical Domains] ペインで [Port Security] を選択します。

[Information] ペインにポート セキュリティ情報が表示されます。

ステップ 2 [Database Differences] タブを選択します。すべてのコンフィギュレーション データベースが表示されます。

ステップ 3 適切なコンフィギュレーション データベースを選択します。[Active] または [Config] オプションを選択して、選択したデータベースとアクティブ/コンフィギュレーション データベース間の差分を比較します。

ステップ 4 [Apply Changes] アイコンをクリックして変更を保存します。


 

ポート セキュリティ データベースの削除


ヒント 配信がイネーブルの場合、削除によってデータベースのコピーが作成されます。データベースを実際に削除するには、明示的に削除する必要があります。

手順の詳細

ポート セキュリティ データベースを削除するには、次の手順を実行します。


ステップ 1 [Fabric] を展開し、[VSAN] を展開して、[Logical Domains] ペインで [Port Security] を選択します。

[Information] ペインにポート セキュリティ情報が表示されます。

ステップ 2 [Config Database] タブをクリックします。すべてのコンフィギュレーション データベースが表示されます。

ステップ 3 適切なコンフィギュレーション データベースを選択し、[Delete Row] ボタンをクリックします。

ステップ 4 コンフィギュレーション データベースを削除する場合は、[Yes] をクリックします。


 

ポート セキュリティ データベースのクリア

手順の詳細

指定した VSAN に関するすべての既存の統計情報をポート セキュリティ データベースからクリアするには、次の手順を実行します。


ステップ 1 [Fabric] を展開し、[VSAN] を展開して、[Logical Domains] ペインで [Port Security] を選択します。

[Information] ペインにポート セキュリティ情報が表示されます。

ステップ 2 [Statistics] タブをクリックします。

すべてのコンフィギュレーション データベースが表示されます。

ステップ 3 適切なコンフィギュレーション データベースを選択し、[Clear] オプションを選択します。

ステップ 4 [Apply Changes] アイコンをクリックして変更を保存します。


 

VSAN 内の指定したインターフェイスについて、すべての学習済みエントリをアクティブ データベースからクリアするには、次の手順を実行します。


ステップ 1 [Fabric] を展開し、[VSAN] を展開して、[Logical Domains] ペインで [Port Security] を選択します。

[Information] ペインにポート セキュリティ情報が表示されます。

ステップ 2 [Actions] タブを選択します。すべてのコンフィギュレーション データベースが表示されます。

ステップ 3 適切なコンフィギュレーション データベースを選択し、[AutoLearn] オプションを選択します。

ステップ 4 [Apply Changes] アイコンをクリックして変更を保存します。


 


) [Statistics] タブおよび [AutoLearn] オプションで情報をクリアできるのは、ロックが適用されないローカル スイッチだけです。また、学習済みエントリはスイッチにだけローカルで、配信に参加しません。


ポート セキュリティの設定の確認

これらのコマンドの出力に表示される各フィールドの詳細については、『 Cisco MDS 9000 Family Command Reference 』を参照してください。

「アクティブなポート セキュリティ設定の表示」

「ポート セキュリティ統計情報の表示」

「ポート セキュリティ違反の表示」

アクティブなポート セキュリティ設定の表示

アクティブなポート セキュリティ設定を表示するには、次の手順を実行します。


ステップ 1 [VSAN] を展開し、[Logical Domains] ペインで [Port Security] を選択します。

[Information] ペインに、その VSAN のポート セキュリティ設定が表示されます。

ステップ 2 [Active Database] タブをクリックします。

その VSAN のアクティブなポート セキュリティ設定が表示されます。


 

ポート セキュリティ統計情報の表示

ポート セキュリティ統計情報を表示するには、次の手順を実行します。


ステップ 1 [VSAN] を展開し、[Logical Domains] ペインで [Port Security] を選択します。

[Information] ペインに、その VSAN のポート セキュリティ設定が表示されます。

ステップ 2 [Statistics] タブをクリックします。

その VSAN のポート セキュリティ統計情報が表示されます。


 

ポート セキュリティ違反の表示

ポート違反とは、不正なログイン試行のことです(たとえば、不正なファイバ チャネル デバイスからログイン要求など)。これらの試行に関するリストを VSAN 単位で表示できます。

ポート セキュリティ違反を表示する手順は、次のとおりです。


ステップ 1 [VSAN] を展開し、[Logical Domains] ペインで [Port Security] を選択します。

[Information] ペインに、その VSAN のポート セキュリティ設定が表示されます。

ステップ 2 [Violations] タブをクリックします。その VSAN のポート セキュリティ違反が表示されます。


 

ポート セキュリティのフィールドの説明

ここでは、ポート セキュリティのフィールドについて説明します。

ポート セキュリティのアクション

 

フィールド
説明
Activation

Action

activate:この VSAN/VLAN 上の有効なポート バインディングがアクティブになります。

activate(Turn LearningOff):この VSAN/VLAN 上の有効なポート バインディングがアクティブになり、アクティブ データベースにコピーされます。また、アクティブ化が完了すると、この VSAN/VLAN の自動学習がオフになります。

force activate:アクティベーション中にエラーが発生した場合でも強制的にアクティベーションが行われ、アクティブになったポート バインディングがアクティブ データベースにコピーされます。

force activate(Turn Learning Off):強制的にアクティベーションが行われ、アクティベーション後に自動学習がオフになります。また、アクティブになったポート バインディングがアクティブ データベースにコピーされます。

deactivate:この VSAN/VLAN 上で現在アクティブになっている有効なポート バインディング(ある場合)が非アクティブ化されます。アクティブ データベースに含まれていた現在アクティブなエントリ(ある場合)は削除されます。

自動学習がイネーブルになっている場合、その VSAN 上でのアクティベーションは許可されません。

Enabled

この VSAN/VLAN のアクティベーションの状態。true の場合は、この VSAN/VLAN に対する最新の操作として、アクティベーションが試みられています。false の場合は、この VSAN/VLAN に対する最新の操作として、アクティベーションが試みられていません。

Result

最新のアクティベーション/非アクティベーションの結果を示します。

Last Change

この VSAN/VLAN 上の有効なポート バインディングが最後にアクティブ化されたタイミング。エージェントの前回の再初期化前に最後のアクティベーションが行われている場合、この値は N/A になります。

CopyActiveToConfig

イネーブルの場合、アクティブ ポート バインディング データベースがこの VSAN/VLAN のコンフィギュレーション デーベースにコピーされます。学習済みエントリもコピーされます。

AutoLearn

そのすべてのポート上のローカル デバイスにログイン済みのデバイス/ポートの有効なポート バインディング設定の学習を支援し、前述のアクティブ データベースを同じ内容を入力します。一定期間にわたってローカル デバイスにログイン済みのデバイス/ポートの設定を学習して、設定を入力するこのメカニズムは、ユーザにとって便利なメカニズムです。特定の VSAN でイネーブルになっている場合、その VSAN に対する後続のすべてのログイン(FLOGI)は、その VSAN 上で実行されている既存のポート バインディングと競合しないならば、実行されたポート バインディング データベースに入力されます。ディセーブルの場合、学習メカニズムは停止します。ただし、学習済みエントリはアクティブ データベースに保存されます。

Clear AutoLearned

Action

VSAN をクリアすると、この VSAN 上のポート バインド自動学習済みエントリがクリアされます。

インターフェイスをクリアすると、この VSAN 上の指定されたインターフェイスのポート バインド自動学習済みエントリがクリアされます。

Interface

ポート バインド自動学習済みエントリをクリアする必要があるインターフェイスを指定します。

ポート セキュリティ コンフィギュレーション データベース

 

フィールド
説明

Interface or fWWN

指定したデバイスが FLOGI することができる、ローカル デバイス上のポートのアドレスを表します。

fwwn の場合、値はローカル デバイス上のポートのファブリック WWN です。

intfIndex の場合、ローカル デバイス上のポートはそのインターフェイスによって表されます。

wildCard の場合、ワイルドカード エントリを表します。ワイルドカードは、ローカル デバイス上の任意のポートを表します。

Type

スイッチ ポートを特定するためのメカニズムです。

WWN

ログイン デバイス アドレスを表します。

Available Interface

利用可能なインターフェイスを表示します。利用可能なインターフェイスは次のとおりです。

ファイバ チャネル

PortChannel

イーサネット PortChannel

VFC

ポート セキュリティ アクティブ データベース

 

フィールド
説明

Interface or fWWN

ローカル デバイス上のポートのアドレスです。

Type

スイッチ ポートを特定するためのメカニズムです。

fwwn:ローカル スイッチ ポートはファブリック WWN(fWWN)で識別されます。

intfIndex:ローカル スイッチ ポートは ifIndex で識別されます。

wildCard:ワイルドカード(ローカル デバイス上の任意のスイッチ ポート)。

WWN

ログイン デバイス アドレスを表します。

IsLearnt

このエントリが学習済みエントリであるかどうかを示します。

ポート セキュリティ データベースの相違点

 

フィールド
説明

CompareWith

比較するデータベースを指定します。

configDb:コンフィギュレーション データベースをこの VSAN/VLAN 上のアクティブ データベースと比較します。そのため、アクティブ データベースがリファレンス データベースとなり、差演算の結果はアクティブ データベースに対するものになります。

activeDb:アクティブ データベースをこの VSAN/VLAN 上のコンフィギュレーション データベースと比較します。そのため、コンフィギュレーション データベースがリファレンス データベースとなり、差演算の結果はコンフィギュレーション データベースに対するものになります。

VSANId

比較対象の VSAN の ID です。

Interface/fWWN

ローカル デバイス上のポートのアドレスです。

Type

スイッチ ポートを特定するためのメカニズムです。

fwwn:ローカル スイッチ ポートはファブリック WWN(fWWN)で識別されます。

intfIndex:ローカル スイッチ ポートは ifIndex で識別されます。

wildCard:ワイルドカード(ローカル デバイス上の任意のスイッチ ポート)。

WWN

ログイン デバイス アドレスを表します。

Reason

このエントリに関する、比較しているデータベース間の相違点の理由を示します。

ポート セキュリティ違反

 

フィールド
説明

Interface

ログインが拒否されたローカル デバイス上のポートの fWWN です。

End Device

ローカル デバイスのポートのいずれかで FLOGI が拒否されたデバイスの pWWN です。

Or Switch

ローカル デバイスのポートのいずれかでエントリが拒否されたデバイスの sWWN です(デバイスがスイッチの場合)。

Time

ログインが拒否された時刻です。

Count

この特定の pWWN/nWWN または sWWN が、この特定のローカル インターフェイスでログインを拒否された回数です。

ポート セキュリティ統計情報

 

フィールド
説明

AllowedLogins

この VSAN/VLAN で許可された FLOGI 要求の数です。

DeniedLogins

この VSAN/VLAN で拒否された FLOGI 要求の数です。

Clear

Clear に設定すると、この VSAN/VLAN 上のポート バインド統計情報カウンタがクリアされます。

 

ポート セキュリティの機能の履歴

表 9-6 に、この機能のリリース履歴を示します。この表には、Cisco NX-OS Release 5.x 以降のリリースで導入または変更された機能だけを示します。

 

表 9-6 ポート セキュリティの機能の履歴

機能名
リリース
機能情報

vFC インターフェイス

5.2

デバイスを vFC インターフェイスにバインドできます。