Catalyst 2950 LRE デスクトップ スイッチ ソフトウェア コンフィギュレーション ガイド
ポート単位のトラフィック制御の設定
ポート単位のトラフィック制御の設定
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

ポート単位のトラフィック制御の設定

ストーム制御の設定

ストーム制御の概要

ストーム制御のデフォルト設定

ストーム制御のイネーブル化

ストーム制御のディセーブル化

保護ポートの設定

ポート セキュリティの設定

ポート セキュリティの概要

セキュアMACアドレス

セキュリティ違反

ポート セキュリティのデフォルト設定

ポート セキュリティ設定時の注意事項

ポート セキュリティのイネーブル化および設定

ポート セキュリティ エージングのイネーブル化および設定

ポート単位のトラフィック制御設定の表示

ポート単位のトラフィック制御の設定

この章では、スイッチ上でポート単位のトラフィック制御機能を設定する方法について説明します。


) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応する コマンド リファレンスを参照してください。


この章で説明する内容は、次のとおりです。

「ストーム制御の設定」

「保護ポートの設定」

「ポート セキュリティの設定」

「ポート単位のトラフィック制御設定の表示」

ストーム制御の設定

ここでは、ストーム制御の設定情報および設定手順について説明します。

「ストーム制御の概要」

「ストーム制御のデフォルト設定」

「ストーム制御のイネーブル化」

「ストーム制御のディセーブル化」

ストーム制御の概要

ポートで大量のブロードキャスト、ユニキャスト、またはマルチキャスト パケットを受信すると、パケット ストームが発生します。このようなパケットを転送すると、ネットワークが低速になったり、タイムアウトが生じる原因となります。ストーム制御は、スイッチ全体に対して設定しますが、動作はポート単位です。ストーム制御は、デフォルトではディセーブルに設定されています。

ストーム制御では、上限スレッシュホールドを使用してブロードキャスト、ユニキャスト、またはマルチキャスト パケットの転送を禁止し、下限スレッシュホールドを使用して転送を再開します。上限スレッシュホールドに達した時点でスイッチがポートをシャットダウンするように設定することも可能です。

ストーム制御では、帯域幅ベースの方法でトラフィック アクティビティを測定します。スレッシュホールドは、ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックで使用できる総帯域幅の割合として示されます。

上限スレッシュホールドは、転送を禁止するまでに、マルチキャスト、ブロードキャスト、またはユニキャスト トラフィックに関連づけられた総帯域幅の割合です。下限スレッシュホールドは、使用できる総帯域幅に占める割合で、この割合を下回ると、通常の転送が再開されます。一般に、レベルが高いほど、ブロードキャスト ストームに対する保護力が弱くなります。

ストーム制御のデフォルト設定

デフォルトでは、ブロードキャスト ストーム、マルチキャスト ストーム、およびユニキャスト ストームの制御は、スイッチ上でディセーブルに設定されています。デフォルトのアクションは、トラフィックをフィルタリングし、SNMPトラップを送信しないことです。

ストーム制御のイネーブル化

ストーム制御をイネーブルにするには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

storm-control { broadcast | multicast | unicast } level level [ level-low ]

ブロードキャスト、マルチキャスト、またはユニキャスト ストーム制御を設定します。

ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックの上限スレッシュホールド レベルを指定します。トラフィックの使用率がこのレベルに達すると、ストーム制御が機能します。

(任意)下限スレッシュホールド レベルを指定します。トラフィックがこのレベルを下回ると、(動作がフィルタリングの場合)通常の伝送が再開されます。

ステップ 4

storm-control action { shutdown | trap }

ストーム検出時に実行する動作を指定します。

デフォルトでは、トラフィックのフィルタリングが行われ、トラップは送信されません。

ストーム時にポートをerrdisableステートにする場合は、 shutdown キーワードを選択します。

ストーム検出時にSNMPトラップを生成する場合は、 trap キーワードを選択します。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show storm-control [ interface ] [{ broadcast | history | multicast | unicast }]

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ストーム制御のディセーブル化

ストーム制御をディセーブルにするには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

no storm-control { broadcast | multicast | unicast } level

ポートでのストーム制御をディセーブルにします。

ステップ 4

no storm-control action { shutdown | trap }

指定されたストーム制御機能をディセーブルにします。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show storm-control { broadcast | multicast | unicast }

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

保護ポートの設定

アプリケーションによっては、あるネイバが生成したトラフィックが別のネイバにわからないように、同一スイッチ上のポート間でトラフィックが転送されないようにする必要があります。このような状況では、保護ポートを使用すると、スイッチ上のポート間でユニキャスト、ブロードキャスト、またはマルチキャスト トラフィックの交換が確実になくなります。

保護ポートには、次の機能があります。

保護ポートは、同様に保護ポートである他のポートに、あらゆるトラフィック(ユニキャスト、マルチキャスト、またはブロードキャスト)を転送しません。レイヤ2では、保護ポート間でトラフィックを転送できません。保護ポート間を通過するトラフィックはすべて、レイヤ3装置を介して転送しなければなりません。

保護ポートと非保護ポート間の転送動作は、通常どおりに進みます。

デフォルトでは、保護ポートは定義されません。

保護ポートは、物理インターフェイス(Gigabit Ethernet 0/1など)またはEtherChannelグループ(port-channel 5など)に設定できます。ポート チャネルで保護ポートをイネーブルにした場合は、そのポート チャネル グループ内の全ポートでイネーブルになります。

LREインターフェイス ポートとCPE装置のポートはともに、保護ポートとして設定できます。Cisco 575 LRE CPEまたはCisco 576 LRE 997 CPEを使用した場合は、cpe protected インターフェイス コンフィギュレーション コマンドは使用できません。

Cisco 585 LRE CPE(複数のイーサネット インターフェイスを装備)を使用した場合、switchport protectedコマンドによって同じCisco 585 LRE CPEのさまざまなポート上の装置は、ローカルにデータを交換できます。

個々のCPE装置のポートの保護が必要なこともあります。これには、cpe protectedインターフェイス コンフィギュレーション コマンドで対応できます。同じCPE 585のさまざまなポートに接続した装置は、レイヤ3装置によって転送されないと、直接は相互にデータを交換できません。

ポートを保護ポートとして定義するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定する物理インターフェイスのタイプおよび番号を指定し( gigabitethernet0/1 など)、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport protected

保護ポートにするインターフェイスを設定します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show interfaces interface-id switchport

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

保護ポートをディセーブルにするには、 no switchport protected インターフェイス コンフィギュレーション コマンドを使用します。

インターフェイスGigabitEthernet 0/1を保護ポートとして設定し、設定を確認する例を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# switchport protected
Switch(config-if)# end
Switch# show interfaces gigabitethernet0/1 switchport
Name: Gi0/1
Switchport: Enabled
 
(テキスト出力は省略)
 
Protected: True
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
 

ポート セキュリティの設定

ポート セキュリティ機能を使用すると、ポートへのアクセスを許可するステーションのMACアドレスを限定し、特定することによって、インターフェイスへの入力を制限できます。セキュア ポートにセキュアMACアドレスを割り当てると、ポートは定義されたアドレス グループ以外の送信元アドレスを持つパケットを転送しません。セキュアMACアドレス数を1に制限し、セキュアMACアドレスを1つだけ割り当てると、そのポートに接続したワークステーションに、ポートの帯域幅全体が確保されます。

ポートがセキュア ポートとして設定されていてセキュアMACアドレスの最大数に達した場合に、ポートにアクセスしようとするステーションのMACアドレスが確認済みのセキュアMACアドレスと異なるときは、セキュリティ違反が発生します。また、セキュアMACアドレスが設定された、またはあるセキュア ポートで学習されたステーションが別のセキュア ポートにアクセスしようとすると、違反のフラグが立てられます。

ここでは、ポート セキュリティの設定情報および設定手順について説明します。

「ポート セキュリティの概要」

「ポート セキュリティのデフォルト設定」

「ポート セキュリティ設定時の注意事項」

「ポート セキュリティのイネーブル化および設定」

「ポート セキュリティ エージングのイネーブル化および設定」

ポート セキュリティの概要

ここでは、次のトピックを扱います。

「セキュアMACアドレス」

「セキュリティ違反」

セキュアMACアドレス

1つのセキュア ポートに、1~132個のセキュア アドレスを対応づけることができます。ポート上でセキュアMACアドレスの最大数を設定してから、このようなセキュア アドレスを次のいずれかの方法でアドレス テーブルに組み込みます。

switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用すると、すべてのセキュアMACアドレスを設定できます。

ポートが、接続装置のMACアドレスを使用して動的にセキュアMACアドレスを設定するようにできます。

いくつかアドレスを設定して、残りのアドレスを動的に設定できるようにできます。

セキュアMACアドレスの最大数を設定すると、このアドレスはアドレス テーブルに保管されます。アドレスの最大数を1に設定し、接続装置のMACアドレスを設定すると、ポートの帯域幅全体が確実にその装置に与えられます。

スイッチは、次のタイプのセキュアMACアドレスをサポートします。

スタティック セキュアMACアドレス ― switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して手動で設定します。アドレス テーブルに保管され、スイッチの実行コンフィギュレーションに追加されます。

ダイナミック セキュアMACアドレス ― 動的に設定され、アドレス テーブルだけに保管されます。スイッチの再起動時に削除されます。

スティッキー セキュアMACアドレス ― 動的に設定され、アドレス テーブルに保管され、実行コンフィギュレーションに追加されます。これらのアドレスがコンフィギュレーション ファイルに保存されていると、スイッチの再起動時に、インターフェイスはアドレスを動的に再設定しなくてすみます。

スティッキー ラーニング をイネーブルにすると、ダイナミックMACアドレスをスティッキー セキュアMACアドレスに変換して実行コンフィギュレーションに追加するように、インターフェイスを設定できます。スティッキー ラーニングをイネーブルにするには、 switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを入力します。このコマンドを入力すると、インターフェイスはスティッキー ラーニングがイネーブルになる前に動的に学習したものを含め、あらゆるダイナミック セキュアMACアドレスをスティッキー セキュア MACアドレスに変換します。インターフェイスにより、すべてのスティッキー セキュアMACアドレスが実行コンフィギュレーションに追加されます。

スティッキー セキュアMACアドレスは、コンフィギュレーション ファイル(スイッチが再起動されるたびに使用されるスタートアップ コンフィギュレーション)に、自動的には反映されません。スティッキー セキュアMACアドレスがコンフィギュレーション ファイルに保存されていると、スイッチの再起動時に、インターフェイスはこれらのアドレスを再学習しなくてすみます。スティッキー セキュア アドレスが保存されていない場合は、アドレスは失われます。

インターフェイスでスティッキー ラーニングがイネーブルになっている場合の、実行コンフィギュレーションのテキスト例を示します。

(テキスト出力は省略)
 
!
interface FastEthernet0/2
switchport mode access
switchport port-security
switchport port-security maximum 6
switchport port-security aging time 5
switchport port-security aging static
switchport port-security mac-address sticky
switchport port-security mac-address 0000.0000.000b
switchport port-security mac-address sticky 0000.0000.4141
switchport port-security mac-address sticky 0000.0000.5050
no ip address
 
(テキスト出力は省略)
 

ポート セキュリティをディセーブルにしても、スティッキー セキュアMACアドレスは実行コンフィギュレーションに残ります。

スティッキー ラーニングをディセーブルにするには、 no switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを入力します。スティッキー ラーニングをディセーブルにした場合、または実行コンフィギュレーションを削除した場合、スティッキーセキュアMACアドレスは実行コンフィギュレーションに残りますが、アドレス テーブルからは削除されます。削除されたアドレスは、動的に再設定し、ダイナミック アドレスとしてアドレス テーブルに追加できます。


) スティッキー ラーニングがディセーブルの場合に、スイッチが再起動またはインターフェイスがシャットダウンすると、動的に学習されたアドレスがすべて削除されます。


セキュリティ違反

次のいずれかの状況が発生すると、セキュリティ違反になります。

セキュアMACアドレスの最大数がアドレス テーブルに追加されていて、アドレス テーブルに未登録のMACアドレスを持つステーションがインターフェイスにアクセスしようとした場合。

あるセキュア インターフェイスで学習または設定されたアドレスが、同一VLAN内の別のセキュア インターフェイスで使用された場合。

違反が発生した場合の対処に基づいて、次の3種類の違反モードのいずれかにインターフェイスを設定することができます。

protect(保護) ― セキュアMACアドレスの数がポートで許可されている最大限度に達すると、最大値を下回るのに十分な数のセキュアMACアドレスを削除しないかぎり、送信元が不明なアドレスを持つパケットは、廃棄されます。

restrict(制限) ― ポート セキュリティ違反によって、データが制限され、Security Violationカウンタが増えます。さらに、アドレス セキュリティ違反の発生時に、SNMPトラップが送信されます。

shutdown(シャットダウン) ― セキュリティ違反が発生すると、インターフェイスがerrdisableになります。セキュア ポートがerrdisableステートの場合は、 errdisable recovery cause psecure-violation グローバル コンフィギュレーション コマンドを入力してこのステートを解除する、または shutdown および no shutdown インターフェイス コンフィギュレーション コマンドを入力して手動で再度イネーブルにすることができます。これがデフォルトのモードです。

ポート セキュリティのデフォルト設定

表 18-1 に、インターフェイスのデフォルト ポート セキュリティ設定を示します。

 

表 18-1 ポート セキュリティのデフォルト設定

機能
デフォルト値

ポート セキュリティ

ポート上でディセーブル

セキュアMACアドレスの最大数

1

違反モード

シャットダウン。セキュリティ違反が発生すると、インターフェイスがerrdisableになります。セキュア ポートがerrdisableステートの場合は、 errdisable recovery cause psecure-violation グローバル コンフィギュレーション コマンドを入力してこのステートを解除する、または shutdown および no shutdown インターフェイス コンフィギュレーション コマンドを入力して手動で再度イネーブルにすることができます。

ポート セキュリティ設定時の注意事項

ポート セキュリティを設定するときには、次の注意事項に従ってください。

ポート セキュリティを設定できるのは、スタティック アクセス ポートに限られます。

セキュア ポートをダイナミック アクセス ポートまたはトランク ポートにすることはできません。

セキュア ポートをSwitched Port Analyzer(SPAN;スイッチド ポート アナライザ)の宛先ポートにすることはできません。

セキュア ポートをFast EtherChannelまたはGigabit EtherChannelポート グループに含めることはできません。

セキュア ポートを802.1xポートにすることはできません。

音声VLANでは、スタティック セキュアMACアドレスを設定できません。

音声VLANポートでポート セキュリティをイネーブルにする場合は、ポートの最大セキュア アドレス許容数を2以上に設定する必要があります。ポートをCisco IP Phoneに接続する場合は、IP PhoneにMACアドレスが2つ必要です。アクセスVLAN用に1つ、音声VLAN用にもう1つです。PCをIP Phoneに接続するには、追加のMACアドレスが必要です。

ポート セキュリティのイネーブル化および設定

イネーブルEXECモードから始め、次の手順で、ポートへのアクセスを許可するステーションのMACアドレスを限定し、特定することによって、インターフェイスへの入力を制限します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定する物理インターフェイスのタイプおよび番号を指定し( gigabitethernet0/1 など)、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport mode access

インターフェイス モードをaccessに設定します。デフォルト モード(dynamic desirable)のインターフェイスは、セキュア ポートとして設定できません。

ステップ 4

switchport port-security

インターフェイスでポート セキュリティ機能をイネーブルにします。

ステップ 5

switchport port-security maximum value

(任意)インターフェイスに対するセキュアMACアドレスの最大数を設定します。指定できる範囲は1~132です。デフォルトは1です。

ステップ 6

switchport port-security violation { protect | restrict | shutdown }

(任意)違反モード、すなわちセキュリティ違反が検出されたときの対応を、次のいずれかに設定します。

protect (保護) ― セキュアMACアドレスの数がポートで許可されている最大限度に達すると、最大値を下回るのに十分な数のセキュアMACアドレスを削除しないかぎり、送信元が不明なアドレスを持つパケットは、廃棄されます。

restrict (制限) ― ポート セキュリティ違反によって、データが制限され、Security Violationカウンタが増えます。さらに、SNMPトラップが送信されます。

shutdown (シャットダウン) ― セキュリティ違反が発生すると、インターフェイスがerrdisableになります。


) セキュア ポートがerrdisableステートの場合は、
errdisable recovery cause
psecure-violationグローバル コンフィギュレーション コマンドを入力してこのステートを解除する、またはshutdownおよびno shutdownインターフェイス コンフィギュレーション コマンドを入力して手動で再度イネーブルにすることができます。


ステップ 7

switchport port-security mac-address mac-address

(任意)インターフェイスのスタティック セキュアMACアドレスを入力し、必要な回数だけコマンドを繰り返します。このコマンドを使用すると、最大数のセキュアMACアドレスを入力できます。設定したセキュアMACアドレスが最大数より少ない場合、残りのMACアドレスは動的に学習されます。


) このコマンドの入力後にスティッキー ラーニングをイネーブルにすると、動的に学習されたセキュア アドレスがスティッキー セキュアMACアドレスに変換され、実行コンフィギュレーションに追加されます。


ステップ 8

switchport port-security mac-address sticky

(任意)インターフェイス上でスティッキー ラーニングをイネーブルにします。

ステップ 9

switchport port-security mac-address sticky mac-address

(任意)スティッキー セキュアMACアドレスを入力し、必要な回数だけコマンドを繰り返します。設定したセキュアMACアドレスが最大数より少ない場合、残りのMACアドレスは動的に学習され、スティッキー セキュアMACアドレスに変換され、実行コンフィギュレーションに追加されます。


) このコマンドを入力する前にスティッキー ラーニングをイネーブルにしなかった場合は、エラー メッセージが表示され、スティッキー セキュアMACアドレスを入力できません。


ステップ 10

end

イネーブルEXECモードに戻ります。

ステップ 11

show port-security

show port-security address

show port-security interface interface-id

設定を確認します。

ステップ 12

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

セキュア ポートではないデフォルトの状態にインターフェイスを戻す場合は、 no switchport port-security インターフェイス コンフィギュレーション コマンドを使用します。スティッキー ラーニングがイネーブルのときにこのコマンドを入力した場合、スティッキー セキュア アドレスは実行コンフィギュレーションに残りますが、アドレス テーブルからは削除されます。削除されたアドレスは、動的に再設定し、ダイナミック アドレスとしてアドレス テーブルに追加できます。

インターフェイスをデフォルトのセキュアMACアドレス数に戻す場合は、 no switchport port-security maximum value インターフェイス コンフィギュレーション コマンドを使用します。

違反モードをデフォルト状態(shutdownモード)に戻す場合は、 no switchport port-security violation { protocol | restrict } インターフェイス コンフィギュレーション コマンドを使用します。

インターフェイス上でスティッキー ラーニングをディセーブルにするには、 no switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを使用します。インターフェイスによってスティッキー セキュアMACアドレスがダイナミック セキュア アドレスに変換されます。

アドレス テーブルからスタティック セキュアMACアドレスを削除するには、 no switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用します。

アドレス テーブルからダイナミック セキュアMACアドレスを削除するには、 clear port-security dynamic address mac-addr イネーブルEXECコマンドを使用します。インターフェイス上のすべてのダイナミック アドレスを削除する場合は、 clear port-security dynamic interface interface-id イネーブルEXECコマンドを使用します。

アドレス テーブルからスティッキー セキュアMACアドレスを削除するには、スティッキー ラーニングをディセーブルにします。その結果、スティッキー セキュアMACアドレスがダイナミック セキュア アドレスに変換されます。 no switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを使用します。 clear port-security dynamic interface interface-id イネーブルEXECコマンドを使用して、インターフェイス上のダイナミック セキュア アドレスを削除します。ダイナミック セキュアMACアドレスを削除するには、 clear port-security dynamic address mac-addr イネーブルEXECコマンドを使用します。

ポートFast Ethernet 1でポート セキュリティをイネーブルにし、セキュア アドレスの最大数を50に設定する例を示します。違反モードはデフォルトです。スタティック セキュア MACアドレスは設定しません。スティッキー ラーニングはイネーブルです。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 50
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# end
Switch# show port-security interface fastethernet0/1
Port Security: Enabled
Port status: SecureUp
Violation mode: Shutdown
Maximum MAC Addresses :50
Total MAC Addresses: 11
Configured MAC Addresses: 0
Sticky MAC Addresses :11
Aging time: 20 mins
Aging type: Inactivity
SecureStatic address aging: Enabled
Security Violation count: 0
 

次に、ポートFast Ethernet 12でスタティックMACアドレスおよびスティッキー セキュアMACアドレスを設定し、設定を確認する例を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface fastethernet0/12
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security mac-address 0000.02000.0004
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security mac-address sticky 0008.a343.b581
Switch(config-if)# end
Switch# show port-security address
= Secure Mac Address Table
-------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0000.0000.000a SecureDynamic Fa0/1 -
1 0000.0002.0300 SecureDynamic Fa0/1 -
1 0000.0200.0003 SecureConfigured Fa0/1 -
1 0000.0200.0004 SecureConfigured Fa0/12 -
1 0003.fd62.1d40 SecureConfigured Fa0/5 -
1 0003.fd62.1d45 SecureConfigured Fa0/5 -
1 0003.fd62.21d3 SecureSticky Fa0/5 -
1 0005.7428.1a45 SecureSticky Fa0/8 -
1 0005.7428.1a46 SecureSticky Fa0/8 -
1 0006.1218.2436 SecureSticky Fa0/8 -
1 0008.a343.b581 SecureSticky Fa0/12 -
-------------------------------------------------------------------
Total Addresses in System :11
Max Addresses limit in System :1024
 

ポート セキュリティ エージングのイネーブル化および設定

ポート上のすべてのセキュア アドレスのエージング タイムを設定するには、ポート セキュリティ エージングを使用します。ポートごとに2つのタイプのエージングがサポートされています。

absolute ― 指定されたエージング タイムの経過後に、ポート上のセキュア アドレスが削除されます。

inactivity ― 指定されたエージング タイムの間、セキュア アドレスが非アクティブであった場合に限り、ポート上のセキュア アドレスが削除されます。

この機能を使用すると、既存のセキュアMACアドレスを手動で削除しなくても、セキュア ポート上のPCを削除/追加し、なおかつポート上のセキュア アドレス数を限定することができます。静的に設定されたセキュア アドレスのエージングは、ポート単位でイネーブルまたはディセーブルにできます。

ポート セキュリティ エージングを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

ポート セキュリティ エージングをイネーブルにするポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport port-security aging { static | time time | type { absolute | inactivity} }

セキュア ポートのスタティック エージングをイネーブルまたはディセーブルにします。またはエージング タイムまたはタイプを設定します。

このポートに静的に設定されたセキュア アドレスのエージングをイネーブルにするには、 static を入力します。

time には、このポートのエージング タイムを指定します。指定できる範囲は、0~1440分です。timeが0の場合、このポートのエージングはディセーブルです。

type には、次のキーワードのいずれか1つを選択します。

absolute ― エージング タイプを絶対エージングとして設定します。このポートのすべてのセキュア アドレスは、指定されたtime(分)が経過した後に期限切れとなり、セキュア アドレス リストから削除されます。

inactivity ― エージング タイプを非アクティブ エージングとして設定します。指定されたtime期間中にセキュア送信元アドレスからのデータ トラフィックがない場合だけ、このポートのセキュア アドレスが期限切れになります。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show port-security [ interface interface-id ] [ address ]

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ポート上のすべてのセキュア アドレスに対してポート セキュリティ エージングをディセーブルにするには、no switchport port-security aging time インターフェイス コンフィギュレーション コマンドを使用します。静的に設定されたセキュア アドレスに対してだけエージングをディセーブルにするには、no switchport port-security aging static インターフェイス コンフィギュレーション コマンドを使用します。

インターフェイスFast Ethernet 0/1上のセキュア アドレスのエージング タイムを2時間に設定する例を示します。

Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport port-security aging time 120
 

次に、このインターフェイスに設定されたセキュア アドレスに対して、エージングをイネーブルにし、非アクティブ エージング タイプのエージング タイムを2分に設定する例を示します。

Switch(config-if)# switchport port-security aging time 2
Switch(config-if)# switchport port-security aging type inactivity
Switch(config-if)# switchport port-security aging static
 

上記のコマンドを確認するには、 show port-security interface interface-id イネーブルEXECコマンドを使用します。

ポート単位のトラフィック制御設定の表示

show interfaces interface-id switchport イネーブルEXECコマンドを使用すると、(他の特性の中から)インターフェイス トラフィックの抑制および制御の設定が表示されます。 show interfaces counters イネーブルEXECコマンドを使用すると、廃棄されたパケット数が表示されます。 show storm-control および show port-security イネーブルEXECコマンドを使用すると、これらの機能が表示されます。

トラフィックの制御情報を表示するには、 表 18-2 のイネーブルEXECコマンドを1つまたは複数使用します。

 

表 18-2 トラフィック制御ステータスおよび設定を表示するためのコマンド

コマンド
目的

show interfaces [interface-id] switchport

すべてのスイッチング(非ルーティング)ポートまたは指定されたポートの管理ステータスまたは動作ステータスを、ポート保護の設定を含めて表示します。

show storm-control [ interface-id ] [ broadcast | multicast | unicast ]

すべてのインターフェイスまたは指定されたインターフェイスに設定されているストーム制御抑制レベルを、指定されたトラフィック タイプについて、またはブロードキャストトラフィック(トラフィック タイプが入力されていない場合)について表示します。

show interfaces [interface-id] counters broadcast

廃棄されたパケット数を示すストーム制御ブロードキャスト抑制廃棄カウンタを、すべてのインターフェイスについて、または指定されたインターフェイスについて表示します。

show interfaces [interface-id] counters multicast

廃棄されたパケット数を示すストーム制御マルチキャスト抑制廃棄カウンタを、すべてのインターフェイスについて、または指定されたインターフェイスについて表示します。

show interfaces [interface-id] counters unicast

廃棄されたパケット数を示すストーム制御ユニキャスト抑制廃棄カウンタを、すべてのインターフェイスについて、または指定されたインターフェイスについて表示します。

show port-security [ interface interface-id ]

スイッチまたは指定されたインターフェイスのポート セキュリティ設定を、各インターフェイスのセキュアMACアドレスの最大許容数、インターフェイスのセキュアMACアドレス数、発生したセキュリティ違反数、違反モードを含めて表示します。

show port-security [ interface interface-id ] address

すべてのスイッチ インターフェイスまたは指定されたインターフェイスに設定されたすべてのセキュアMACアドレス、および各アドレスのエージング情報を表示します。