Catalyst 2950/2955 スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.1(22)EA7
ポート単位のトラフィック制御の設定
ポート単位のトラフィック制御の設定
発行日;2012/01/14 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

ポート単位のトラフィック制御の設定

ストーム制御の設定

ストーム制御の概要

ストーム制御のデフォルト設定

ストーム制御およびスレッシュホールド レベルの設定

保護ポートの設定

ポート ブロッキングの設定

インターフェイスでのフラッディング トラフィックのブロッキング

ポートでの正常な転送の再開

ポート セキュリティの設定

ポート セキュリティの概要

セキュア MAC アドレス

セキュリティ違反

ポート セキュリティのデフォルト設定

ポート セキュリティ設定時の注意事項

ポート セキュリティのイネーブル化および設定

ポート セキュリティ エージングのイネーブル化および設定

ポート単位のトラフィック制御設定の表示

ポート単位のトラフィック制御の設定

この章では、Catalyst 2950 または Catalyst 2955 スイッチでポート単位のトラフィック制御機能を設定する方法について説明します。


) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスを参照してください。


この章の内容は、次のとおりです。

「ストーム制御の設定」

「保護ポートの設定」

「ポート ブロッキングの設定」

「ポート セキュリティの設定」

「ポート単位のトラフィック制御設定の表示」

ストーム制御の設定

ここでは、ストーム制御の設定情報および設定手順について説明します。

「ストーム制御の概要」

「ストーム制御のデフォルト設定」

「ストーム制御およびスレッシュホールド レベルの設定」

ストーム制御の概要

ストーム制御では、LAN 上のトラフィックがポートのブロードキャスト、マルチキャスト、またはユニキャスト ストームにより妨げされないようにします。LAN ストームはパケットが LAN にフラッディングすると発生し、過剰なトラフィックを作成し、ネットワーク パフォーマンスを低下させます。プロトコル スタック実装のエラー、ネットワークの誤設定、またはユーザによる DoS 攻撃がストームの原因になります。

ストーム制御は、スイッチ全体に対して設定しますが、動作はポート単位です。ストーム制御は、デフォルトではディセーブルに設定されています。

ストーム制御では、上限スレッシュホールドを使用してブロードキャスト、ユニキャスト、またはマルチキャスト パケットの転送を阻止し、下限スレッシュホールドを使用して転送を再開します。上限スレッシュホールドに達した時点でスイッチがポートをシャットダウンするように設定することも可能です。

ストーム制御では、次のいずれかの方式を使用してトラフィック アクティビティを測定します。

帯域幅ベース

パケットを受信するトラフィック レート(パケット/秒)(非 Long-Reach Ethernet [LRE] Catalyst 2950 スイッチの場合にのみ使用可能)

スレッシュホールドは、ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックによって使用可能な総帯域幅に対するパーセンテージ、またはインターフェイスがマルチキャスト、ブロードキャスト、またはユニキャスト トラフィックを受信するレートとして表すことができます。

スイッチが帯域幅ベースの方式を使用している場合、上限スレッシュホールドは、転送を禁止するまでに、マルチキャスト、ブロードキャスト、またはユニキャスト トラフィックに関連付けられた使用可能な総帯域幅のパーセンテージです。下限スレッシュホールドは、使用可能な総帯域幅に占めるパーセンテージで、このパーセンテージを下回ると、通常の転送が再開されます。一般に、レベルが高いほど、ブロードキャスト ストームに対する保護力が弱くなります。

Cisco IOS Release 12.1(14)EA1 以降を稼働する非 LRE Catalyst 2950 スイッチがスレッシュホールド値としてトラフィック レートを使用する場合、上限および下限のスレッシュホールドはパケット/秒単位となります。上限スレッシュホールドは、転送がブロックされるまでにマルチキャスト、ブロードキャスト、およびユニキャスト トラフィックを受信するレートです。下限スレッシュホールドは、このレートを下回るとスイッチが通常の転送を再開するレートです。一般に、レートが高いほど、ブロードキャスト ストームに対する保護力が弱くなります。

ストーム制御のデフォルト設定

デフォルトでは、ブロードキャスト ストーム、マルチキャスト ストーム、およびユニキャスト ストームの制御は、スイッチ上でディセーブルに設定されています。デフォルトのアクションは、トラフィックをフィルタリングし、SNMP(簡易ネットワーク管理プロトコル)トラップを送信しないことです。

ストーム制御およびスレッシュホールド レベルの設定

ポートにストーム制御を設定し、特定のトラフィック タイプで使用するスレッシュホールド レベルを入力します。

ストーム制御は物理インターフェイス上でサポートされます。EtherChannel 上でもストーム制御を設定できますが、EtherChannel の個々のポートに設定することはできません。


) EtherChannel でストーム制御を設定すると、ストーム制御設定は EtherChannel 物理インターフェイスに伝播します。show etherchannel イネーブル EXEC コマンドを使用した場合、ストーム制御設定が EtherChannel 上に表示されますが、EtherChannel の物理ポート上には表示されません。


ストーム制御およびスレッシュホールド レベルを設定するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

storm-control { broadcast | multicast | unicast } level { level [ level-low ] | pps pps [ pps-low ]}

ブロードキャスト、マルチキャスト、またはユニキャスト ストーム制御を設定します。

キーワードの意味は次のとおりです。

level には、ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックの上限スレッシュホールド レベルを帯域幅のパーセンテージとして指定します。トラフィックの使用率がこのレベルに達すると、ストーム制御が機能します。

(任意)level-low には、下限スレッシュホールド レベルを帯域幅のパーセンテージとして指定します。上限の値より小さい値を指定する必要があります。トラフィックがこのレベルを下回ると、通常の伝送が再開されます(動作がフィルタリングの場合)。

pps pps には、ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックの上限スレッシュホールド レベルをパケット/秒単位で指定します。トラフィックの使用率がこのレベルに達すると、ストーム制御が機能します。このオプションは、Cisco IOS Release 12.1(14)EA1 以降を稼働する非 LRE Catalyst 2950 スイッチでのみサポートされます。

(任意)pps-low には、下限スレッシュホールド レベルとして、上限スレッシュホールド以下の値をパケット/秒単位で指定します。トラフィックがこのレベルを下回ると、通常の伝送が再開されます(動作がフィルタリングの場合)。このオプションは、非 LRE Catalyst 2950 スイッチでのみサポートされます。

pps および pps-low に指定できる範囲は、0 ~ 4294967295 です。

ステップ 4

storm-control action { shutdown | trap }

ストーム検出時に実行する動作を指定します。デフォルトでは、トラフィックのフィルタリングが行われ、トラップは送信されません。

ストーム時にポートを errdisable ステートにする場合は、 shutdown キーワードを選択します。

ストーム検出時に SNMP トラップを生成する場合は、 trap キーワードを選択します。

ステップ 5

end

イネーブル EXEC モードに戻ります。

ステップ 6

show storm-control [ interface ] [{ broadcast | history | multicast | unicast }]

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ストーム制御をディセーブルにするには、 no storm-control broadcast level no storm-control multicast level 、または no storm-control unicast level インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポート上のブロードキャスト アドレス ストーム制御を 20% のレベルにイネーブルにする例を示します。ブロードキャスト トラフィックが、トラフィックストーム制御インターバル内でポートの設定された 20% のレベルの利用可能帯域幅を超えると、スイッチはトラフィックストーム制御インターバルが終了するまで、すべてのブロードキャスト トラフィックを廃棄します。

Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# storm-control broadcast level 20
 

パケット ストームが shutdown として検出された(ポートがストーム中に errdisable ステートである)ときの対処法を設定する場合、 no shutdown インターフェイス コンフィギュレーション コマンドを使用してこのステートを解除する必要があります。 shutdown アクションを指定しない場合、アクションを trap として指定します(ストームが検出されると、スイッチはトラップを生成します)。

保護ポートの設定

アプリケーションによっては、あるネイバが生成したトラフィックが別のネイバにわからないように、同一スイッチのポート間でトラフィックが転送されないようにする必要があります。このような状況では、保護ポートを使用すると、スイッチのポート間でユニキャスト、ブロードキャスト、またはマルチキャスト トラフィックの交換が確実になくなります。

保護ポートには、次の機能があります。

保護ポートは、同様に保護ポートである他のポートに、あらゆるトラフィック(ユニキャスト、マルチキャスト、またはブロードキャスト)を転送しません。データ トラフィックは、レイヤ 2 の保護ポート間で転送できません。転送できるのは、PIM パケットなど、CPU で処理されてソフトウェアで転送される制御トラフィックのみです。保護ポート間を通過するデータ トラフィックはすべて、レイヤ 3 の装置を介して転送する必要があります。

保護ポートと非保護ポート間の転送動作は、通常どおりに進みます。

保護ポートは、IEEE 802.1Q トランクでサポートされています。

デフォルトでは、保護ポートは定義されていません。

保護ポートは、物理インターフェイスまたは EtherChannel グループで設定できます。ポート チャネルで保護ポートをイネーブルにした場合は、そのポート チャネル グループ内の全ポートでイネーブルになります。

LRE インターフェイス ポートと CPE デバイス ポートの両方を保護ポートとして設定できます。Cisco 575 LRE CPE または Cisco 576 LRE 997 CPE デバイスを使用している場合、 cpe protected インターフェイス コンフィギュレーション コマンドは使用できません。

Cisco 585 LRE CPE デバイス(複数のイーサネット インターフェイスを備える)を使用している場合は、 switchport protected コマンドを実行して、同じ CPE デバイス上の異なるポートに接続するデバイス間でローカルにデータを交換できます。

場合によっては、個々の CPE デバイス ポートを保護しなければならないことがあります。 cpe protected インターフェイス コンフィギュレーション コマンドを使用して、これを実行できます。同じ CPE デバイスの異なるポートに接続するデバイス間で直接データを交換することはできませんが、レイヤ 3 デバイスを経由してデータを転送できます。

ポートを保護ポートとして定義するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport protected

保護ポートにするインターフェイスを設定します。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show interfaces interface-id switchport

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

保護ポートをディセーブルにするには、 no switchport protected インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポートを保護ポートとして設定する方法を示します。

Switch# configure terminal
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport protected
Switch(config-if)# end

ポート ブロッキングの設定

デフォルトでは、スイッチは未知の宛先 MAC(メディア アクセス制御)アドレスを持つパケットをすべてのポートへフラッディングします。未知のユニキャストおよびマルチキャスト トラフィックが保護ポートに転送されると、セキュリティ問題が発生することがあります。

未知のユニキャストまたはマルチキャスト トラフィックがあるポートから別のポートへ転送されるのを防ぐため、未知のユニキャストまたはマルチキャスト パケットをブロックするようにポート(保護または非保護)を設定できます。


) 保護ポートではユニキャストまたはマルチキャスト トラフィックのブロッキングは自動的にイネーブルにはなりません。明示的にイネーブルに設定する必要があります。


ポート ブロッキング機能は、次のスイッチでのみサポートされます。

Catalyst 2950 LRE スイッチ(Cisco IOS Release 12.1(14)EA1 以降)

Catalyst 2950G-12-EI、2950G-24-EI、2950G-24-EI-DC、2950G-48-EI、および 2955 スイッチ(Cisco IOS Release 12.1[19]EA1 以降)

インターフェイスでのフラッディング トラフィックのブロッキング


) インターフェイスは、物理インターフェイスまたは EtherChannel グループとすることができます。1 つのポート チャネルでマルチキャストまたはユニキャスト トラフィックをブロックすると、そのポート チャネル グループのすべてのポートでブロックされます。


インターフェイスへのマルチキャストおよびユニキャスト パケットのフラッディングをディセーブルにするには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport block multicast

ポートへの未知のマルチキャスト転送をブロックします。

ステップ 4

switchport block unicast

ポートへの未知のユニキャスト転送をブロックします。

ステップ 5

end

イネーブル EXEC モードに戻ります。

ステップ 6

show interfaces interface-id switchport

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

インターフェイスをトラフィックがブロックされていないデフォルトの状態に戻すには、 no switchport block { multicast | unicast } インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポートでユニキャストおよびマルチキャストのフラッディングをブロックする方法を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# switchport block multicast
Switch(config-if)# switchport block unicast
Switch(config-if)# end
 

ポートでの正常な転送の再開

ポートでの正常な転送を再開するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

no switchport block multicast

ポートへの未知のマルチキャスト フラッディングをイネーブルにします。

ステップ 4

no switchport block unicast

ポートへの未知のユニキャスト フラッディングをイネーブルにします。

ステップ 5

end

イネーブル EXEC モードに戻ります。

ステップ 6

show interfaces interface-id switchport

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ポート セキュリティの設定

ポート セキュリティ機能を使用すると、ポートへのアクセスを許可するステーションの MAC アドレスを限定し、特定することによって、インターフェイスへの入力を制限できます。セキュア ポートにセキュア MAC アドレスを割り当てると、ポートは定義されたアドレス グループ以外の送信元アドレスを持つパケットを転送しません。

ここでは、次のトピックを扱います。

「ポート セキュリティの概要」

「ポート セキュリティのデフォルト設定」

「ポート セキュリティ設定時の注意事項」

「ポート セキュリティのイネーブル化および設定」

「ポート セキュリティ エージングのイネーブル化および設定」

ポート セキュリティの概要

ここでは、次の内容について説明します。

「セキュア MAC アドレス」

「セキュリティ違反」

セキュア MAC アドレス

設定できるセキュア MAC アドレスのタイプは次のとおりです。

スタティック セキュア MAC アドレス ― switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して手動で設定します。アドレス テーブルに保管され、スイッチの実行コンフィギュレーションに追加されます。

ダイナミック セキュア MAC アドレス ― 動的に学習され、アドレス テーブルだけに保管されます。スイッチの再起動時に削除されます。

スティッキ セキュア MAC アドレス ― 動的な学習、または手動の設定が可能で、アドレス テーブルに保管され、実行コンフィギュレーションに追加されます。これらのアドレスがコンフィギュレーション ファイルに保存されていると、スイッチの再起動時に、インターフェイスはアドレスを動的に再学習しなくて済みます。スティッキ セキュア アドレスを手動で設定することもできますが推奨しません。

スティッキ ラーニング をイネーブルにすると、ダイナミック MAC アドレスをスティッキ セキュア MAC アドレスに変換して実行コンフィギュレーションに追加するように、インターフェイスを設定できます。スティッキ ラーニングをイネーブルにするには、 switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを入力します。このコマンドを入力すると、インターフェイスはスティッキ ラーニングがイネーブルになる前に動的に学習したものを含め、あらゆるダイナミック セキュア MAC アドレスをスティッキ セキュア MAC アドレスに変換します。

スティッキ セキュア MAC アドレスは、コンフィギュレーション ファイル(スイッチが再起動されるたびに使用されるスタートアップ コンフィギュレーション)に、自動的には反映されません。スティッキ セキュア MAC アドレスがコンフィギュレーション ファイルに保存されていると、スイッチの再起動時に、インターフェイスはこれらのアドレスを再学習しなくて済みます。設定が保存されていない場合は、失われます。

スティッキ ラーニングをディセーブルにした場合、スティッキ セキュア MAC アドレスはダイナミック セキュア アドレスに変換され、実行コンフィギュレーションから削除されます。

1 つのセキュア ポートに、1 ~ 132 個のセキュア アドレスを対応付けることができます。スイッチで利用可能なセキュア アドレスの総数は 1024 です。

セキュリティ違反

次のいずれかの状況が発生すると、セキュリティ違反になります。

セキュア MAC アドレスの最大数がアドレス テーブルに追加されていて、アドレス テーブルに未登録の MAC アドレスを持つステーションがインターフェイスにアクセスしようとした場合

あるセキュア インターフェイスで学習または設定されたアドレスが、同一 VLAN 内の別のセキュア インターフェイスで使用された場合

違反が発生した場合の対処に基づいて、次の 3 種類の違反(violation)モードのいずれかにインターフェイスを設定できます。

protect(保護) ― セキュア MAC アドレスの数がポートで許可されている限度に達すると、十分な数のセキュア MAC アドレスを削除しないかぎり、または最大許容アドレス数を増やさないかぎり、送信元が不明なアドレスを持つパケットは廃棄されます。セキュリティ違反が発生したことは通知されません。

restrict(制限) ― セキュア MAC アドレスの数がポートで許可されている限度に達すると、十分な数のセキュア MAC アドレスを削除しないかぎり、または最大許容アドレス数を増やさないかぎり、送信元が不明なアドレスを持つパケットは廃棄されます。このモードでは、セキュリティ違反が発生したことが通知されます。具体的には、SNMP トラップが送信され、Syslog メッセージが記録され、違反カウンタが増加します。

shutdown(シャットダウン) ― このモードでは、ポート セキュリティ違反が発生するとインターフェイスがただちにerrdisableになり、ポートLEDが消灯します。また、SNMPトラップを送信し、Syslogメッセージを記録し、違反カウンタを増やします。セキュア ポートが errdisable ステートの場合は、 errdisable recovery cause psecure-violation グローバル コンフィギュレーション コマンドを入力してこのステートを解除する、または shutdown および no shutdown インターフェイス コンフィギュレーション コマンドを入力して手動で再度イネーブルにできます。これがデフォルトのモードです。

表21-1 に違反モードおよびポート セキュリティのインターフェイス設定を行う場合の対処を示します。

 

表21-1 セキュリティ違反モードごとの対処

違反モード
トラフィックの転送 1
SNMP トラップの送信
Syslog メッセージの送信
エラー メッセージの表示 2
違反カウンタの増加
ポートのシャットダウン

protect

しない

しない

しない

しない

しない

しない

restrict

しない

する

する

しない

する

しない

shutdown

しない

する

する

しない

する

する

1.十分な数のセキュア MAC アドレスが削除されるまで、送信元が不明なアドレスを持つパケットは廃棄されます。

2.セキュリティ違反の原因になる可能性のあるアドレスを手動で設定した場合、スイッチはエラー メッセージを戻します。

ポート セキュリティのデフォルト設定

表21-2 に、インターフェイスのデフォルト ポート セキュリティ設定を示します。

 

表21-2 ポート セキュリティのデフォルト設定

機能
デフォルト値

ポート セキュリティ

ディセーブル

セキュア MAC アドレスの最大数

1

違反モード

shutdown(シャットダウン)

スティッキ アドレス学習

ディセーブル

ポート セキュリティ エージング

ディセーブル。エージング タイムは 0 です。イネーブルな場合、デフォルトの タイプ absolute です。

ポート セキュリティ設定時の注意事項

ポート セキュリティを設定するときには、次の注意事項に従ってください。

ポート セキュリティを設定できるのは、スタティック アクセス ポートに限られます。

セキュア ポートをダイナミック アクセス ポートまたはトランク ポートにすることはできません。

セキュア ポートを Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)の宛先ポートにすることはできません。

セキュア ポートをFast EtherChannel または Gigabit EtherChannelポート グループに含めることはできません。

音声 VLAN では、スタティック セキュア MAC アドレスまたはスティッキ セキュア MAC アドレスを設定できません。

音声 VLAN が設定されているインターフェイス上でポート セキュリティをイネーブルにする場合は、ポート上で許可されるアドレスの最大数を 2 に設定します。ポートが Cisco IP Phone に接続されている場合は、Cisco IP Phone に MAC アドレスが 1 つ必要です。Cisco IP Phone アドレスは音声 VLAN 上で学習されますが、アクセス VLAN 上では学習されません。1 台の PC を Cisco IP Phone に接続する場合、追加の MAC アドレスは必要ありません。複数の PC を Cisco IP Phone に接続する場合は、各 PC および Cisco IP Phone に 1 つずつセキュア アドレスを使用できるように、十分な数を設定する必要があります。

アクセス VLAN で任意のタイプのポート セキュリティをイネーブルにした場合、ダイナミック ポート セキュリティは音声 VLAN で自動的にイネーブルにされます。

音声 VLAN が、スティッキ セキュア ポートとしても設定されているセキュア ポートに設定されている場合、音声 VLAN 上のアドレスはすべてダイナミック セキュア アドレスとして学習され、アクセス VLAN(ポートの所属先)上のアドレスはすべてスティッキ セキュア アドレスとして学習されます。

VLAN 単位でポート セキュリティを設定できません。

スイッチはスティッキ セキュア MAC アドレスのポート セキュリティ エージングはサポートしていません。

protect および restrict オプションを、1 つのインターフェイス上で同時にイネーブルにすることはできません。

表21-3 に、ポート セキュリティとポート上で設定された他の機能との互換性を示します。

 

表21-3 ポート セキュリティと他のCatalyst 2950 および 2955 機能との互換性

ポート タイプ
ポート セキュリティとの互換性

DTP 3 ポート 4

しない

トランク ポート

しない

ダイナミック アクセス ポート 5

しない

SPAN 送信元ポート

する

SPAN 宛先ポート

しない

EtherChannel

しない

保護ポート

する

IEEE 802.1x ポート

する

音声 VLAN ポート 6

する

3.DTP = Dynamic Trunking Protocol

4.switchport mode dynamic インターフェイス コンフィギュレーション コマンドを使用して設定されたポート

5.switchport access vlan dynamic インターフェイス コンフィギュレーション コマンドを使用して設定された VLAN Query Protocol(VQP)ポート

6.ポートで許可されるセキュア アドレスの最大数を、アクセス VLAN で許可されているセキュア アドレスの最大数に 2 を加えた値に設定する必要があります。

ポート セキュリティのイネーブル化および設定

イネーブル EXEC モードから始め、次の手順で、ポートへのアクセスを許可するステーションの MAC アドレスを限定し、特定することによって、インターフェイスへの入力を制限します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport mode access

インターフェイス モードを access に設定します。デフォルト モード(dynamic desirable)のインターフェイスは、セキュア ポートとして設定できません。

ステップ 4

switchport port-security

インターフェイスでポート セキュリティ機能をイネーブルにします。

ステップ 5

switchport port-security maximum value

(任意)インターフェイスに対するセキュア MAC アドレスの最大数を設定します。指定できる範囲は 1 ~ 132 で、デフォルトは 1 です。インターフェイスを音声 VLAN 用に設定する場合は、2 つのセキュア MAC アドレスの値を設定します。

ステップ 6

switchport port-security violation { protect | restrict | shutdown }

(任意)違反モード、すなわちセキュリティ違反が検出されたときの対応を、次のいずれかに設定します。

protect ― セキュア MAC アドレスの数がポートで許可されている限度に達すると、十分な数のセキュア MAC アドレスを削除しないかぎり、または最大許容アドレス数を増やさないかぎり、送信元が不明なアドレスを持つパケットは廃棄されます。セキュリティ違反が発生したことは通知されません。

restrict ― セキュア MAC アドレスの数がポートで許可されている限度に達すると、十分な数のセキュア MAC アドレスを削除しないかぎり、または最大許容アドレス数を増やさないかぎり、送信元が不明なアドレスを持つパケットは廃棄されます。このモードでは、セキュリティ違反が発生したことが通知されます。具体的には、SNMPトラップが送信され、Syslogメッセージが記録され、違反カウンタが増加します。

shutdown ― このモードでは、ポート セキュリティ違反が発生するとインターフェイスがただちに errdisable になり、ポート LED が消灯します。また、SNMP トラップを送信し、Syslog メッセージを記録し、違反カウンタを増やします。


) セキュア ポートが errdisable ステートの場合は、errdisable recovery cause psecure-violation グローバル コンフィギュレーション コマンドを入力してこのステートを解除する、または shutdown および no shutdown インターフェイス コンフィギュレーション コマンドを入力して手動で再度イネーブルにできます。


ステップ 7

switchport port-security mac-address mac-address

(任意)インターフェイスのスタティック セキュア MAC アドレスを入力し、必要な回数だけコマンドを繰り返します。このコマンドを使用すると、最大数のセキュア MAC アドレスを入力できます。最大数より少ない MAC アドレスを設定すると、残りの MAC アドレスは動的に学習されます。


) このコマンドの入力後にスティッキ ラーニングをイネーブルにすると、動的に学習されたセキュア アドレスがスティッキ セキュア MAC アドレスに変換され、実行コンフィギュレーションに追加されます。


ステップ 8

switchport port-security mac-address sticky

(任意)インターフェイス上でスティッキ ラーニングをイネーブルにします。

ステップ 9

end

イネーブル EXEC モードに戻ります。

ステップ 10

show port-security

設定を確認します。

ステップ 11

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

セキュア ポートではないデフォルトの状態にインターフェイスを戻す場合は、 no switchport
port-security
インターフェイス コンフィギュレーション コマンドを使用します。スティッキ ラーニングがイネーブルのときにこのコマンドを入力した場合、スティッキ セキュア アドレスは実行コンフィギュレーションに残りますが、アドレス テーブルからは削除されます。これで、すべてのアドレスは動的に学習されます。

インターフェイスをデフォルトのセキュア MAC アドレス数に戻す場合は、 no switchport port-security maximum value インターフェイス コンフィギュレーション コマンドを使用します。

違反モードをデフォルト状態(shutdown モード)に戻す場合は、 no switchport port-security violation { protect | restrict }インターフェイス コンフィギュレーション コマンドを使用します。

インターフェイス上でスティッキ ラーニングをディセーブルにするには、 no switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを使用します。インターフェイスによってスティッキ セキュア MAC アドレスがダイナミック セキュア アドレスに変換されます。

アドレス テーブルからスタティック セキュア MAC アドレスを削除するには、 clear port-security configured address mac-address イネーブル EXEC コマンドを使用します。インターフェイス上のすべてのスタティック セキュア MAC アドレスを削除する場合は、 clear port-security configured interface interface-id イネーブル EXEC コマンドを使用します。

アドレス テーブルからダイナミック セキュア MAC アドレスを削除するには、 clear port-security dynamic address mac-address イネーブル EXEC コマンドを使用します。インターフェイス上のすべてのダイナミック アドレスを削除する場合は、 clear port-security dynamic interface interface-id イネーブル EXEC コマンドを使用します。

アドレス テーブルからスティッキ セキュア MAC アドレスを削除するには、 clear port-security sticky address mac-address イネーブル EXEC コマンドを使用します。インターフェイス上のすべてのスティッキ アドレスを削除する場合は、 clear port-security sticky interface interface-id イネーブル EXEC コマンドを使用します。

次に、ポートでポート セキュリティをイネーブルにし、セキュア アドレスの最大数を 50 に設定する例を示します。違反モードはデフォルトです。スタティック セキュア MAC アドレスは設定しません。スティッキ ラーニングはイネーブルです。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 50
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# end
 

次に、ポートでスタティック セキュア MAC アドレスを設定してスティッキ ラーニングをイネーブルにする方法を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface fastethernet0/2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security mac-address 0000.02000.0004
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# end
 

ポート セキュリティ エージングのイネーブル化および設定

ポートのスタティックおよびダイナミックなセキュア アドレスのエージング タイムを設定するには、ポート セキュリティ エージングを使用します。ポートごとに 2 つのタイプのエージングがサポートされています。

absolute ― 指定されたエージング タイムの経過後に、ポートのセキュア アドレスが削除されます。

inactivity ― 指定されたエージング タイムの間、セキュア アドレスが非アクティブであった場合に限り、ポート上のセキュア アドレスが削除されます。

この機能を使用すると、既存のセキュア MAC アドレスを手動で削除しなくても、セキュア ポート上の PC を削除/追加し、かつポートのセキュア アドレス数を限定できます。静的に設定されたセキュア アドレスのエージングは、ポート単位でイネーブルまたはディセーブルにできます。

ポート セキュリティ エージングを設定するには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

ポート セキュリティ エージングをイネーブルにするポートを指定し、インターフェイス コンフィギュレーション モードを開始します。


) スイッチはスティッキ セキュア アドレスのポート セキュリティ エージングはサポートしていません。


ステップ 3

switchport port-security aging { static | time time | type { absolute | inactivity} }

セキュア ポートのスタティック エージングをイネーブルまたはディセーブルにします。あるいはエージング タイムまたはタイプを設定します。

このポートに静的に設定されたセキュア アドレスのエージングをイネーブルにするには、 static を入力します。

time には、このポートのエージング タイムを指定します。指定できる範囲は、0 ~ 1440 分です。time が 0 の場合、このポートのエージングはディセーブルです。

type には、次のキーワードのいずれか 1 つを選択します。

absolute ― エージング タイプを絶対エージングとして設定します。このポートのすべてのセキュア アドレスは、指定された time(分)が経過したあとに期限切れとなり、セキュア アドレス リストから削除されます。


) 絶対エージング タイムは、システム タイマーのシーケンスに応じて、1 分単位で変動します。


inactivity ― エージング タイプを非アクティブ エージングとして設定します。指定された time 期間中にセキュア送信元アドレスからのデータ トラフィックがない場合だけ、このポートのセキュア アドレスが期限切れになります。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show port-security [ interface interface-id ] [ address ]

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ポート上のすべてのセキュア アドレスに対してポート セキュリティ エージングをディセーブルにするには、no switchport port-security aging time インターフェイス コンフィギュレーション コマンドを使用します。静的に設定されたセキュア アドレスに対してだけエージングをディセーブルにするには、no switchport port-security aging static インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポート上のセキュア アドレスのエージング タイムを 2 時間に設定する例を示します。

Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport port-security aging time 120
 

次に、このインターフェイスに設定されたセキュア アドレスに対して、エージングをイネーブルにし、非アクティブ エージング タイプのエージング タイムを 2 分に設定する例を示します。

Switch(config-if)# switchport port-security aging time 2
Switch(config-if)# switchport port-security aging type inactivity
Switch(config-if)# switchport port-security aging static
 

上記のコマンドを確認するには、 show port-security interface interface-id イネーブル EXEC コマンドを使用します。

ポート単位のトラフィック制御設定の表示

show interfaces interface-id switchport イネーブル EXEC コマンドを使用すると、(他の特性の中から)インターフェイス トラフィックの抑制および制御の設定が表示されます。 show storm-control および show port-security イネーブル EXEC コマンドを使用すると、これらの機能が表示されます。

トラフィックの制御情報を表示するには、 表21-4 のイネーブル EXEC コマンドを 1 つまたは複数使用します。

 

表21-4 トラフィック制御ステータスおよび設定を表示するためのコマンド

コマンド
目的

show interfaces [interface-id] switchport

すべてのスイッチング(非ルーティング)ポートまたは指定されたポートの管理ステータスまたは動作ステータスを、ポート ブロッキングやポート保護の設定を含めて表示します。

show storm-control [ interface-id ] [ broadcast | multicast | unicast ]

すべてのインターフェイスまたは指定されたインターフェイスに設定されているストーム制御抑制レベルを、指定されたトラフィック タイプについて、またはブロードキャストトラフィック(トラフィック タイプが入力されていない場合)について表示します。

show port-security [ interface interface-id ]

スイッチまたは指定されたインターフェイスのポート セキュリティ設定を、各インターフェイスのセキュア MAC アドレスの最大許容数、インターフェイスのセキュア MAC アドレス数、発生したセキュリティ違反数、違反モードを含めて表示します。

show port-security [ interface interface-id ] address

すべてのスイッチ インターフェイスまたは指定されたインターフェイスに設定されたすべてのセキュア MAC アドレス、および各アドレスのエージング情報を表示します。