Catalyst 2950 および Catalyst 2955 スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.1(22)EA11 以降
ポート単位のトラフィック制御の設定
ポート単位のトラフィック制御の設定
発行日;2012/05/10 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

ポート単位のトラフィック制御の設定

ストーム制御の設定

ストーム制御の概要

ストーム制御のデフォルト設定

ストーム制御およびしきい値レベルの設定

保護ポートの設定

ポート ブロッキングの設定

インターフェイスでのフラッディング トラフィックのブロッキング

ポート上での通常の転送の再開

ポート セキュリティの設定

ポート セキュリティの概要

セキュア MAC アドレス

セキュリティ違反

ポート セキュリティのデフォルト設定

ポート セキュリティの設定時の注意事項

ポート セキュリティのイネーブル化および設定

ポート セキュリティ エージングのイネーブル化および設定

ポート単位のトラフィック制御設定の表示

ポート単位のトラフィック制御の設定

この章では、Catalyst 2950 または Catalyst 2955 スイッチにポート ベースのトラフィック制御機能を設定する方法について説明します。


) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスを参照してください。


この章で説明する内容は、次のとおりです。

「ストーム制御の設定」

「保護ポートの設定」

「ポート ブロッキングの設定」

「ポート セキュリティの設定」

「ポート単位のトラフィック制御設定の表示」

ストーム制御の設定

ここでは、ストーム制御の設定および手順について説明します。

「ストーム制御の概要」

「ストーム制御のデフォルト設定」

「ストーム制御およびしきい値レベルの設定」

ストーム制御の概要

ストーム制御は、ポート上で発生したブロードキャスト、マルチキャスト、またはユニキャスト ストームによって LAN 上のトラフィックが混乱することを防ぎます。LAN ストームは、LAN にパケットがフラッディングした場合に発生します。その結果、トラフィックが極端に増えてネットワーク パフォーマンスが低下します。プロトコルスタックの実装エラー、ネットワーク設定の間違い、またはユーザによって引き起こされる DoS 攻撃もストームの原因になります。

ストーム制御は、スイッチ全体に対して設定しますが、動作はポート単位です。デフォルトでは、ストーム制御はディセーブルに設定されています。

ストーム制御は上限と下限のしきい値を使用して、ブロードキャスト、ユニキャスト、またはマルチキャストのパケットの転送をブロックしてから復元します。上限しきい値に到達した時点でポートをシャットダウンするよう、スイッチを設定することもできます。

ストーム制御は、次のうちのいずれかをトラフィック アクティビティの測定方法に使用します。

帯域幅ベース

パケット受信のトラフィック レート(1 秒あたりのパケット数)(非 Long-Reach Ethernet(LRE)Catalyst 2950 スイッチでのみ使用可能)

しきい値は、ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックで使用できる総帯域幅に占めるパーセンテージとして表すか、インターフェイスがマルチキャスト、ブロードキャスト、またはユニキャスト トラフィックを受信するレートとして表すことができます。

スイッチで帯域幅ベース方式を使用する場合、上限しきい値は、マルチキャスト、ブロードキャスト、またはユニキャスト トラフィックに関連して使用できる総帯域幅に対し、それを超えると転送がブロックされるパーセンテージです。下限しきい値は、それを下回るとスイッチが通常の転送を再開する、使用できる総帯域幅のパーセンテージです。一般に、そのレベルが高ければ高いほど、ブロードキャスト ストームに対する保護効果は薄くなります。

Cisco IOS Release 12.1(14)EA1 以降を実行する非 LRE Catalyst 2950 スイッチで、トラフィック レートをしきい値として使用する場合、上限と下限のしきい値は 1 秒あたりのパケット数を単位として表されます。上限しきい値は、それを超えるとマルチキャスト、ブロードキャスト、およびユニキャストのトラフィックが転送をブロックされるトラフィック受信レートです。下限しきい値は、それを下回るとスイッチが通常の転送を再開するレートです。一般に、そのレートが高ければ高いほど、ブロードキャスト ストームに対する保護効果は薄くなります。

ストーム制御のデフォルト設定

デフォルトでは、スイッチのブロードキャスト、マルチキャスト、およびユニキャスト ストーム制御はディセーブルになります。デフォルト アクションは、トラフィックをフィルタし、SNMP トラップを送信しません。

ストーム制御およびしきい値レベルの設定

ポートにストーム制御を設定し、特定のトラフィック タイプで使用するしきい値レベルを入力します。

ストーム制御は、物理インターフェイス上でサポートされます。EtherChannel に対してストーム制御を設定することもできます。ただし、そのチャネルのポートに個別にストーム制御を設定できません。


) ストーム制御が EtherChannel に設定されている場合、ストーム制御設定は EtherChannel 物理インターフェイスに伝播します。show etherchannel 特権 EXEC コマンド出力では、ストーム制御の設定は EtherChannel について表示されますが、チャネルの物理ポートについては表示されません。


ストーム制御としきい値レベルを設定するには、特権 EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

storm-control { broadcast | multicast | unicast } level { level [ level-low ] | pps pps [ pps-low ]}

ブロードキャスト、マルチキャスト、またはユニキャスト ストーム制御を設定します。

キーワードの意味は次のとおりです。

level には、ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックの上限しきい値レベルを帯域幅のパーセンテージで指定します。ストーム制御のアクションは、トラフィック使用率がこのレベルに達すると実行されます。

(任意)level-low には、下限しきい値レベルを帯域幅のパーセンテージとして指定します。 この値は上限抑制値よりも小さくする必要があります。 トラフィックがこのレベルを下回った時点で、通常の送信が再開されます(アクションがフィルタリングの場合)。

pps pps には、ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックの上限しきい値レベルを 1 秒あたりのパケット数で指定します。ストーム制御のアクションは、トラフィックがこのレベルに達すると実行されます。このオプションは、Cisco IOS Release 12.1(14)EA1 以降を実行する非 LRE Catalyst 2950 スイッチでのみサポートされます。

(任意)pps-low には、上限しきい値レベル以下で下限しきい値レベルの 1 秒あたりパケット数を指定します。トラフィックがこのレベル未満に低下した場合、通常の送信が再開(処置がフィルタリングの場合)されます。このオプションは非 LRE Catalyst 2950 スイッチでのみサポートされます。

pps および pps-low に指定できる範囲は、0 ~ 4294967295 です。

ステップ 4

storm-control action { shutdown | trap }

ストームが検出された場合に実行するアクションを指定します。デフォルトではトラフィックにフィルタリングを実行し、トラップは送信しない設定です。

ストーム中、ポートを errdisable の状態にするには、 shutdown キーワードを選択します。

ストームが検出された場合、SNMP トラップを生成するには、 trap キーワードを選択します。

ステップ 5

end

特権 EXEC モードに戻ります。

ステップ 6

show storm-control [ interface ] [{ broadcast | history | multicast | unicast }]

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ストーム制御をディセーブルにするには no storm-control broadcast level no storm-control multicast level 、または no storm-control unicast level インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポート上で、ブロードキャスト アドレスのストーム制御を 20% のレベルでイネーブルにする例を示します。ブロードキャスト トラフィックが、トラフィック ストーム制御インターバル内にポートで使用できる帯域幅のうち、設定された 20% のレベルを超えた場合、トラフィック ストーム制御インターバルが終わるまで、スイッチはすべてのブロードキャスト トラフィックをドロップします。

Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# storm-control broadcast level 20
 

パケット ストームが検出されたときのアクションとして shutdown (ストームの間、ポートが errdisable になる)を設定した場合、インターフェイスをこのステートから解除するには no shutdown インターフェイス コンフィギュレーション コマンドを使用する必要があります。 shutdown アクションを指定しない場合、 trap (ストーム検出時にスイッチがトラップを生成する)として指定してください。

保護ポートの設定

アプリケーションによっては、あるネイバーが生成したトラフィックが別のネイバーにわからないように、同一スイッチ上のポート間でトラフィックが転送されないように設定する必要があります。このような環境では、保護ポートを使用すると、スイッチ上のポート間でユニキャスト、ブロードキャスト、またはマルチキャスト トラフィックの交換が確実になくなります。

保護ポートには、次の機能があります。

保護ポートは、同様に保護ポートである他のポートに、トラフィック(ユニキャスト、マルチキャスト、またはブロードキャスト)をすべて転送するわけではありません。レイヤ 2 では、保護ポート間でデータ トラフックを転送できません。CPU で処理されてソフトウェアで転送される、Protocol Independent Multicast(PIM)パケットのような制御トラフィックのみが転送されます。保護ポート間を通過するトラフィックはすべて、レイヤ 3 デバイスを介して転送する必要があります。

保護ポートと非保護ポート間の転送動作は、通常どおりに進みます。

保護ポートは IEEE 802.1Q トランクでサポートされます。

デフォルトでは、保護ポートは定義されません。

保護ポートは、物理インターフェイスまたは EtherChannel グループに対して設定できます。ポート チャネルで保護ポートをイネーブルにした場合は、そのポート チャネル グループ内のすべてのポートでイネーブルになります。

LRE インターフェイス ポートと CPE デバイスのポートは、保護ポートとして設定できます。Cisco 575 LRE CPE または Cisco 576 LRE 997 CPE デバイスを使用する場合、 cpe protected インターフェイス コンフィギュレーション コマンドは使用できません。

Cisco 585 LRE CPE デバイス(複数のイーサネット インターフェイスを装備)を使用する場合、 switchport protected コマンドを使用すると、同じ CPE デバイス上にある異なるポートのデバイスでローカルにデータを交換できます。

場合によっては、個々の CPE デバイス ポートを保護したほうがよいときもあります。その場合は、 cpe protected インターフェイス コンフィギュレーション コマンドを使用します。同じ CPE デバイス上の異なるポートに接続したデバイスは、データを直接交換できず、レイヤ 3 デバイスを介してデータを転送する必要があります。

ポートを保護ポートとして定義するには、特権 EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport protected

インターフェイスを保護ポートに設定します。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show interfaces interface-id switchport

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

保護ポートをディセーブルにするには、 no switchport protected インターフェイス コンフィギュレーション コマンドを使用します。

次に、保護ポートとしてポートを設定する例を示します。

Switch# configure terminal
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport protected
Switch(config-if)# end

ポート ブロッキングの設定

デフォルトでは、スイッチは不明の宛先 MAC アドレスを持つパケットをすべてのポートにフラッディングします。未知のユニキャストおよびマルチキャスト トラフィックが保護ポートに転送されると、セキュリティ上、問題になる可能性があります。

不明のユニキャストまたはマルチキャスト トラフィックがポート間で転送されないようにするために、不明のユニキャストまたはマルチキャスト パケットをブロックするよう、ポート(保護または非保護)を設定できます。


) ユニキャストまたはマルチキャスト トラフィックのブロックは、保護ポート上で自動的にイネーブルにはなりません。明示的に設定する必要があります。


ポート ブロック機能は、次のスイッチでのみサポートされます。

Cisco IOS Release 12.1(14)EA1 以降を実行する Catalyst 2950 Long-Reach Ethernet(LRE)スイッチ

Cisco IOS Release 12.1(19)EA1 以降を実行する Catalyst 2950G-12-EI、2950G-24-EI、2950G-24-EI-DC、2950G-48-EI、および 2955 スイッチ

インターフェイスでのフラッディング トラフィックのブロッキング


) インターフェイスは物理インターフェイスまたは EtherChannel グループのいずれも可能です。ポート チャネルのマルチキャストまたはユニキャスト トラフィックをブロックすると、ポート チャネル グループのすべてのポートでブロックされます。


マルチキャストおよびユニキャスト パケットのフラッディングをインターフェイスでディセーブルにするには、特権 EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport block multicast

ポートへの不明マルチキャストの転送をブロックします。

ステップ 4

switchport block unicast

ポートへの不明ユニキャストの転送をブロックします。

ステップ 5

end

特権 EXEC モードに戻ります。

ステップ 6

show interfaces interface-id switchport

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

トラフィックがブロックされないデフォルトの状態にインターフェイスを戻すには、 no switchport block { multicast | unicast } インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポート上のユニキャストおよびマルチキャスト フラッディングをブロックする例を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# switchport block multicast
Switch(config-if)# switchport block unicast
Switch(config-if)# end

ポート上での通常の転送の再開

ポート上で通常の転送を再開するには、特権 EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

no switchport block multicast

ポートへの不明マルチキャストのフラッディングをイネーブルにします。

ステップ 4

no switchport block unicast

ポートへの不明ユニキャストのフラッディングをイネーブルにします。

ステップ 5

end

特権 EXEC モードに戻ります。

ステップ 6

show interfaces interface-id switchport

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ポート セキュリティの設定

ポート セキュリティ機能を使用すると、ポートへのアクセスを許可するステーションの MAC アドレスを制限および識別して、インターフェイスへの入力を制限できます。セキュア ポートにセキュア MAC アドレスを割り当てると、ポートは定義されたアドレス グループ以外の送信元アドレスを持つパケットを転送しません。

ここでは、次の情報について説明します。

「ポート セキュリティの概要」

「ポート セキュリティのデフォルト設定」

「ポート セキュリティの設定時の注意事項」

「ポート セキュリティのイネーブル化および設定」

「ポート セキュリティ エージングのイネーブル化および設定」

ポート セキュリティの概要

ここでは、次の内容について説明します。

「セキュア MAC アドレス」

「セキュリティ違反」

セキュア MAC アドレス

次のタイプのセキュア MAC アドレスを設定できます。

スタティック セキュア MAC アドレス: switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して手動で設定し、アドレス テーブルに保存されたのち、スイッチの実行コンフィギュレーションに追加されます。

ダイナミック セキュア MAC アドレス:動的に学習されてアドレス テーブルにのみ保存され、スイッチの再起動時に削除されます。

スティッキー セキュア MAC アドレス:動的に学習することも、手動で設定することもできます。アドレス テーブルに保存され、実行コンフィギュレーションに追加されます。これらのアドレスをコンフィギュレーション ファイルに保存した場合は、スイッチを再起動しても、インターフェイスはダイナミックにこれらのアドレスを再学習する必要がありません。スティッキ セキュア アドレスは手動で構成できますが、推奨しません。

スティッキー ラーニング をイネーブルにすると、ダイナミック MAC アドレスをスティッキー セキュア MAC アドレスに変換して実行コンフィギュレーションに追加するようにインターフェイスを設定できます。スティッキ ラーニングをイネーブルにするには、 switchport port-security mac-a+ddress sticky インターフェイス コンフィギュレーション コマンドを入力します。このコマンドを入力すると、インターフェイスはスティッキ ラーニングがイネーブルになる前に学習したものを含め、すべてのダイナミック セキュア MAC アドレスをスティッキ セキュア MAC アドレスに変換します。

スティッキ セキュア MAC アドレスは、コンフィギュレーション ファイル(スイッチが再起動されるたびに使用されるスタートアップ コンフィギュレーション)に、自動的には反映されません。スティッキ セキュア MAC アドレスをコンフィギュレーション ファイルに保存すると、スイッチの再起動時にインターフェイスはこれらを再び学習する必要がありません。この設定は保存しないと失われます。

スティッキ ラーニングをディセーブルにした場合、スティッキ セキュア MAC アドレスはダイナミック セキュア アドレスに変換され、実行コンフィギュレーションから削除されます。

セキュア ポートには 1 ~ 132 個のセキュア アドレスを関連付けることができます。スイッチに使用できるセキュア アドレスの合計数は、1024 個です。

セキュリティ違反

次のいずれかの状況が発生すると、セキュリティ違反になります。

最大数のセキュア MAC アドレスがアドレス テーブルに追加されている状態で、アドレス テーブルに未登録の MAC アドレスを持つステーションがインターフェイスにアクセスしようとした場合。

あるセキュア インターフェイスで学習または設定されたアドレスが、同一 VLAN 内の別のセキュア インターフェイスで使用された場合。

違反が発生した場合の対処に基づいて、次の 3 種類の違反モードのいずれかにインターフェイスを設定できます。

protect:セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、十分な数のセキュア MAC アドレスを削除するか、または許可アドレス数を増やさない限り、未知の送信元アドレスを持つパケットはドロップされます。セキュリティ違反が発生したことは通知されません。

restrict:セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、十分な数のセキュア MAC アドレスを削除するか、または許可アドレス数を増やさない限り、未知の送信元アドレスを持つパケットはドロップされます。このモードでは、セキュリティ違反が発生したことが通知されます。具体的には、SNMP トラップが送信され、Syslog メッセージがロギングされ、違反カウンタが増加します。

shutdown:このモードでは、ポート セキュリティ違反が発生するとインターフェイスはただちに errdisable になり、ポート LED がオフになります。また、SNMP トラップも送信され、Syslog メッセージがロギングされ、違反カウンタが増加します。セキュア ポートが errdisable ステートの場合は、 errdisable recovery cause psecure-violation グローバル コンフィギュレーション コマンドを入力してこのステートを解除するか、 shutdown および no shutdown インターフェイス コンフィギュレーション コマンドを入力して手動で再びイネーブルにできます。これがデフォルトのモードです。

表 19-1 に、ポート セキュリティをインターフェイスに設定した場合の違反モードおよび対処について示します。

 

表 19-1 セキュリティ違反モードの処置

違反モード
トラフィックの転送1
SNMP トラップの送信
Syslog メッセージの送信
エラー メッセージの表示2
違反カウンタの増加
ポートのシャットダウン

protect

なし

なし

なし

なし

なし

なし

restrict

なし

あり

あり

なし

あり

なし

shutdown

なし

あり

あり

なし

あり

あり

1.十分な数のセキュア MAC アドレスを削除するまで未知の送信元アドレスを持つパケットがドロップされます。

2.セキュリティ違反を引き起こすアドレスを手動で設定した場合、スイッチがエラー メッセージを返します。

ポート セキュリティのデフォルト設定

表 19-2 に、インターフェイスに対するポート セキュリティのデフォルト設定を示します。

 

表 19-2 ポート セキュリティのデフォルト設定

機能
デフォルト設定

ポート セキュリティ

ディセーブル

セキュア MAC アドレスの最大数

1

違反モード

shutdown(シャットダウン)

スティッキー アドレス ラーニング

ディセーブル

ポート セキュリティ エージング

ディセーブル エージング タイムは 0 イネーブルにした場合、デフォルトの type absolute です。

ポート セキュリティの設定時の注意事項

ポート セキュリティを設定するときには、次の注意事項に従ってください。

ポート セキュリティを設定できるのは、スタティック アクセス ポートに限られます。

セキュア ポートはダイナミック アクセス ポートまたはトランク ポートにはできません。

セキュア ポートを Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)の宛先ポートにすることはできません。

セキュア ポートを Fast EtherChannel または Gigabit EtherChannel ポート グループに含めることはできません。

音声 VLAN では、スタティック セキュアまたはスティッキ セキュア MAC アドレスを設定できません。

音声 VLAN も設定されているインターフェイスでポート セキュリティをイネーブルにする際には、ポート上で許可されるセキュア アドレスの最大数を 2 に設定します。ポートを Cisco IP Phone に接続する場合は、Cisco IP Phone に MAC アドレスが 1 つ必要です。Cisco IP Phone アドレスは音声 VLAN 上で学習されますが、アクセス VLAN 上では学習されません。1 つの PC を Cisco IP Phone に接続する場合、追加の MAC アドレスは不要です。複数の PC を Cisco IP Phone に接続する場合、各 PC と IP Phone に 1 つずつ使用できるように、十分な数のセキュア アドレスを設定する必要があります。

アクセス VLAN で任意のポート セキュリティ タイプがイネーブルにされた場合、音声 VLAN でダイナミック ポート セキュリティは自動的にイネーブルになります。

音声 VLAN を、スティッキ セキュア ポートとしても設定されているセキュア ポート上に設定すると、音声 VLAN のすべてのアドレスはダイナミック セキュア アドレスとして学習され、(ポートが属する)アクセス VLAN 上のすべてのアドレスは、スティッキ セキュア アドレスとして学習されます。

ポート セキュリティは VLAN 単位で設定できません。

スイッチは、スティッキー セキュア MAC アドレスのポート セキュリティ エージングをサポートしていません。

インターフェイスに対して protect restrict の両方のオプションを同時にイネーブルにできません。

表 19-3 に、ポート セキュリティと、ポートに設定されたその他の機能との互換性について、概要を示します。

 

表 19-3 ポート セキュリティと、その他の Catalyst 2950 および 2955 機能との互換性

ポートのタイプ
ポート セキュリティとの互換性

DTP 3ポート4

なし

トランク ポート

なし

ダイナミック アクセス ポート5

なし

Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)送信元ポート

あり

SPAN 宛先ポート

なし

EtherChannel

なし

保護ポート

あり

IEEE 802.1x ポート

あり

音声 VLAN ポート6

あり

3.DTP = Dynamic Trunking Protocol

4.switchport mode dynamic インターフェイス コンフィギュレーション コマンドで設定されたポート。

5.switchport access vlan dynamic インターフェイス コンフィギュレーション コマンドで設定された VLAN Query Protocol(VQP)ポート。

6.ポートに最大限可能なセキュアなアドレスを設定します(アクセス VLAN で可能なセキュアなアドレスの最大数に 2 を加えた数)。

ポート セキュリティのイネーブル化および設定

ポートへのアクセスを許可するステーションの MAC アドレスを制限および識別することによって、インターフェイスへの入力を制限するには、特権 EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport mode access

インターフェイス モードを access に設定します。デフォルト モード(dynamic desirable)のインターフェイスをセキュア ポートに設定できません。

ステップ 4

switchport port-security

インターフェイス上でポート セキュリティをイネーブルにします。

ステップ 5

switchport port-security maximum value

(任意)インターフェイスに対するセキュア MAC アドレスの最大数を設定します。指定できる範囲は 1 ~ 132 です。デフォルトは 1 です。インターフェイスに音声 VLAN が設定されている場合、セキュア MAC アドレスの値を 2 に設定します。

ステップ 6

switchport port-security violation { protect | restrict | shutdown }

(任意)違反モード、つまりセキュリティ違反が検出されたときの対応を、次のいずれかに設定します。

protect :セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、十分な数のセキュア MAC アドレスを削除するか、または許可アドレス数を増やさない限り、未知の送信元アドレスを持つパケットはドロップされます。セキュリティ違反が発生したことは通知されません。

restrict :セキュア MAC アドレスの数がポートで許可されている最大限度に達すると、十分な数のセキュア MAC アドレスを削除するか、または許可アドレス数を増やさない限り、未知の送信元アドレスを持つパケットはドロップされます。このモードでは、セキュリティ違反が発生したことが通知されます。具体的には、SNMP トラップが送信され、Syslog メッセージがロギングされ、違反カウンタが増加します。

shutdown :このモードでは、ポート セキュリティ違反が発生するとインターフェイスはただちに errdisable になり、ポート LED がオフになります。また、SNMP トラップも送信され、Syslog メッセージがロギングされ、違反カウンタが増加します。

インターフェイス コンフィギュレーション コマンドを入力して手動で再びイネーブルにできます。

ステップ 7

switchport port-security mac-address mac-address

(任意)インターフェイスのスタティック セキュア MAC アドレスを入力し、必要な回数だけコマンドを繰り返します。このコマンドを使用すると、最大数のセキュア MAC アドレスを入力できます。設定したセキュア MAC アドレスが最大数より少ない場合、残りの MAC アドレスは動的に学習されます。

(注) このコマンドの入力後にスティッキー ラーニングをイネーブルにすると、動的に学習されたセキュア アドレスがスティッキー セキュア MAC アドレスに変換されて実行コンフィギュレーションに追加されます。

ステップ 8

switchport port-security mac-address sticky

(任意)インターフェイスでスティッキー ラーニングをイネーブルにします。

ステップ 9

end

特権 EXEC モードに戻ります。

ステップ 10

show port-security

設定を確認します。

ステップ 11

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

セキュア ポートではないデフォルトの状態にインターフェイスを戻すには、 no switchport port-security インターフェイス コンフィギュレーション コマンドを使用します。スティッキー ラーニングがイネーブルの状態でこのコマンドを入力すると、スティッキー セキュア アドレスが実行コンフィギュレーションの一部に残りますが、アドレス テーブルからは削除されます。ここですべてのアドレスが動的に学習されます。

インターフェイスのセキュア MAC アドレス数をデフォルトに戻すには、 no switchport port-security maximum value インターフェイス コンフィギュレーション コマンドを使用します。

違反モードをデフォルト状態(shutdown モード)に戻すには、 no switchport port-security violation { protect | restrict } インターフェイス コンフィギュレーション コマンドを使用します。

インターフェイスでスティッキー ラーニングをディセーブルにするには、 no switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを使用します。インターフェイスがスティッキー セキュア MAC アドレスをダイナミック セキュア アドレスに変換します。

スタティック セキュア MAC アドレスをアドレス テーブルから削除するには、 clear port-security configured address mac-address 特権 EXEC コマンドを使用します。インターフェイス上にあるすべてのスタティック セキュア MAC アドレスを削除するには、 clear port-security configured interface interface-id 特権 EXEC コマンドを使用します。

ダイナミック セキュア MAC アドレスをアドレス テーブルから削除するには、 clear port-security dynamic address mac-address 特権 EXEC コマンドを使用します。インターフェイス上にあるすべてのダイナミック アドレスを削除するには、 clear port-security dynamic interface interface-id 特権 EXEC コマンドを使用します。

スティッキ セキュア MAC アドレスをアドレス テーブルから削除するには、 clear port-security sticky address mac-address 特権 EXEC コマンドを使用します。インターフェイス上にあるすべてのスティッキ アドレスを削除するには、 clear port-security sticky interface interface-id 特権 EXEC コマンドを使用します。

次に、ポート上でポート セキュリティをイネーブルにし、セキュア アドレスの最大数を 50 に設定する例を示します。違反モードはデフォルトです。スタティック セキュア MAC アドレスは設定せず、スティッキー ラーニングはイネーブルです。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 50
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# end
 

次に、ポートにスタティック セキュア MAC アドレスを設定し、スティッキ ラーニングをイネーブルにする例を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface fastethernet0/2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security mac-address 0000.02000.0004
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# end

ポート セキュリティ エージングのイネーブル化および設定

ポート セキュリティ エージングを使用すると、ポート上のスタティックおよびダイナミック セキュア アドレスにエージング タイムを設定できます。ポートごとに 2 つのタイプのエージングがサポートされています。

absolute:指定されたエージング タイムの経過後に、ポート上のセキュア アドレスが削除されます。

inactivity:指定されたエージング タイムの間、セキュア アドレスが非アクティブであった場合に限り、ポート上のセキュア アドレスが削除されます。

この機能を使用すると、既存のセキュア MAC アドレスを手動で削除しなくても、セキュア ポート上の PC を削除および追加し、なおかつポート上のセキュア アドレス数を制限できます。スタティックに設定されたセキュア アドレスのエージングは、ポート単位でイネーブルまたはディセーブルにできます。

ポート セキュリティ エージングを設定するには、特権 EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

ポート セキュリティ エージングをイネーブルにするポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

(注) スイッチは、スティッキー セキュア アドレスのポート セキュリティ エージングをサポートしていません。

ステップ 3

switchport port-security aging { static | time time | type { absolute | inactivity} }

セキュア ポートのスタティック エージングをイネーブルまたはディセーブルにします。またはエージング タイムやタイプを設定します。

このポートに、スタティックに設定されたセキュア アドレスのエージングをイネーブルにする場合は、 static を入力します。

time には、このポートのエージング タイムを指定します。有効な範囲は、0 ~ 1440 分です。時間が 0 の場合、このポートのエージングはディセーブルになります。

type には、次のキーワードのいずれか 1 つを選択します。

absolute :エージング タイプを絶対エージングとして設定します。このポートのすべてのセキュア アドレスは、指定された時間(分)が経過したあとに期限切れとなり、セキュア アドレス リストから削除されます。

(注) 絶対エージング時間は、システム タイマーの進行状況によっては、1 分の差が出る場合があります。

inactivity :エージング タイプを非アクティブ エージングとして設定します。指定された time 期間中にセキュア送信元アドレスからのデータ トラフィックがない場合に限り、このポートのセキュア アドレスが期限切れになります。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show port-security [ interface interface-id ] [ address ]

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ポート上のすべてのセキュア アドレスに対してポート セキュリティ エージングをディセーブルにするには、no switchport port-security aging time インターフェイス コンフィギュレーション コマンドを使用します。静的に設定されたセキュア アドレスに対してだけエージングをディセーブルにするには、no switchport port-security aging static インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポート上のセキュア アドレスのエージング タイムを 2 時間に設定する例を示します。

Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport port-security aging time 120
 

次に、このインターフェイスに設定されたセキュア アドレスに対して、エージングをイネーブルにし、非アクティブ エージング タイプのエージング タイムを 2 分に設定する例を示します。

Switch(config-if)# switchport port-security aging time 2
Switch(config-if)# switchport port-security aging type inactivity
Switch(config-if)# switchport port-security aging static
 

上記のコマンドを確認するには、 show port-security interface interface-id 特権 EXEC コマンドを入力します。

ポート単位のトラフィック制御設定の表示

show interfaces interface-id switchport 特権 EXEC コマンドを使用すると、(他の特性の中から)インターフェイス トラフィックの抑制および制御の設定が表示されます。 show storm-control および show port-security 特権 EXEC コマンドを使用すると、それぞれストーム制御とポート セキュリティ設定が表示されます。

トラフィックの制御情報を表示するには、 表 19-4 の特権 EXEC コマンドを 1 つまたは複数使用します。

 

表 19-4 トラフィック制御ステータスおよび設定を表示するためのコマンド

コマンド
目的

show interfaces [interface-id] switchport

すべてのスイッチング(非ルーティング)ポートまたは指定されたポートの管理ステータスまたは動作ステータスを、ポート ブロッキングおよびポート保護の設定を含めて表示します。

show storm-control [ interface-id ] [ broadcast | multicast | unicast ]

すべてのインターフェイスまたは指定されたインターフェイスに設定されているストーム制御抑制レベルを、指定されたトラフィック タイプについて、またはブロードキャストトラフィック(トラフィック タイプが入力されていない場合)について表示します。

show port-security [ interface interface-id ]

スイッチまたは指定されたインターフェイスのポート セキュリティ設定を、各インターフェイスで許容されるセキュア MAC アドレスの最大数、インターフェイスのセキュア MAC アドレスの数、発生したセキュリティ違反の数、違反モードを含めて表示します。

show port-security [ interface interface-id ] address

すべてのスイッチ インターフェイスまたは指定されたインターフェイスに設定されたすべてのセキュア MAC アドレス、および各アドレスのエージング情報を表示します。