Catalyst 2970 スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.2(25)SEC
ポート単位のトラフィック制御の設定
ポート単位のトラフィック制御の設定
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

ポート単位のトラフィック制御の設定

ストーム制御の設定

ストーム制御の概要

ストーム制御のデフォルト設定

ストーム制御およびスレッシュホールド レベルの設定

保護ポートの設定

保護ポートのデフォルト設定

保護ポート設定時の注意事項

保護ポートの設定

ポート ブロッキングの設定

ポート ブロッキングのデフォルト設定

インターフェイスでのフラッディング トラフィックのブロッキング

ポート セキュリティの設定

ポート セキュリティの概要

セキュアMACアドレス

セキュリティ違反

ポート セキュリティのデフォルト設定

ポート セキュリティの設定時の注意事項

ポート セキュリティのイネーブル化および設定

ポート セキュリティ エージングのイネーブル化および設定

ポート単位のトラフィック制御設定の表示

ポート単位のトラフィック制御の設定

この章では、Catalyst 2970スイッチ上でポート単位のトラフィック制御機能を設定する方法について説明します。


) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスを参照してください。


この章で説明する内容は、次のとおりです。

「ストーム制御の設定」

「保護ポートの設定」

「ポート ブロッキングの設定」

「ポート セキュリティの設定」

「ポート単位のトラフィック制御設定の表示」

ストーム制御の設定

ここでは、次の概念と設定情報について説明します。

「ストーム制御の概要」

「ストーム制御のデフォルト設定」

「ストーム制御およびスレッシュホールド レベルの設定」

ストーム制御の概要

ストーム制御は、物理インターフェイスの1つで発生したブロードキャスト、マルチキャスト、またはユニキャスト ストームよってLAN上のトラフィックが混乱することを防ぎます。LANストームは、LANにパケットがフラッディングした場合に発生します。その結果、トラフィックが極端に増えてネットワーク パフォーマンスが低下します。プロトコルスタックの実装エラー、ネットワーク構成の間違い、またはユーザによって引き起こされるDenial-of-Service(DoS)攻撃もストームの原因になります。

ストーム制御(またはトラフィック抑制)は、インターフェイスからスイッチング バスを通過するパケットをモニタし、パケットがユニキャスト、マルチキャスト、またはブロードキャストのいずれであるかを判別します。スイッチは、1秒間に受け取った特定のタイプのパケットの数をカウントして、事前に定義された抑制レベルのスレッシュホールドとその測定結果を比較します。

ストーム制御は、次のうちのいずれかをトラフィック アクティビティの測定方法に使用します。

帯域幅(ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックが使用できるポートの総帯域幅の割合)

秒単位で受信するパケット(ブロードキャスト、マルチキャスト、ユニキャスト)のトラフィック レート(Cisco IOS Release 12.2(25)SE以降)

秒単位で受信するビット(ブロードキャスト、マルチキャスト、ユニキャスト)のトラフィック レート(Cisco IOS Release 12.2(25)SE以降)

上記の方法のいずれを使用しても、スレッシュホールドに到達すると、ポートはトラフィックをブロックします。トラフィック レートが下限スレッシュホールド(指定されている場合)を下回らないかぎり、ポートはブロックされたままになり、その後、通常の転送が再開されます。下限抑制レベルが指定されていない場合、トラフィック レートが上限抑制レベルを下回らないかぎり、スイッチはすべてのトラフィックをブロックします。一般に、そのレベルが高ければ高いほど、ブロードキャスト ストームに対する保護効果は薄くなります。


) マルチキャスト トラフィックのストーム制御スレッシュホールドに達した場合、Bridge Protocol Data Unit(BPDU;ブリッジ プロトコル データ ユニット)フレーム、Cisco Discovery Protocol(CDP)フレームなどの制御トラフィック以外のマルチキャスト トラフィックはすべてブロックされます。


図20-1のグラフは、一定時間におけるインターフェイス上のブロードキャスト トラフィック パターンを示しています。この例は、マルチキャストおよびユニキャスト トラフィックにも当てはまります。この例では、T1からT2、T4からT5のタイム インターバルで、転送するブロードキャスト トラフィックが設定されたスレッシュホールドを上回っています。指定のトラフィック量がスレッシュホールドを上回ると、次のインターバルで、そのタイプのトラフィックがすべて廃棄されます。したがって、T2とT5のあとのインターバルの間、ブロードキャスト トラフィックがブロックされます。その次のインターバル(たとえば、T3)では、スレッシュホールドを上回らないかぎり、ブロードキャスト トラフィックが再び転送されます。

図20-1 ブロードキャスト ストーム制御の例

 

ストーム制御抑制レベルと1秒間のインターバルを組み合わせて、ストーム制御アルゴリズムの動作を制御します。スレッシュホールドが高いほど、通過するパケット数が多くなります。スレッシュホールド値が100%であれば、トラフィックに対する制限はありません。値を0.0にすると、そのポート上ではすべてのブロードキャスト、マルチキャスト、またはユニキャスト トラフィックがブロックされます。


) パケットは一定の間隔で届くわけではないので、トラフィック アクティビティを測定する1秒間のインターバルがストーム制御の動作を左右する可能性があります。


各トラフィック タイプのスレッシュホールド値を設定するには、 storm-control インターフェイス コンフィギュレーション コマンドを使用します。

ストーム制御のデフォルト設定

デフォルトでは、ユニキャスト、ブロードキャスト、およびマルチキャスト ストーム制御はスイッチ インターフェイス上でディセーブルになります。したがって、抑制レベルは100%です。

ストーム制御およびスレッシュホールド レベルの設定

ポートにストーム制御を設定し、特定のトラフィック タイプで使用するスレッシュホールド レベルを入力します。

ただし、ハードウェアの制約とともに、さまざまなサイズのパケットをどのように数えるかという問題があるので、スレッシュホールドの割合はあくまでも近似値です。着信トラフィックを形成するパケットのサイズによって、実際に適用されるスレッシュホールドは設定されたレベルに対して、数パーセントの差異が生じる可能性があります。


) ストーム制御がサポートされるのは物理インターフェイス上に限られます。CLI(コマンドライン インターフェイス)でコマンドが使用できても、EtherChannelポート チャネル、またはポート チャネルのメンバーである物理インターフェイスではサポートされません。ストーム制御が設定された物理インターフェイスをEtherChannelに参加させる場合、物理インターフェイスのストーム制御設定が実行コンフィギュレーション ファイルから削除されます。


ストーム制御とスレッシュホールド レベルを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

storm-control { broadcast | multicast | unicast } level { level [ level-low ] | bps bps [ bps-low ] | pps pps [ pps-low ]}

ブロードキャスト、マルチキャスト、またはユニキャスト ストーム制御を設定します。デフォルトでは、ストーム制御はディセーブルに設定されています。

キーワードの意味は次のとおりです。

levelには、ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックの上限スレッシュホールド レベルを帯域幅のパーセンテージで指定します(小数点第2位まで)。上限スレッシュホールドに到達すると、ポートはトラフィックをブロックします。指定できる範囲は0.00~100.00です。

(任意)level-lowには、下限スレッシュホールド レベルを帯域幅のパーセンテージで指定します(小数点第2位まで)。この値は上限抑制レベル以下の値である必要があります。トラフィックがこのレベルを下回っていれば、ポートはトラフィックを転送します。下限抑制レベルを設定していない場合、上限抑制レベルと同じ値が設定されます。指定できる範囲は0.00~100.00です。

スレッシュホールドに最大値(100%)を指定した場合、トラフィックの制限はなくなります。スレッシュホールドに0.0を設定すると、そのポート上のすべてのブロードキャスト、マルチキャスト、またはユニキャスト トラフィックがブロックされます。

bps bpsには、ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックの上限スレッシュホールド レベルをビット/秒で指定します(小数点第1位まで)。上限スレッシュホールドに到達すると、ポートはトラフィックをブロックします。指定できる範囲は0.0~
10000000000. 0 です。

(任意)bps-lowには、下限スレッシュホールド レベルをビット/秒で指定します(小数点第1位まで)。この値は上限スレッシュホールド レベル以下の値である必要があります。トラフィックがこのレベルを下回っていれば、ポートはトラフィックを転送します。指定できる範囲は0.0~10000000000.0です。

pps ppsには、ブロードキャスト、マルチキャスト、またはユニキャスト トラフィックの上限スレッシュホールド レベルをパケット/秒で指定します(小数点第1位まで)。上限スレッシュホールドに到達すると、ポートはトラフィックをブロックします。指定できる範囲は0.0~10000000000.0です。

(任意)pps-lowには、下限スレッシュホールド レベルをパケット/秒で指定します(小数点第1位まで)。この値は上限スレッシュホールド レベル以下の値である必要があります。トラフィックがこのレベルを下回っていれば、ポートはトラフィックを転送します。指定できる範囲は 0.0 ~10000000000.0です。

BPSおよびPPSの設定には、スレッシュホールドの数値を大きく設定できるように、サフィックスに測定記号(k、m、gなど)を使用できます。

ステップ 4

storm-control action { shutdown | trap }

ストームが検出された場合に実行するアクションを指定します。デフォルトではトラフィックにフィルタリングを実行し、トラップは送信しない設定です。

ストーム中、ポートをerror-disableの状態にするには、 shutdown キーワードを選択します。

ストームが検出された場合、SNMP(簡易ネットワーク管理プロトコル)トラップを生成するには、 trap キーワードを選択します。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show storm-control [ interface-id ] [ broadcast | multicast | unicast ]

指定したトラフィック タイプについて、インターフェイスで設定したストーム制御抑制レベルを確認します。トラフィック タイプを入力しなかった場合は、ブロードキャスト ストーム制御の設定が表示されます。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルにエントリを保存します。

ストーム制御をディセーブルにするには、 no storm-control { broadcast | multicast | unicast } level インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポート上で、上限抑制レベルを87パーセント、下限抑制レベルを65パーセントに設定し、ユニキャスト ストーム制御をイネーブルにする方法を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# storm-control unicast level 87 65
 

次に、ポート上で、ブロードキャスト アドレスのストーム制御を20パーセントのレベルでイネーブルにする例を示します。ブロードキャスト トラフィックが、トラフィック ストーム制御インターバル内にポートで使用できる総帯域幅のうち、設定された20パーセントのレベルを超えた場合、トラフィック ストーム制御インターバルが終わるまで、スイッチはすべてのブロードキャスト トラフィックを廃棄します。

Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# storm-control broadcast level 20

保護ポートの設定

アプリケーションによっては、あるネイバが生成したトラフィックが別のネイバにわからないように、同一スイッチ上のポート間でレイヤ2トラフィックが転送されないように設定する必要があります。このような環境では、保護ポートを使用すると、スイッチ上のポート間でユニキャスト、ブロードキャスト、またはマルチキャスト トラフィックの交換が確実になくなります。

保護ポートには、次の機能があります。

保護ポートは、同様に保護ポートである他のポートに、トラフィック(ユニキャスト、マルチキャスト、またはブロードキャスト)をすべて転送するわけではありません。レイヤ2では、保護ポート間でデータ トラフックを転送できません。CPUで処理されてソフトウェアで転送される、Protocol Independent Multicast(PIM)パケットのような制御トラフィックのみが転送されます。保護ポート間を通過するトラフィックはすべて、レイヤ3装置を介して転送しなければなりません。

保護ポートと非保護ポート間の転送動作は、通常どおりに進みます。

ここでは、次の設定情報について説明します。

「保護ポートのデフォルト設定」

「保護ポート設定時の注意事項」

「保護ポートの設定」

保護ポートのデフォルト設定

デフォルトでは、保護ポートは定義されません。

保護ポート設定時の注意事項

保護ポートは、物理インターフェイス(GigabitEthernetポート1など)またはEtherChannelグループ(port-channel 5など)に設定できます。ポート チャネルで保護ポートをイネーブルにした場合は、そのポート チャネル グループ内のすべてのポートでイネーブルになります。

保護ポートの設定

ポートを保護ポートとして定義するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport protected

インターフェイスを保護ポートに設定します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show interfaces interface-id switchport

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルにエントリを保存します。

保護ポートをディセーブルにするには、 no switchport protected インターフェイス コンフィギュレーション コマンドを使用します。

次に、保護ポートとしてポートを設定する例を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# switchport protected
Switch(config-if)# end

ポート ブロッキングの設定

デフォルトでは、スイッチは未知の宛先MAC(メディア アクセス制御)アドレスが指定されたパケットをすべてのポートからフラッディングします。未知のユニキャストおよびマルチキャスト トラフィックが保護ポートに転送されると、セキュリティ上、問題になる可能性があります。未知のユニキャストおよびマルチキャスト トラフィックがあるポートから別のポートに転送されないようにするために、(保護または非保護)ポートをブロックし、未知のユニキャストまたはマルチキャスト パケットが他のポートにフラッディングされないようにします。

ここでは、次の設定情報について説明します。

「ポート ブロッキングのデフォルト設定」

「インターフェイスでのフラッディング トラフィックのブロッキング」

ポート ブロッキングのデフォルト設定

デフォルトでは、ポートから未知のマルチキャストおよびユニキャスト トラフィックのフラッディングがブロックされず、すべてのポートにこのようなパケットがフラッディングされます。

インターフェイスでのフラッディング トラフィックのブロッキング


) インターフェイスは物理インターフェイスまたはEtherChannelグループのいずれも可能です。ポート チャネルのマルチキャストまたはユニキャスト トラフィックをブロックすると、ポート チャネル グループのすべてのポートでブロックされます。


マルチキャストおよびユニキャスト パケットのフラッディングをインターフェイスでディセーブルにするには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport block multicast

ポートからの未知のマルチキャストの転送をブロックします。

ステップ 4

switchport block unicast

ポートからの未知のユニキャストの転送をブロックします。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show interfaces interface-id switchport

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルにエントリを保存します。

ポート上でトラフィックがブロックされずに、通常の転送が行われるデフォルトの状態にインターフェイスを戻すには、 no switchport block { multicast | unicast }インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポート上のユニキャストおよびマルチキャスト フラッディングをブロックする例を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# switchport block multicast
Switch(config-if)# switchport block unicast
Switch(config-if)# end

ポート セキュリティの設定

ポート セキュリティ機能を使用すると、ポートへのアクセスを許可するステーションのMACアドレスを制限および識別して、インターフェイスへの入力を制限できます。セキュア ポートにセキュアMACアドレスを割り当てると、ポートは定義されたアドレス グループ以外の送信元アドレスを持つパケットを転送しません。セキュアMACアドレス数を1つに制限し、単一のセキュアMACアドレスを割り当てると、そのポートに接続されたワークステーションに、ポートの帯域幅全体が保証されます。

セキュア ポートとしてポートを設定し、セキュアMACアドレスが最大数に達した場合、ポートにアクセスを試みるステーションのMACアドレスが識別されたセキュアMACアドレスのいずれとも一致しないので、セキュリティ違反が発生します。また、あるセキュア ポート上でセキュアMACアドレスが設定または学習されているステーションが、別のセキュア ポートにアクセスしようとしたときにも、違反のフラグが立てられます。

ここでは、次の概念と設定情報について説明します。

「ポート セキュリティの概要」

「ポート セキュリティのデフォルト設定」

「ポート セキュリティの設定時の注意事項」

「ポート セキュリティのイネーブル化および設定」

「ポート セキュリティ エージングのイネーブル化および設定」

ポート セキュリティの概要

ここでは、次の概要について説明します。

「セキュアMACアドレス」

「セキュリティ違反」

セキュアMACアドレス

ポートで許可されるセキュア アドレスの最大数を設定するには、 switchport port-security maximum value インターフェイス コンフィギュレーション コマンドを使用します。


) 最大値をインターフェイス上ですでに設定されているセキュア アドレスの数より小さい値に設定しようとすると、コマンドが拒否されます。


スイッチは、次のセキュアMACアドレス タイプをサポートします。

スタティック セキュアMACアドレス ― switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して手動で設定され、アドレス テーブルに保管されたのち、スイッチの実行コンフィギュレーションに追加されます。

ダイナミック セキュアMACアドレス ― 動的に設定されてアドレス テーブルにのみ保管され、スイッチの再起動時に削除されます。

スティッキー セキュアMACアドレス ― 動的に学習することも、手動で設定することもできます。アドレス テーブルに保管され、実行コンフィギュレーションに追加されます。このアドレスがコンフィギュレーション ファイルに保存されていると、スイッチの再起動時にインターフェイスはこれらを動的に再設定する必要がありません。

スティッキー ラーニング をイネーブルにすると、ダイナミックMACアドレスをスティッキー セキュアMACアドレスに変換して実行コンフィギュレーションに追加するようにインターフェイスを設定できます。スティッキー ラーニングをイネーブルにするには、 switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを入力します。このコマンドを入力すると、インターフェイスはスティッキー ラーニングがイネーブルになる前に学習したものを含め、すべてのダイナミック セキュアMACアドレスをスティッキー セキュアMACアドレスに変換します。すべてのスティッキー セキュアMACアドレスは実行コンフィギュレーションに追加されます。

スティッキー セキュアMACアドレスは、コンフィギュレーション ファイル(スイッチが再起動されるたびに使用されるスタートアップ コンフィギュレーション)に、自動的には反映されません。スティッキー セキュアMACアドレスをコンフィギュレーション ファイルに保存すると、スイッチの再起動時にインターフェイスはこれらを再び学習する必要がありません。スティッキー セキュア アドレスが保存されていない場合、アドレスは失われます。

スティッキー ラーニングをディセーブルにした場合、スティッキー セキュアMACアドレスはダイナミック セキュアMACアドレスに変換され、実行コンフィギュレーションから削除されます。

スイッチに設定可能なセキュアMACアドレスの最大数は、システムで使用可能なMACアドレスの最大数によって設定されます。この数字は、他のレイヤ2機能で使用されるアドレスやインターフェイスに設定された他のセキュアMACアドレス等を含む、使用可能なMACアドレスの総数です。

セキュリティ違反

次のいずれかの状況が発生すると、セキュリティ違反になります。

最大数のセキュアMACアドレスがアドレス テーブルに追加されている状態で、アドレス テーブルに未登録のMACアドレスを持つステーションがインターフェイスにアクセスしようとした場合。

あるセキュア インターフェイスで学習または設定されたアドレスが、同一VLAN(仮想LAN)内の別のセキュア インターフェイスで使用された場合。

違反が発生した場合の対処に基づいて、次の3種類の違反モードのいずれかにインターフェイスを設定できます。

protect(保護) ― セキュアMACアドレスの数がポートで許可されている最大限度に達すると、最大値を下回るまで十分な数のセキュアMACアドレスを削除するか、許可アドレス数を増やさないかぎり、未知の送信元アドレスを持つパケットは廃棄されます。セキュリティ違反が発生したことは通知されません。


) トランク ポートにprotect違反モードを設定することは推奨しません。protectモードの場合、ポートが最大限度に達していなくてもいずれかのVLANが最大限度に達すると、学習をディセーブルにします。


restict(制限) ― セキュアMACアドレスの数がポートで許可されている最大限度に達すると、最大値を下回るまで十分な数のセキュアMACアドレスを削除するか、許可アドレス数を増やさないかぎり、未知の送信元アドレスを持つパケットは廃棄されます。このモードでは、セキュリティ違反が発生したことが通知されます。SNMPトラップが送信されてSyslogメッセージがログされ、違反カウンタが増加します。

shutdown(シャットダウン) ― ポート セキュリティ違反により、インターフェイスがerrdisableになり、ただちにシャットダウンされます。そのあと、ポートのLEDが消灯します。SNMPトラップが送信されてSyslogメッセージがログされ、違反カウンタが増加します。セキュア ポートがerrdisableステートの場合は、 errdisable recovery cause psecure-violation グローバル コンフィギュレーション コマンドを入力してこのステートを解除するか、 shutdown および no shutdown インターフェイス コンフィギュレーション コマンドを入力して手動で再びイネーブルにできます。これがデフォルトのモードです。

表20-1 に、ポート セキュリティをインターフェイスに設定した場合の違反モードおよび取られる処置について示します。

 

表20-1 セキュリティ違反モードの処置

違反モード
トラフィックの転送1
SNMPトラップの送信
Syslogメッセージの送信
エラー メッセージの表示2
違反カウンタの増加
ポートの
シャットダウン

protect

なし

なし

なし

なし

なし

なし

restrict

なし

あり

あり

なし

あり

なし

shutdown

なし

あり

あり

なし

あり

あり

1.十分な数のセキュアMACアドレスを削除するまで未知の送信元アドレスを持つパケットが廃棄されます。

2.セキュリティ違反を引き起こすアドレスを手動で設定した場合、スイッチがエラー メッセージを返します。

ポート セキュリティのデフォルト設定

表20-2 に、インターフェイスに対するポート セキュリティのデフォルト設定を示します。

 

表20-2 ポート セキュリティのデフォルト設定

機能
デフォルト設定

ポート セキュリティ

ポート上でディセーブル

スティッキー アドレス ラーニング

ディセーブル

ポートあたりのセキュアMACアドレスの最大数

1

違反モード

shutdown(シャットダウン)。セキュアMACアドレスが最大数を上回ると、ポートがシャットダウンします。

ポート セキュリティ エージング

ディセーブル。エージング タイムは0

スタティック エージングはディセーブル

タイプはabsolute

ポート セキュリティの設定時の注意事項

ポート セキュリティを設定するときには、次の注意事項に従ってください。

ポート セキュリティを設定できるのは、スタティック アクセス ポートまたはトランク ポートに限られます。セキュア ポートをダイナミック アクセス ポートにすることはできません。

セキュア ポートをSwitched Port Analyzer(SPAN;スイッチド ポート アナライザ)の宛先ポートにすることはできません。

セキュア ポートをGigabit EtherChannelポート グループに所属させることはできません。


) 音声VLANはアクセス ポートでのみサポートされており、設定可能であってもトランク ポートではサポートされていません。


音声VLANも設定しているインターフェイス上でポート セキュリティをイネーブルにする場合、ポートで許容されるセキュア アドレスの最大数を、アクセスVLANにおけるセキュア アドレスの最大数に2を足した数に設定しなければなりません。ポートをCisco IP Phoneに接続している場合、IP Phoneには最大で2つのMACアドレスが必要になります。IP Phoneアドレスは、音声VLANで学習され、アクセスVLANでも学習される場合があります。PCをIP Phoneに接続する場合、追加のMACアドレスが必要になります。

インターフェイスの最大セキュア アドレス値を入力したときに、新しい値がそれまでの値より大きいと、それまで設定されていた値が新しい値によって上書きされます。新しい値が以前の値より小さく、インターフェイス上ですでに設定されているセキュア アドレスの数が新しい値を上回る場合は、コマンドが拒否されます。

スイッチは、スティッキー セキュアMACアドレスのポート セキュリティ エージングをサポートしていません。

表20-3 に、他のポートベース機能と互換性のあるポート セキュリティについてまとめます。

 

表20-3 他のスイッチ機能とポート セキュリティとの互換性

ポート タイプまたはポートの機能
ポート セキュリティとの互換性

DTP3ポート4

なし

トランク ポート

あり

ダイナミック アクセス ポート5

なし

Switched Port Analyzer(SPAN;スイッチド ポート アナライザ)送信元ポート

あり

SPAN宛先ポート

なし

EtherChannel

なし

保護ポート

あり

IEEE 802.1xポート

あり

音声VLANポート6

あり

Flex Link

あり

3.DTP = Dynamic Trunking Protocol

4.switchport mode dynamicインターフェイス コンフィギュレーション コマンドで設定されたポート。

5.switchport access vlan dynamicインターフェイス コンフィギュレーション コマンドで設定されたVLAN Query Protocol(VQP)ポート。

6.ポートに最大限可能なセキュアなアドレスを設定します(アクセスVLANで可能なセキュアなアドレスの最大数に2を加えた数)。

ポート セキュリティのイネーブル化および設定

ポートへのアクセスを許可するステーションのMACアドレスを制限および識別することによって、インターフェイスへの入力を制限するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport mode { access | trunk }

インターフェイス スイッチポート モードをaccessまたはtrunkに設定します。デフォルト モード(dynamic auto)のインターフェイスは、セキュア ポートとして設定できません。

ステップ 4

switchport voice vlan vlan-id

ポート上で音声VLANをイネーブルにします。

vlan-id ― 音声トラフィックに使用するVLANを指定します。

ステップ 5

switchport port-security

インターフェイス上でポート セキュリティをイネーブルにします。

ステップ 6

switchport port-security [maximum value [vlan {vlan-list | {access | voice}}]]

(任意)インターフェイスに対するセキュアMACアドレスの最大数を設定します。スイッチに設定可能なセキュアMACアドレスの最大数は、システムで使用可能なMACアドレスの最大数によって設定されます。この数字は、他のレイヤ2機能で使用されるアドレスやインターフェイスに設定された他のセキュアMACアドレス等を含む、使用可能なMACアドレスの総数です。

(任意) vlan ― VLAN単位の最大値を設定します。

vlan キーワードを入力したあと、次のオプションのいずれか1つを入力してください。

vlan-list ― トランク ポート上で、ハイフンで区切った範囲のVLAN、またはカンマで区切った一連のVLANにおける、VLAN単位の最大値を設定できます。指定されなかったVLANには、VLAN単位の最大値が使用されます。

access ― アクセス ポート上で、アクセスVLANとしてVLANを指定します。

voice ― アクセス ポート上で、音声VLANとしてVLANを指定します。


) voiceキーワードは、音声VLANがポートに設定されていて、さらにそのポートがアクセスVLANでない場合のみ有効です。


ステップ 7

switchport port-security violation { protect | restrict | shutdown }

(任意)違反モード、すなわちセキュリティ違反が検出されたときの対応を、次のいずれかに設定します。

protect (保護) ― ポート セキュアMACアドレスの数がポートで許可されている最大限度に達すると、最大値を下回るまで十分な数のセキュアMACアドレスを削除するか、または許可アドレス数を増やさないかぎり、未知の送信元アドレスを持つパケットは廃棄されます。セキュリティ違反が発生したことは通知されません。


) トランク ポートにprotectモードを設定することは推奨しません。protectモードの場合、ポートが最大限度に達していなくてもいずれかのVLANが最大限度に達すると、ラーニングをディセーブルにします。


restrict ― セキュアMACアドレスの数がポートで許可されている最大限度に達すると、十分な数のセキュアMACアドレスを削除するか、または許可アドレス数を増やさないかぎり、未知の送信元アドレスを持つパケットは廃棄されます。SNMPトラップが送信されてSyslogメッセージがログされ、違反カウンタが増加します。

shutdown ― 違反が発生すると、インターフェイスが
errdisableになり、ポートのLEDが消灯します。SNMPトラップが送信されてSyslogメッセージがログされ、違反カウンタが増加します。


) セキュア ポートがerrdisableステートの場合は、
errdisable recovery cause
psecure-violationグローバル コンフィギュレーション コマンドを入力してこのステートを解除するか、shutdownおよびno shutdownインターフェイス コンフィギュレーション コマンドを入力して手動で再びイネーブルにできます。


ステップ 8

switchport port-security [mac-address mac-address [vlan { vlan-id | {access | voice}}]

(任意)インターフェイスのセキュアMACアドレスを入力します。このコマンドを使用すると、最大数のセキュアMACアドレスを入力できます。設定したセキュアMACアドレスが最大数より少ない場合、残りのMACアドレスは動的に学習されます。


) このコマンドの入力後にスティッキー ラーニングをイネーブルにすると、動的に学習されたセキュア アドレスがスティッキー セキュアMACアドレスに変換されて実行コンフィギュレーションに追加されます。


(任意) vlan ― VLAN単位の最大値を設定します。

vlan キーワードを入力したあと、次のオプションのいずれか1つを入力してください。

vlan-id ― トランク ポートで、VLAN IDおよびMACアドレスを指定できます。VLAN IDを指定しない場合、ネイティブVLANが使用されます。

access ― アクセス ポート上で、アクセスVLANとしてVLANを指定します。

voice ― アクセス ポート上で、音声VLANとしてVLANを指定します。


) voiceキーワードは、音声VLANがポートに設定されていて、さらにそのポートがアクセスVLANでない場合のみ有効です。


ステップ 9

switchport port-security mac-address sticky

(任意)インターフェイスでスティッキー ラーニングをイネーブルにします。

ステップ 10

switchport port-security mac-address sticky [mac-address | vlan {vlan-id | {access | voice}}]

(任意)スティッキー セキュアMACアドレスを入力し、必要な回数だけコマンドを繰り返します。設定したセキュアMACアドレスの数が最大数より少ない場合、残りのMACアドレスは動的に学習されてスティッキー セキュアMACアドレスに変換され、実行コンフィギュレーションに追加されます。


) このコマンドの入力前にスティッキー ラーニングをイネーブルにしないと、エラー メッセージが表示されてスティッキー セキュアMACアドレスアドレスを入力できません。


(任意) vlan ― VLAN単位の最大値を設定します。

vlan キーワードを入力したあと、次のオプションのいずれか1つを入力してください。

vlan-id ― トランク ポートで、VLAN IDおよびMACアドレスを指定できます。VLAN IDを指定しない場合、ネイティブVLANが使用されます。

access ― アクセス ポート上で、アクセスVLANとしてVLANを指定します。

voice ― アクセス ポート上で、音声VLANとしてVLANを指定します。


) voiceキーワードは、音声VLANがポートに設定されていて、さらにそのポートがアクセスVLANでない場合のみ有効です。


ステップ 11

end

イネーブルEXECモードに戻ります。

ステップ 12

show port-security

設定を確認します。

ステップ 13

copy running-config startup-config

(任意)コンフィギュレーション ファイルにエントリを保存します。

セキュア ポートではないデフォルトの状態にインターフェイスを戻す場合は、 no switchport port-security インターフェイス コンフィギュレーション コマンドを使用します。スティッキー ラーニングがイネーブルの状態でこのコマンドを入力すると、スティッキー セキュア アドレスが実行コンフィギュレーションの一部に残りますが、アドレス テーブルからは削除されます。ここですべてのアドレスが動的に学習されます。

インターフェイスのセキュアMACアドレス数をデフォルトに戻す場合は、 no switchport port-security maximum value インターフェイス コンフィギュレーション コマンドを使用します。違反モードをデフォルト状態(shutdownモード)に戻す場合は、 no switchport port-security violation { protocol | restrict }インターフェイス コンフィギュレーション コマンドを使用します。

インターフェイスでスティッキー ラーニングをディセーブルにするには、 no switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを使用します。インターフェイスがスティッキー セキュアMACアドレスをダイナミック セキュア アドレスに変換します。ただし、スティッキーMACアドレスによる設定を保存した場合、 no switchport port-security mac-address sticky コマンドの入力後に設定をもう一度保存しないと、スイッチの再起動時にスティッキー アドレスが復元されます。

MACアドレス テーブルからスイッチまたはインターフェイス上のセキュア アドレスすべてまたは特定(設定、ダイナミック、スティッキー)のセキュア アドレスすべてを削除するには、clear port-security { all | configured | dynamic | sticky }イネーブルEXECコマンドを使用します。

アドレス テーブルから特定のセキュアMACアドレスを削除するには、 no switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用します。インターフェイス上のすべてのダイナミック セキュア アドレスをアドレス テーブルから削除するには、 no switchport port-security インターフェイス コンフィギュレーション コマンドのあとに、(インターフェイスでポート セキュリティを再びイネーブルにするために) switchport port-security コマンドを入力します。 no switchport port-security コマンドを使用する前に、 no switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを使用してスティッキー セキュアMACアドレスをダイナミック セキュアMACアドレスに変換した場合、手動で設定されたものを除き、インターフェイス上のすべてのセキュア アドレスが削除されます。

設定済みのセキュアMACアドレスをアドレス テーブルから明確に削除する場合、 no switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用しなければなりません。

次に、ポート上でポート セキュリティをイネーブルにし、セキュア アドレスの最大数を50に設定する例を示します。違反モードはデフォルトです。スタティック セキュア MACアドレスは設定せず、スティッキー ラーニングはイネーブルです。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 50
Switch(config-if)# switchport port-security mac-address sticky
 

次に、ポートのVLAN 3上にスタティック セキュアMACアドレスを設定する例を示します。

Switch(config)# interface gigabitethernet0/2
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security mac-address 0000.02000.0004 vlan 3
 

次に、ポートのスティッキー ポート セキュリティをイネーブルにする例を示します。データVLANおよび音声VLANのMACアドレスを手動で設定し、セキュア アドレスの総数を20に設定します(データVLANに10、音声VLANに10割り当てます)。

Switch(config)# interface FastEthernet0/1
Switch(config-if)# switchport access vlan 21
Switch(config-if)# switchport mode access
Switch(config-if)# switchport voice vlan 22
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 20
Switch(config-if)# switchport port-security violation restrict
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security mac-address sticky 0000.0000.0002
Switch(config-if)# switchport port-security mac-address 0000.0000.0003
Switch(config-if)# switchport port-security mac-address sticky 0000.0000.0001 vlan voice
Switch(config-if)# switchport port-security mac-address 0000.0000.0004 vlan voice
Switch(config-if)# switchport port-security maximum 10 vlan access
Switch(config-if)# switchport port-security maximum 10 vlan voice

ポート セキュリティ エージングのイネーブル化および設定

ポート上のすべてのセキュア アドレスにエージング タイムを設定するには、ポート セキュリティ エージングを使用します。ポートごとに2つのタイプのエージングがサポートされています。

absolute ― 指定されたエージング タイムの経過後に、ポート上のセキュア アドレスが削除されます。

inactivity ― 指定されたエージング タイムの間、セキュア アドレスが非アクティブであった場合に限り、ポート上のセキュア アドレスが削除されます。

この機能を使用すると、既存のセキュアMACアドレスを手動で削除しなくても、セキュア ポート上の装置を削除および追加し、なおかつポート上のセキュア アドレス数を制限できます。セキュア アドレスのエージングは、ポート単位でイネーブルまたはディセーブルにできます。

ポート セキュリティ エージングを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

switchport port-security aging { static | time time | type { absolute | inactivity} }

セキュア ポートのスタティック エージングをイネーブルまたはディセーブルにします。またはエージング タイムやタイプを設定します。


) スイッチは、スティッキー セキュア アドレスのポート セキュリティ エージングをサポートしていません。


このポートに静的に設定されたセキュア アドレスのエージングをイネーブルにするには、 static を入力します。

time には、このポートのエージング タイムを指定します。指定できる範囲は、0~1440分です。

type には、次のキーワードのいずれか1つを選択します。

absolute ― エージング タイプを絶対エージングとして設定します。このポートのすべてのセキュア アドレスは、指定されたtime(分)が経過したあとに期限切れとなり、セキュア アドレス リストから削除されます。

inactivity ― エージング タイプを非アクティブ エージングとして設定します。指定されたtime期間中にセキュア送信元アドレスからのデータ トラフィックがない場合に限り、このポートのセキュア アドレスが期限切れになります。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show port-security [ interface interface-id ] [ address ]

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルにエントリを保存します。

ポート上のすべてのセキュア アドレスに対してポート セキュリティ エージングをディセーブルにするには、no switchport port-security aging time インターフェイス コンフィギュレーション コマンドを使用します。静的に設定されたセキュア アドレスに対してだけエージングをディセーブルにするには、no switchport port-security aging static インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポート上のセキュア アドレスのエージング タイムを2時間に設定する例を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# switchport port-security aging time 120
 

次に、このインターフェイスに設定されたセキュア アドレスに対して、エージングをイネーブルにし、非アクティブ エージング タイプのエージング タイムを2分に設定する例を示します。

Switch(config-if)# switchport port-security aging time 2
Switch(config-if)# switchport port-security aging type inactivity
Switch(config-if)# switchport port-security aging static
 

上記のコマンドを確認するには、 show port-security interface interface-id イネーブルEXECコマンドを使用します。

ポート単位のトラフィック制御設定の表示

show interfaces interface-id switchport イネーブルEXECコマンドを使用すると、(他の特性の中から)インターフェイス トラフィックの抑制および制御の設定が表示されます。 show storm-control および show port-security イネーブルEXECコマンドを使用すると、ストーム制御およびポート セキュリティの設定が表示されます。

トラフィックの制御情報を表示するには、 表20-4 のイネーブルEXECコマンドを1つまたは複数使用します。

 

表20-4 トラフィック制御ステータスおよび設定を表示するためのコマンド

コマンド
目的

show interfaces [interface-id] switchport

すべてのスイッチング(非ルーティング)ポートまたは指定されたポートの管理ステータスまたは動作ステータスを、ポート ブロッキングおよびポート保護の設定を含めて表示します。

show storm-control [ interface-id ] [ broadcast | multicast | unicast ]

すべてのインターフェイスまたは指定されたインターフェイスに設定されているストーム制御抑制レベルを、指定されたトラフィック タイプについて、またはブロードキャストトラフィック(トラフィック タイプが入力されていない場合)について表示します。

show port-security [ interface interface-id ]

スイッチまたは指定されたインターフェイスのポート セキュリティ設定を、各インターフェイスで許容されるセキュアMACアドレスの最大数、インターフェイスのセキュアMACアドレスの数、発生したセキュリティ違反の数、違反モードを含めて表示します。

show port-security [ interface interface-id ] address

すべてのスイッチ インターフェイスまたは指定されたインターフェイスに設定されたすべてのセキュアMACアドレス、および各アドレスのエージング情報を表示します。

show port-security interface interface-id vlan

指定されたインターフェイスにVLAN単位で設定されているセキュアMACアドレスの数を表示します。