Catalyst 4000 ファミリー スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド,Cisco IOS Release 12.1(13)EW
ポート セキュリティの設定
ポート セキュリティの設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

ポート セキュリティの設定

ポート セキュリティの概要

デフォルトのポート セキュリティ設定

ポート セキュリティの注意事項および制約事項

ポート セキュリティの設定

インターフェイスでのポート セキュリティの設定

ポート セキュリティ エージングの設定

ポート セキュリティ設定の表示

ポート セキュリティの設定

この章では、ポート セキュリティ機能を設定する手順について説明します。


) この章で使用しているコマンドの構文および使用方法の詳細については、『Cisco IOS Command Reference for the Catalyst 4000 Family Switch』を参照してください。


この章の内容は、次のとおりです。

「ポート セキュリティの概要」

「デフォルトのポート セキュリティ設定」

「ポート セキュリティの注意事項および制約事項」

「ポート セキュリティの設定」

「ポート セキュリティ設定の表示」

ポート セキュリティの概要

ポート セキュリティ機能を使用してポートへのアクセスを許可されたワークステーションのMAC(メディア アクセス制御)アドレスを制限、識別し、インターフェイスへの入力を制限することができます。セキュア ポートにセキュアMACアドレスを割り当てると、ポートは定義アドレス グループの外にある送信元アドレスを持つパケットを転送しません。セキュアMACアドレスの数を1つに制限して単一セキュアMACアドレスを割り当てると、そのポートに接続されているワークステーションはポートの全帯域を確保します。

ポートがセキュア ポートに設定され、セキュアMACアドレスの最大数に達した場合、ポートにアクセスしようとするワークステーションのMACアドレスが、指定されたセキュアMACアドレスと異なっていると、セキュリティ違反が発生します。

ポートに最大セキュアMACアドレス数を設定すると、セキュア アドレスは次のいずれかの方法でアドレス テーブルに追加されます。

switchport port-security mac-address mac_address インターフェイス コンフィギュレーション コマンドを使用して、すべてのセキュアMACアドレスを設定できます。

ポートは、接続デバイスのMACアドレスを使ってセキュアMACアドレスを動的に設定します。

いくつかのアドレスを設定し、残りを動的に設定することも可能です。


) ポートがシャット ダウンした場合、動的に学習されたアドレスはすべて削除されます。


最小セキュアMACアドレス数を設定すると、アドレスはアドレス テーブルに保存されます。接続デバイスがポートの全帯域を使用できるようにするには、接続デバイスのMACアドレスを設定し、最大アドレス数を1に設定します(デフォルト設定)。

最大セキュアMACアドレス数がアドレス テーブルに追加されていて、アドレス テーブルにないMACアドレスのワークステーションがインターフェイスにアクセスしようとすると、セキュリティ違反が発生します。

次のいずれかの違反モードをインターフェイスに設定できます。これらのモードは、違反が発生した場合に取るべき処置に基づいています。

Restrict ― ポート セキュリティ違反によりデータが制限され、セキュリティ違反カウンタが増加し、SNMP(簡易ネットワーク管理プロトコル)通知が生成されます。SNMPトラップが生成される速度は、snmp-server enable traps port-security trap-rateコマンドで制御できます。デフォルト値(0)の場合、SNMPトラップはセキュリティ違反が発生するたびに生成されます。

Shutdown ― ポート セキュリティ違反が発生すると、インターフェイスが即座にシャットダウンします。セキュア ポートがエラー ディセーブル ステートの場合、 errdisable recovery cause psecure_violation グローバル コンフィギュレーション コマンドを入力してこのステートを解除したり、または shutdown および no shut down インターフェイス コンフィギュレーション コマンドを入力して手動で再イネーブルにすることができます。これがデフォルト設定です。

また、 errdisable recovery interval interval コマンドを入力して、 指定したエラー ディセーブル理由から回復する時間(デフォルトは300秒)をカスタマイズすることも可能です。

デフォルトのポート セキュリティ設定

表 25-1 に、インターフェイスのデフォルトのポート セキュリティ設定を示します。

 

表 25-1 デフォルトのポート セキュリティ設定

機能
デフォルト設定

ポート セキュリティ

ポートでディセーブル

最大セキュアMACアドレス数

1

違反モード

Shutdown。最大セキュアMACアドレス数を超過した場合にポートがシャットダウンし、SNMPトラップ通知が送信されます。

エージング

ディセーブル

エージング タイプ

絶対

スタティック エージング

ディセーブル

ポート セキュリティの注意事項および制約事項

ポート セキュリティの設定時には、次の注意事項に従ってください。

セキュア ポートをトランク ポートにできません。

セキュア ポートをSwitch Port Analyzer(SPAN;スイッチ ポート アナライザ)の宛先ポートにできません。

セキュア ポートは、EtherChannelのポートチャネル インターフェイスに属することができません。

セキュア ポートを802.1xポートにできません。セキュア ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1xイネーブル ポートをセキュア ポートに変更しようとすると、エラー メッセージが表示され、セキュリティ設定は変更されません。

セキュア ポートおよびスタティックMACアドレス設定は、相互に排他的です。

ポート セキュリティの設定

ここでは、ポート セキュリティを設定する方法について説明します。

「インターフェイスでのポート セキュリティの設定」

「ポート セキュリティ エージングの設定」

インターフェイスでのポート セキュリティの設定

ポートのアクセスを許可されたステーションのMACアドレスを制限、識別して、ポートのトラフィックを制限するには、次の作業を行います。

 

コマンド
説明

ステップ 1

Switch(config)# interface interface_id

インターフェイス コンフィギュレーション モードを開始して、設定する物理インターフェイス( gigabitethernet 3/1 など)を入力します。

ステップ 2

Switch(config-if)# switchport mode access

インターフェイス モードをaccessに設定します。デフォルト モード(dynamic desirable)のインターフェイスをセキュア ポートに設定することはできません。

ステップ 3

Switch(config-if)# switchport port-security

インターフェイス上でポート セキュリティをイネーブルにします。

ステップ 4

Switch(config-if)# switchport port-security maximum value

(任意)インターフェイスの最大セキュアMACアドレス数を設定します。指定できる範囲は1~1024です。デフォルトは1です。

ステップ 5

Switch(config-if)# switchport port-security violation { restrict | shutdown }

(任意)違反モードを設定します。セキュリティ違反が発生した場合に、次のいずれかの処置を実行します。

restrict ― ポート セキュリティ違反によりデータが制限され、セキュリティ違反カウンタが増加して、SNMPトラップ通知が生成されます。

shutdown ― セキュリティ違反が発生すると、インターフェイスがエラー ディセーブルになります。


) セキュア ポートがエラーディセーブル ステートの場合、 errdisable recovery cause psecure-violationグローバル コンフィギュレーション コマンドを入力してこのステートを解除したり、またshutdownおよびno shut downインターフェイス コンフィギュレーション コマンドを入力して手動で再イネーブルにすることができます。


ステップ 6

Switch(config)#
snmp-server enable traps port-security
Switch(config)#
snmp-server enable traps port-security trap-rate

ポート セキュリティのSNMPトラップを設定します。

ステップ 7

Switch(config-if)# switchport port-security mac-address mac_address

(任意)インターフェイスのセキュアMACアドレスを入力します。このコマンドを使用して最大セキュアMACアドレス数を入力できます。設定したセキュアMACアドレスが最大数より少ない場合、残りのMACアドレスは動的に学習されます。

ステップ 8

Switch(config-if)# end

イネーブルEXECモードに戻ります。

ステップ 9

Switch# show port-security address
interface interface_id
Switch# show port-security address

エントリを確認します。

インターフェイスをセキュア ポートのないデフォルトの状態に戻すには、 no switchport port-security インターフェイス コンフィギュレーション コマンドを使用します。

インターフェイスをデフォルトのセキュアMACアドレス数に戻すには、no switchport port-security maximum value を使用します。

MACアドレスをアドレス テーブルから削除するには、 no switchport port-security mac-address mac_address コマンドを使用します。

違反モードをデフォルトの状態(シャットダウン モード)に戻すには、 no switchport port-security violation { restrict | shutdown } コマンドを使用します。

次に、ファスト イーサネット ポート12のポート セキュリティをイネーブルにし、最大セキュア アドレス数を5に設定する例を示します。デフォルトは違反モードで、セキュアMACアドレスは設定しません。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface fastethernet 3/12
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 5
Switch(config-if)# end
Switch# show port-security interface fastethernet 3/12
Port Security :Enabled
Port Status :Secure-up
Violation Mode :Shutdown
Aging Time :0
Aging Type :Absolute
SecureStatic Address Aging :Enabled
Maximum MAC Addresses :5
Total MAC Addresses :0
Configured MAC Addresses :0
Last Source Address :0000.0000.0401
Security Violation Count :0
 

次に、ファスト イーサネット ポート12にセキュアMACアドレスを設定し、設定を確認する例を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface fastethernet 5/12
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security mac-address 1000.2000.3000
Switch(config-if)# end
Switch#sh port-security address
Secure Mac Address Table
-------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 1000.2000.3000 SecureConfigured Fa5/12 15 (I)

ポート セキュリティ エージングの設定

ポート セキュリティ エージングを使用して、ポート上のすべてのセキュア アドレスにエージング タイムおよびエージング タイプを設定できます。

この機能を使用すると、既存のセキュアMACアドレスを手動で削除しなくても、ポートのセキュア アドレス数を制限しながら、セキュア ポート上のPCを削除および追加できます。

ポート セキュリティ エージングを設定するには、次の作業を行います。

 

コマンド
説明

ステップ 1

Switch(config)# interface interface_id

ポート セキュリティ エージングをイネーブルにするポートのインターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Switch(config-if)# switchport port-security
[ aging {static | time aging_time | type {absolute | inactivity} ]

セキュア ポートのエージング タイムを設定します。

staticキーワードは、このポートの静的に設定されたセキュア アドレスのエージングをイネーブルにします。

time aging_timeキーワードは、 このポートのエージング タイムを指定します。aging_timeの有効範囲は0~1440分です。時間が0の場合、このポートのエージングはディセーブルです。

typeキーワードは、エージング タイプをabsoluteまたはinactiveに設定します。絶対エージングの場合、このポートのすべてのセキュア アドレスは指定した時間(分)が経過した後に期限切れとなり、セキュア アドレス リストから削除されます。非アクティブ エージングの場合、指定された時間にセキュア送信元アドレスからのデータ トラフィックがない場合のみ、このポートのセキュア アドレスが期限切れとなります。

ステップ 3

Switch(config-if)# end

イネーブルEXECモードに戻ります。

ステップ 4

Switch# show port security [ interface interface_id ] [ address ]

エントリを確認します。

ポート上のすべてのセキュア アドレスに対してポート セキュリティ エージングをディセーブルにするには、no switchport port-security aging time インターフェイス コンフィギュレーション コマンドを使用します。

次に、インターフェイスFast Ethernet 5/1のセキュア アドレスのエージング タイムを2時間に設定する例を示します。

Switch(config)# interface fastethernet 5/1
Switch(config-if)# switchport port-security aging time 120
 

次に、エージング タイムを2分に設定する例を示します。

Switch(config-if)# switchport port-security aging time 2
 

上記のコマンドを確認するには、 show port-security interface interface_id イネーブルEXECコマンドを使用します。

ポート セキュリティ設定の表示

show port-security コマンドを使用すると、インターフェイスまたはスイッチのポート セキュリティ設定が表示されます

トラフィック制御情報を表示するには、次の1つまたは複数の作業を行います。

 

コマンド
説明

Switch# show port-security [ interface interface_id ]

スイッチまたは指定したインターフェイスのポート セキュリティ設定を表示します。表示される内容は、各インターフェイスで許可された最大セキュアMACアドレス数、インターフェイスのセキュアMACアドレス数、発生したセキュリティ違反数、および違反モードです。

Switch# show port-security [ interface interface_id ] address

すべてのスイッチ インターフェイスまたは指定したインターフェイスに設定されたすべてのセキュアMACアドレス、および各アドレスのエージング情報を表示します。

次に、インターフェイスを入力しなかった場合のshow port-security コマンドの出力例を示します。

Switch# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa3/1 2 2 0 Restrict
Fa3/2 2 2 0 Restrict
Fa3/3 2 2 0 Shutdown
Fa3/4 2 2 0 Shutdown
Fa3/5 2 2 0 Shutdown
Fa3/6 2 2 0 Shutdown
Fa3/7 2 2 0 Shutdown
Fa3/8 2 2 0 Shutdown
Fa3/10 1 0 0 Shutdown
Fa3/11 1 0 0 Shutdown
Fa3/12 1 0 0 Restrict
Fa3/13 1 0 0 Shutdown
Fa3/14 1 0 0 Shutdown
Fa3/15 1 0 0 Shutdown
Fa3/16 1 0 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) :8
Max Addresses limit in System (excluding one mac per port) :1024
Global SNMP trap control for port-security :20 (traps per
second)
 

次に、指定したインターフェイスのshow port-security コマンドの出力例を示します。

Switch# show port-security interface fastethernet 5/1
Port Security :Enabled
Port Status :Secure-up
Violation Mode :Restrict
Aging Time :15 mins
Aging Type :Absolute
SecureStatic Address Aging :Enabled
Maximum MAC Addresses :2
Total MAC Addresses :2
Configured MAC Addresses :2
Last Source Address :0000.0000.0401
Security Violation Count :0
 

次に、show port-security address コマンドの出力例を示します。

Switch#sh port-security address
Secure Mac Address Table
-------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0000.0001.0000 SecureConfigured Fa3/1 15 (I)
1 0000.0001.0001 SecureConfigured Fa3/1 14 (I)
1 0000.0001.0100 SecureConfigured Fa3/2 -
1 0000.0001.0101 SecureConfigured Fa3/2 -
1 0000.0001.0200 SecureConfigured Fa3/3 -
1 0000.0001.0201 SecureConfigured Fa3/3 -
1 0000.0001.0300 SecureConfigured Fa3/4 -
1 0000.0001.0301 SecureConfigured Fa3/4 -
1 0000.0001.1000 SecureConfigured Fa3/5 -
1 0000.0001.1001 SecureConfigured Fa3/5 -
1 0000.0001.1100 SecureConfigured Fa3/6 -
1 0000.0001.1101 SecureConfigured Fa3/6 -
1 0000.0001.1200 SecureConfigured Fa3/7 -
1 0000.0001.1201 SecureConfigured Fa3/7 -
1 0000.0001.1300 SecureConfigured Fa3/8 -
1 0000.0001.1301 SecureConfigured Fa3/8 -
-------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) :8
Max Addresses limit in System (excluding one mac per port) :1024