Catalyst 6500 シリーズ スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド - リリース 12.1 E
ポート セキュリティの設定
ポート セキュリティの設定
発行日;2012/02/02 | 英語版ドキュメント(2011/06/13 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

ポート セキュリティの設定

ポート セキュリティの概要

ポート セキュリティのデフォルト設定

ポートセキュリティに関する注意事項および制約事項

ポート セキュリティの設定

インターフェイス上でのポート セキュリティの設定

ポート セキュリティ エージングの設定

ポート セキュリティ設定の表示

ポート セキュリティの設定

この章では、ポート セキュリティ機能を設定する手順について説明します。Release 12.1(13)E 以降のリリースでは、ポート セキュリティ機能がサポートされています。


) この章で使用しているコマンドの構文および使用方法の詳細については、『Catalyst 6500 Series Switch Cisco IOS Command Reference』を参照してください。


この章で説明する内容は、次のとおりです。

「ポート セキュリティの概要」

「ポート セキュリティのデフォルト設定」

「ポートセキュリティに関する注意事項および制約事項」

「ポート セキュリティの設定」

「ポート セキュリティ設定の表示」

ポート セキュリティの概要

ポート セキュリティ機能を使用して、このポートへのアクセスを許可されたワークステーションの MAC アドレスを制限し、明らかにすることにより、インターフェイスへの入力を制限することができます。セキュア ポートにセキュア MAC アドレスを割り当てると、ポートは、定義されたアドレス グループ以外の送信元アドレスを持つパケットを転送しません。セキュア MAC アドレスの数を 1 つに制限し、単一のセキュア MAC アドレスを割り当てると、そのポートに接続されているワークステーションはそのポートの全帯域幅を確実に使用できるようになります。

あるポートがセキュア ポートとして設定されているときに、セキュア MAC アドレス数が上限に達した場合、このポートにアクセスしようとしているワークステーションの MAC アドレスが、確認されているセキュア MAC アドレスのいずれとも異なると、セキュリティ違反が発生します。あるセキュア ポートでアドレス設定または学習されたセキュア MAC アドレスを持つワークステーションが、別のセキュア ポートにアクセスしようとすると、違反フラグが設定されます。

ポートでセキュア MAC アドレス数の上限値を設定した後、セキュア アドレスは、次のいずれかの方法でアドレス テーブルに組み込まれます。

すべてのセキュア MAC アドレスを、 switchport port-security mac-address mac_address インターフェイス コンフィギュレーション コマンドを使用して設定できます。

接続されている装置の MAC アドレスによって、ポートがセキュア MAC アドレスをダイナミックに設定するように指定できます。

多数のアドレスを設定し、残りのアドレスはダイナミックに設定されるように指定できます。


) ポートがシャットダウンされると、ダイナミックに学習されたアドレスはすべて削除されます。


セキュア MAC アドレス数の最大値の設定後、これらのアドレスはアドレス テーブルに保存されます。アドレスの最大数を 1 に設定し、接続された装置の MAC アドレスを設定すると、その装置にはポートの全帯域幅が保証されます。

最大数のセキュア MAC アドレスがアドレス テーブルに追加された後で、このアドレス テーブルに存在しない MAC アドレスを持つワークステーションがインターフェイスにアクセスしようとした場合、セキュリティ違反が発生します。

インターフェイスには、protect、restrict、または shutdown のいずれかの違反モードを設定できます(「ポート セキュリティの設定」を参照)。

ポート セキュリティのデフォルト設定

表 26-1 に、インターフェイス用のデフォルトのポート セキュリティ設定を示します。

 

表 26-1 ポート セキュリティのデフォルト設定

機能
デフォルト設定値

ポート セキュリティ

ポートではディセーブル

セキュア MAC アドレスの最大数

1

違反モード

shutdown。セキュア MAC アドレスが最大数を超過した場合、ポートはシャットダウンし、SNMP(簡易ネットワーク管理プロトコル)トラップ通知が送信されます。

ポートセキュリティに関する注意事項および制約事項

ポート セキュリティを設定するときには、次の注意事項に従ってください。

セキュア ポートはトランク ポートにはできません。

セキュア ポートを Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)の宛先ポートにできません。

セキュア ポートを EtherChannel ポートチャネル インターフェイスに含めることはできません。

セキュア ポートは 802.1X ポートにはできません。セキュア ポートで 802.1X をイネーブルにしようとすると、エラー メッセージが表示され、802.1X はイネーブルになりません。802.1X 対応ポートをセキュア ポートに変更しようとしても、エラー メッセージが表示され、セキュリティ設定は変更されません。

ポート セキュリティ違反のため、ポート セキュリティにより、これらのポートが errdisable にされている可能があるという理由でスイッチの間に冗長リンクが張られている場合、隣接スイッチに接続されたポートでポート セキュリティをイネーブルにするときには注意が必要です。

ポート セキュリティの設定

ここでは、ポート セキュリティを設定する手順について説明します。

「インターフェイス上でのポート セキュリティの設定」

「ポート セキュリティ エージングの設定」

インターフェイス上でのポート セキュリティの設定

ポートにアクセスできるステーションの MAC アドレスを制限および識別することにより、このポートを通過するトラフィックを制限するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface interface_id

インターフェイス コンフィギュレーション モードを開始し、設定する物理インターフェイスを入力します(例: gigabitethernet 3/1

ステップ 2

Router(config-if)# switchport mode access

インターフェイス モードを access に設定します。デフォルト モード(dynamic desirable)のインターフェイスをセキュア ポートに設定できません。

ステップ 3

Router(config-if)# switchport port-security

そのインターフェイスのポート セキュリティをイネーブルにします。

ステップ 4

Router(config-if)# switchport port-security maximum value

(任意)そのインターフェイスで使用できるセキュア MAC アドレス数の最大値を設定します。指定できる範囲は 1 ~ 128 です。デフォルト値は 128 です。

ステップ 5

Router(config-if)# switchport port-security violation { protect | restrict | shutdown }

(任意)違反モード、およびセキュリティ違反が検出されたときのアクションを設定します。

ステップ 6

Router(config-if)# switchport port-security mac-address mac_address

(任意)インターフェイスで使用できるセキュア MAC アドレスを入力します。セキュア MAC アドレス数の最大値を入力するには、このコマンドを使用します。最大数より少ないセキュア MAC アドレスを設定すると、残りの MAC アドレスはダイナミックに学習されます。

ステップ 7

Router(config-if)# end

イネーブル EXEC モードに戻ります。

ステップ 8

Router# show port-security interface interface_id

Router# show port-security address

設定を確認します。

ポート セキュリティを設定する場合は、ポート セキュリティ違反モードに関する次の構文情報に注意してください。

protect :最大値を下回るようにセキュア MAC アドレスを削除するまで、送信元アドレスが不明なパケットを廃棄します。

restrict :最大値を下回るようにセキュア MAC アドレスを削除するまで、送信元アドレスが不明なパケットを廃棄して、セキュリティ違反カウンタを増やします。

shutdown :インターフェイスをただちに errdisable ステートにし、SNMP トラップ通知を送信します。


) ポート セキュリティがイネーブルのときに、あるセキュア インターフェイスで学習または設定されたアドレスが同一の VLAN 上にある別のセキュア インターフェイスで確認された場合、ポート セキュリティはこのインターフェイスを即座に errdisable ステートにします。


errdisable ステートからセキュア ポートを回復するには、 errdisable recovery cause psecure_violation グローバル コンフィギュレーション コマンドを入力します。または、 shutdown および no shut down インターフェイス コンフィギュレーション コマンドを入力して、手動でセキュア ポートを再びイネーブルに戻すことができます。

インターフェイスをデフォルト状態(セキュア ポートではない状態)に戻すには、 no switchport port-security インターフェイス コンフィギュレーション コマンドを入力します。

インターフェイスをセキュア MAC アドレス数のデフォルト値に戻すには、 no switchport port-security maximum value コマンドを入力します。

アドレス テーブルから MAC アドレスを削除するには、 no switchport port-security mac-address mac_address コマンドを入力します。

違反モードをデフォルト状態(シャットダウン モード)に戻すには、 no switchport port-security violation { protocol | restrict } コマンドを入力します。

次の例では、ポート Fast Ethernet 12 でポート セキュリティをイネーブルにする方法と、セキュア アドレスの最大数を 5 に設定する方法を示します。違反モードはデフォルトのままで、セキュア MAC アドレスは設定されません。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 3/12
Router(config-if)# switchport mode access
Router(config-if)# switchport port-security
Router(config-if)# switchport port-security maximum 5
Router(config-if)# end
Router# show port-security interface fastethernet 3/12
Security Enabled:Yes, Port Status:SecureUp
Violation Mode:Shutdown
Max. Addrs:5, Current Addrs:0, Configure Addrs:0
 

次に、ポート FastEthernet 12 に対してセキュア MAC アドレスを設定し、この内容を確認する例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface fastethernet 5/12
Router(config-if)# switchport mode access
Router(config-if)# switchport port-security
Router(config-if)# switchport port-security mac-address 1000.2000.3000
Router(config-if)# end
Router# show port-security address
Secure Mac Address Table
------------------------------------------------------------
 
Vlan Mac Address Type Ports
---- ----------- ---- -----
1 1000.2000.3000 SecureConfigured Fa5/12

ポート セキュリティ エージングの設定

あるポート上のセキュア アドレスすべてのエージング タイムを設定するには、ポート セキュリティ エージングを使用します。

この機能を使用すると、ポート上のセキュア アドレス数を制限したまま、既存のセキュア MAC アドレスを手動で削除せずに、セキュア ポートに PC を追加および削除することができます。

ポート セキュリティ エージングを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface interface_id

ポート セキュリティ エージングをイネーブルにするポートでインターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# switchport port-security aging time aging_time

このセキュア ポートのエージング タイムを設定します。

time には、このポートのエージング タイムを指定します。すべてのセキュア アドレスは、指定された時間(分)が経過した後に期限切れとなり、セキュア アドレス リストから削除されます。

Router(config-if)# no switchport port-security aging time

エージングをディセーブルにします。

ステップ 3

Router(config-if)# end

イネーブル EXEC モードに戻ります。

ステップ 4

Router# show port security [ interface interface_id ] [ address ]

設定を確認します。

ポート セキュリティ エージングを設定する場合は、次の点に注意してください。

すべてのリリースで、 no キーワードを入力し、エージングをディセーブルにできます。

Release 12.1(19)E 以降のリリースでは、有効なエージング タイムの範囲は 1 ~ 1440 分です。

Release 12.1(19)E よりも前のリリースでは、有効なエージング タイムの範囲は 0 ~ 1440 分です。0 を入力すると、エージングはディセーブルになります。

次の例では、Fast Ethernet インターフェイス 5/1 のセキュア アドレスに対して、エージング タイムを 2 時間に設定します。

Router(config)# interface fastethernet 5/1
Router(config-if)# switchport port-security aging time 120
 

次に、エージング タイムを 2 分に設定する例を示します。

Router(config-if)# switchport port-security aging time 2
 

以前のコマンドを確認するには、 show port-security interface interface_id イネーブル EXEC コマンドを入力します。

ポート セキュリティ設定の表示

show interfaces interface_id switchport イネーブル EXEC コマンドは、インターフェイス トラフィック抑制、および制御設定を表示します。 show interfaces counters イネーブル EXEC コマンドは、廃棄されたパケットの数を表示します。 show storm control および show port-security イネーブル EXEC コマンドは、これらの機能を表示します。

トラフィック制御情報を表示するには、次のコマンドの 1 つ以上を入力します。

 

コマンド
目的

Router# show port-security [ interface interface_id ]

スイッチ、または指定されたインターフェイスのポート セキュリティ設定を表示します。この設定には、各インターフェイスで許可されるセキュア MAC アドレスの最大数、インターフェイスに設定されたセキュア MAC アドレスの数、発生したセキュリティ違反の数、および違反モードが含まれます。

Router# show port-security [ interface interface_id ] address

すべてのスイッチ インターフェイス、または指定されたインターフェイスで設定されたすべてのセキュア MAC アドレスと、各アドレスのエージング情報を表示します。

次に、インターフェイスを入力しない場合の show port-security コマンドの出力例を示します。

Router# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security
Action
(Count) (Count) (Count)
----------------------------------------------------------------------------
 
Fa5/1 11 11 0 Shutdown
Fa5/5 15 5 0 Restrict
Fa5/11 5 4 0 Protect
----------------------------------------------------------------------------
 
Total Addresses in System: 21
Max Addresses limit in System: 128
 

次に、特定のインターフェイスに対する show port-security コマンドの出力例を示します。

Router# show port-security interface fastethernet 5/1
Port Security: Enabled
Port status: SecureUp
Violation mode: Shutdown
Maximum MAC Addresses: 11
Total MAC Addresses: 11
Configured MAC Addresses: 3
Aging time: 20 mins
Aging type: Inactivity
SecureStatic address aging: Enabled
Security Violation count: 0
 

次に、show port-security address イネーブル EXEC コマンドの出力例を示します。

Router# show port-security address
Secure Mac Address Table
-------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0001.0001.0001 SecureDynamic Fa5/1 15 (I)
1 0001.0001.0002 SecureDynamic Fa5/1 15 (I)
1 0001.0001.1111 SecureConfigured Fa5/1 16 (I)
1 0001.0001.1112 SecureConfigured Fa5/1 -
1 0001.0001.1113 SecureConfigured Fa5/1 -
1 0005.0005.0001 SecureConfigured Fa5/5 23
1 0005.0005.0002 SecureConfigured Fa5/5 23
1 0005.0005.0003 SecureConfigured Fa5/5 23
1 0011.0011.0001 SecureConfigured Fa5/11 25 (I)
1 0011.0011.0002 SecureConfigured Fa5/11 25 (I)
-------------------------------------------------------------------
Total Addresses in System: 10
Max Addresses limit in System: 128