Catalyst 6500 シリーズ スイッチ ソフトウェア コンフィギュレーション ガイド Software Release 8.4
ポート セキュリティの設定
ポート セキュリティの設定
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

ポート セキュリティの設定

ポート セキュリティの機能

ホストMACアドレスに基づくトラフィックの許可

ホストMACアドレスに基づくトラフィックの制限

セキュア ポート上でのユニキャスト フラッディング パケットのブロック

MACアドレス モニタリングの機能概要

ポート セキュリティ設定時の注意事項

スイッチ上でのポート セキュリティの設定

ポート セキュリティのイネーブル化

セキュアMACアドレスの最大数の設定

動的に学習されたMACアドレスの自動設定

ポート セキュリティ エージング タイムの設定

ポート セキュリティ エージング タイプの設定

MACアドレスの消去

セキュア ポート上でのユニキャスト フラッディング ブロックの設定

セキュリティ違反時の処置の指定

シャットダウン タイムアウトの設定

ポート セキュリティのディセーブル化

ホストMACアドレスに基づくトラフィックの制限

ポート セキュリティの表示

MACアドレス モニタリングの設定

グローバルMACアドレス モニタリングの設定

CAMテーブル内のMACアドレスのモニタリング

モニタリングのポーリング間隔の指定

MACアドレス モニタリングの下限スレッシュホールドの指定

MACアドレス モニタリングの上限スレッシュホールドの指定

MACアドレス モニタリング設定の消去

CAMモニタの設定の表示

CAMモニタのグローバル設定の表示

ポート セキュリティの設定

この章では、ポート セキュリティの設定方法と、Catalyst 6500シリーズ スイッチで学習されるMAC(メディア アクセス制御)アドレス数を制限する方法について説明します。


) この章で使用しているコマンドの完全な構文および使用方法の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。



) 802.1x認証の設定により、アクセスを許可されているポートから不正なデバイスがLAN接続するのを制限する手順については、第37章「802.1x認証の設定」を参照してください。



) Authentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)を設定して、Catalyst 6500シリーズ スイッチのCLI(コマンドライン インターフェイス)へのアクセスをモニタおよび制御する方法については、第21章「AAAによるスイッチ アクセスの設定」を参照してください。


この章で説明する内容は、次のとおりです。

「ポート セキュリティの機能」

「MACアドレス モニタリングの機能概要」

「ポート セキュリティ設定時の注意事項」

「スイッチ上でのポート セキュリティの設定」

「MACアドレス モニタリングの設定」

ポート セキュリティの機能

イーサネット、ファスト イーサネット、またはギガビット イーサネット ポートへのアクセスを試みたステーションのMACアドレスが、そのポートに指定されているMACアドレスと異なる場合、ポート セキュリティ機能を使用してポートへのアクセスをブロックできます。また、ホストMACアドレスに基づく指定ホストに送信、または指定ホストから受信したトラフィックをフィルタリングすることができます。

ここでは、トラフィック フィルタリング方式について説明します。

「ホストMACアドレスに基づくトラフィックの許可」

「ホストMACアドレスに基づくトラフィックの制限」

「セキュア ポート上でのユニキャスト フラッディング パケットのブロック」

ホストMACアドレスに基づくトラフィックの許可

ポートあたりに指定できるMACアドレスの総数には、次のような制限があります。

Release 8.1(1)より前のソフトウェア リリースでは、1つのポートにつき、指定できるMACアドレスの総数は、グローバル リソースとしての1024に、デフォルトのMACアドレス1つを加えた数です。1ポート上の総MACアドレス数が1025を超えることはありません。

Release 8.1(1)以降のソフトウェア リリースでは、1つのポートにつき、指定できるMACアドレスの総数は、グローバル リソースとしての4096に、デフォルトのMACアドレス1つを加えた数です。1ポート上の総MACアドレス数が4097を超えることはありません。

各ポートにMACアドレスの最大数を割り当てるかどうかは、ネットワーク構成によって決まります。次の組み合わせは、Release 8.1(1)より前のソフトウェア リリースで有効な割り当て例です。ロジックはRelease 8.1(1)以降のソフトウェア リリースでも同じです。

1ポートに1025(1 + 1024)個のアドレス、残りの各ポートに1アドレスずつ

システム内の2ポートにそれぞれ513(1 + 512)個、残りの各ポートに1アドレスずつ

1ポートに901(1 + 900)個、次のポートに101(1 + 100)個、第3のポートに25(1 + 24)個、残りの各ポートに1アドレスずつ

ポートに最大MACアドレス数を割り当てたあとで、そのポートに手動でセキュアMACアドレスを指定するか、または接続装置のMACアドレスをポートに動的に設定させることができます。ポートに割り当てられた最大数のMACアドレスのうち、すべてを手動で設定するか、すべてを動的に学習するか、または一部を手動で設定し、残りを動的に学習することができます。手動または自動で設定したアドレスは、NVRAM(不揮発性RAM)に保存され、リセット後も維持されます。動的に学習されたアドレスは保存されないので、スイッチのリセット後、それらはすべて消去されます。

ポートに最大MACアドレス数を割り当てたあとで、特定のポート上でアドレスの安全性が維持される期間を指定できます。エージング タイムが経過すると、そのポート上のMACアドレスは非保護状態になります。デフォルトの設定では、ポート上のすべてのアドレスが永続的に保護されます。

セキュリティ違反が発生した場合に、ポートがシャットダウン モードまたは制限モードになるように設定できます。シャットダウン モードを使用すると、ポートを永続的にディセーブルにするのか、指定された期間だけディセーブルにするのかを指定できます。デフォルトの設定では、ポートは永続的にシャットダウンされます。制限モードを使用すると、セキュリティ違反が発生しても、ポートをイネーブルにしておき、非保護ホストから送られてきたパケットだけが廃棄されるように設定できます。


) 制限モードでセキュア ポートを設定していて、スイッチの別のポート上でセキュアMACアドレスとして設定済みのMACアドレスを持つポートにステーションを接続した場合、制限モードのポートはそのステーションからのトラフィックを制限するのではなく、シャットダウンしてしまいます。たとえば、ポート2/1のセキュアMACアドレスとしてMAC-1、ポート2/2のセキュアMACアドレスとしてMAC-2を設定し、さらに、ポート2/2が制限モードとして設定されているときに、MAC-1を指定してステーションとポート2/2を接続した場合、ポート2/2はMAC-1からのトラフィックを制限するのではなく、シャットダウンします。


セキュア ポートがパケットを受信すると、そのパケットの送信元MACアドレスを、ポートに手動で設定された、または動的に学習された送信元セキュア アドレスのリストと比較します。ポートに接続された装置のMACアドレスと、セキュア アドレス リストが異なる場合、ポートは永続的にシャットダウン(デフォルトのモード)するか、指定された期間だけシャットダウンするか、または非保護ホストからの着信パケットを廃棄します。ポートの動作は、セキュリティ違反に対してどのように対処するか、その設定によって決まります。

セキュリティ違反が発生すると、そのポートのLINK LEDがオレンジに点灯し、SNMP(簡易ネットワーク管理プロトコル)マネージャにリンク ダウン トラップが送信されます。制限モードでポートを設定している場合は、SNMPトラップは送信されません。トラップが送信されるのは、セキュリティ違反時にシャットダウンするようにポートを設定している場合だけです。

ホストMACアドレスに基づくトラフィックの制限

ホストMACアドレスに基づいてトラフィックをフィルタリングし、特定の送信元MACアドレスを持つパケットを廃棄することができます。 set cam filter コマンドを使用してMACアドレス フィルタを指定すると、指定したホストMACアドレスからの着信トラフィックが廃棄されます。また、指定したホストを宛先とするパケットは転送されません。


set cam filterコマンドでフィルタリングできるのは、ユニキャスト アドレスだけです。このコマンドでは、マルチキャスト アドレス用のトラフィックをフィルタリングすることはできません。


セキュア ポート上でのユニキャスト フラッディング パケットのブロック

ユニキャスト フラッディング機能をディセーブルにすることで、セキュア イーサネット ポート上でユニキャスト フラッディング パケットをブロックできます。ポートでユニキャスト フラッディング パケットをディセーブルにすると、ポートは、MACアドレスの最大許容数に達すると、ユニキャスト フラッディング パケットを廃棄します。

MACアドレス数が最大許容数を下回ると、ポートは自動的にユニキャスト フラッディング パケットの学習を再開します。学習されたMACアドレスのカウントは、設定されたMACアドレスが削除されるか、Time to Live(TTL)カウンタに達すると減少します。

MACアドレス モニタリングの機能概要

Catalyst 6500シリーズ スイッチでは送信元MACアドレスを自動的に学習するので、システムはスプーフィングされたトラフィックのフラッディングに弱く、DoS攻撃を受けやすくなります。トラフィックのフラッディングやDoS攻撃を避けるために、システムが学習した多くのMACアドレスをポート単位、VLAN(仮想LAN)単位、またはポート/VLAN単位ベースでモニタできます。

MACアドレス モニタリングはソフトウェアでサポートされています。

MACアドレス モニタリングの設定については、「MACアドレス モニタリングの設定」を参照してください。

ポート セキュリティ設定時の注意事項

ここでは、ポート セキュリティ設定時の注意事項について説明します。

SPAN宛先ポートではポート セキュリティをイネーブルにしないでください。また、その逆の場合も同様です。

セキュア ポートには、ダイナミック、スタティック、または永続CAM(連想メモリ)エントリを設定しないでください。

スイッチ上でのポート セキュリティの設定

ここでは、ポート セキュリティを設定する手順について説明します。

「ポート セキュリティのイネーブル化」

「セキュアMACアドレスの最大数の設定」

「動的に学習されたMACアドレスの自動設定」

「ポート セキュリティ エージング タイムの設定」

「ポート セキュリティ エージング タイプの設定」

「MACアドレスの消去」

「セキュア ポート上でのユニキャスト フラッディング ブロックの設定」

「セキュリティ違反時の処置の指定」

「シャットダウン タイムアウトの設定」

「ポート セキュリティのディセーブル化」

「ホストMACアドレスに基づくトラフィックの制限」

「ポート セキュリティの表示」

ポート セキュリティのイネーブル化

ポート上でポート セキュリティをイネーブルにすると、そのポートと対応付けられたスタティックまたはダイナミックCAMエントリは消去されます。その時点ですでに設定されている永続CAMエントリは、安全とみなされます。

ポート セキュリティをイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ポートを指定して、ポート セキュリティをイネーブルにします。セキュアMACアドレスも指定できます。トランク ポートでポート セキュリティをイネーブルにするには、セキュアMACアドレスが許可されているVLANを指定します。

set port security mod/port enable [ mac_addr ] [vlan_list]

ステップ 2

セキュア アドレス リストにMACアドレスを追加できます。

set port security mod/port mac_addr [vlan_list]

ステップ 3

設定を確認します。

show port [ mod [ / port ]] [ mac_addr ][vlan_list]

次に、ポート上で学習したMACアドレスを使用してポート セキュリティをイネーブルにし、設定を確認する例を示します。

Console> (enable) set port security 2/1 enable
Port 2/1 security enabled.
Console> (enable) show port 2/1
Port Name Status Vlan Level Duplex Speed Type
----- ------------------ ---------- ---------- ------ ------ ----- ------------
2/1 connected 522 normal half 100 100BaseTX
 
Port Security Secure-Src-Addr Last-Src-Addr Shutdown Trap IfIndex
----- -------- ----------------- ----------------- -------- -------- -------
2/1 enabled 00-90-2b-03-34-08 00-90-2b-03-34-08 No disabled 1081
 
Port Broadcast-Limit Broadcast-Drop
-------- --------------- --------------
2/1 - 0
 
Port Align-Err FCS-Err Xmit-Err Rcv-Err UnderSize
----- ---------- ---------- ---------- ---------- ---------
2/1 0 0 0 0 0
 
Port Single-Col Multi-Coll Late-Coll Excess-Col Carri-Sen Runts Giants
----- ---------- ---------- ---------- ---------- --------- --------- ---------
2/1 0 0 0 0 0 0 0
 
Last-Time-Cleared
--------------------------
Fri Jul 10 1998, 17:53:38
 

次に、ポート上でポート セキュリティをイネーブルにし、セキュアMACアドレスを手動で指定する例を示します。

Console> (enable) set port security 2/1 enable 00-90-2b-03-34-08
Port 2/1 port security enabled with 00-90-2b-03-34-08 as the secure mac address
Trunking disabled for Port 2/1 due to Security Mode
Console> (enable)
 

次に、トランク ポートでポート セキュリティを設定する例を示します。

Console> (enable) set port security 2/2 00-90-2b-03-34-09 1,20,30
Mac address 00-90-2b-03-34-09 set for port 2/2 on vlan 1,20,20
Console> (enable)
 

セキュアMACアドレスの最大数の設定

ポート上で保護するMACアドレスの数を設定できます。デフォルトの設定では、1ポートに少なくとも1個のMACアドレスを保護できます。このデフォルトに加えて、次のようにポートで共有するグローバル リソースが使用可能です。

Release 8.1(1)より前のソフトウェア リリースでは、最大1024個のMACアドレスを1つのポートで設定できます。1ポート上の総MACアドレス数が1025を超えることはありません。

Release 8.1(1)以降のソフトウェア リリースでは、最大4096個のMACアドレスを1つのポートで設定できます。1ポート上の総MACアドレス数が4097を超えることはありません。

一部のポートでMACアドレスのグローバル リソース全体を使用しても、残りのポートではまだ、1ポートに最大1個のMACアドレスを使用して、ポート セキュリティをイネーブルにできます。

MACアドレスの最大数を少なくすると、システムによって指定された数のMACアドレスが消去され、削除したアドレスのリストが表示されます。

8.1および8.2のソフトウェア リリースでは、異なるVLANにあるアクセス ポートに単一のMACアドレスを設定できますが、そのポートにポート セキュリティを設定できません。Release 8.3(1)以降のソフトウェア リリースでは、トランク ポートでポート セキュリティをサポートしていますが、異なるVLANにある複数のポートに対して単一のMACアドレスを設定しポート セキュリティを設定できます。たとえば、MACアドレス[00-00-aa-00-00-aa]をVLAN 10のポート2/1とVLAN 20のポート2/2に設定し、いずれもポート セキュリティを設定できます。両方のポートがVLAN 10にある場合、このMACアドレスとポート セキュリティが設定できるのはいずれか一方になります。単一のMACアドレスとポート セキュリティを設定できるのは、1つのVLANに属するポートのみです。

特定のポートで保護するMACアドレスの数を設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ポート上で保護するMACアドレスの数を設定します。

set port security mod/port maximum num_of_mac

次に、保護するMACアドレスの数を設定する例を示します。

Console> (enable) set port security 7/7 maximum 20
Maximum number of secure addresses set to 20 for port 7/7.
Console> (enable)
 

次に、MACアドレスの数を減らし、消去されたMACアドレスを表示する例を示します。

Console> (enable) set port security 7/7 maximum 18
Maximum number of secure addresses set to 18 for port 7/7
00-11-22-33-44-55 cleared from secure address list for port 7/7
00-11-22-33-44-66 cleared from secure address list for port 7/7
Console> (enable)

動的に学習されたMACアドレスの自動設定

動的に学習されたMACアドレスの自動設定により、動的に学習されたMACアドレスを特定のポートに関連付けることができます。この機能は、システム内のすべてのセキュア ポートにグローバルに適用されます。

動的に学習されたアドレスは、手動で設定されたアドレスのように処理され、設定はNVRAMに保存されます。アドレスは、セキュリティ違反によるセキュア ポートのシャットダウン、ポート セキュリティのディセーブル化、またはセキュア ポートの管理上のディセーブル化といったイベントで保存されます。


) 自動設定オプションを使用して設定された動的に学習されたアドレスは、いかなる状況でも消去されません。これらのアドレスは、clear port securityコマンドを入力して手動で消去する必要があります。


動的に学習されたMACアドレスの自動設定をイネーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

動的に学習されたMACアドレスの自動設定をイネーブルにします。

set port security auto-configure enable | disable

次に、動的に学習されたMACアドレスの自動設定をスイッチ上でグローバルにイネーブルにする例を示します。

Console> (enable)set port security auto-configure enable
Automatic configuration of secure learnt addresses enabled.
Console> (enable)
 

自動設定を確認するには、 show port security statistics systemコマンドを入力します。

Console> (enable) show port security statistics system
 
Auto-Configure Option: Enabled
Module 2:
Total ports: 24
Total secure ports: 0
Total MAC addresses: 24
Total global address space used (out of 4096): 0
Status: installed
Module 3:
Total ports: 48
Total secure ports: 0
Total MAC addresses: 48
Total global address space used (out of 4096): 0
Status: installed
Module 5:
Total ports: 2
Total secure ports: 0
Total MAC addresses: 2
Total global address space used (out of 4096): 0
Status: installed
Total secure ports in the system: 0
Total secure MAC addresses in the system: 74
Total global MAC address resource used in the system (out of 4096): 0
Console> (enable)
 

ポート セキュリティ エージング タイムの設定

ポートのエージング タイムによって、そのポート上のすべてのアドレスの保護期間を指定します。このエージング タイムは、MACアドレスがそのポート上のトラフィックを開始したときからアクティブになります。MACアドレスに対応するエージング タイムが満了すると、ポート上のそのMACアドレスに対応するエントリがセキュア アドレス リストから削除されます。有効な範囲は1~1440分です。エージング タイムをゼロに設定すると、セキュア アドレスのエージングがディセーブルになります。

ポート上でエージング タイムを設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ポート上の保護するアドレスにエージング タイムを設定します。

set port security mod/port age time

次に、ポート7/7上にエージング タイムを設定する例を示します。

Console> (enable) set port security 7/7 age 600
Secure address age time set to 600 minutes for port 7/7.
Console> (enable)

ポート セキュリティ エージング タイプの設定


set port security mod/port timer-type {absolute | inactivity}コマンドは、Supervisor Engine 720およびSupervisor Engine 32でのみサポートされています。


Release 8.1(1)以降のソフトウェア リリースでは、ポート単位でエージングのタイプを設定し、動的に学習されたアドレスに適用できます。エージングのタイプには次の2つがあります。

絶対エージング ― age_time を超過すると、MACアドレスはトラフィックのパターンに関係なく期限切れとなります。これはすべてのセキュア ポートでデフォルトであり、 age_time は0に設定されます。

非アクティブ エージング ― 対応するホストが age_time を超過して非アクティブであった場合だけ、MACアドレスは期限切れとなります。

動的に学習されたアドレスのポート セキュリティ エージング タイプをポートごとに設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

動的に学習されたアドレスのポート セキュリティ エージング タイプをポート単位で設定します。

set port security mod/port timer-type { absolute | inactivity }

次に、ポート5/1上に異なるポート セキュリティ エージング タイプを設定する例を示します。

Console> (enable) set port security 5/1 timer-type absolute
Port 5/1 security timer type absolute.
Console> (enable) set port security 5/1 timer-type inactivity
Port 5/1 security timer type inactive.
Console> (enable)

MACアドレスの消去

clear port securityコマンドを使用して、ポート上のセキュア アドレス リストからMACアドレスを消去します。


) 使用中のMACアドレスにclearコマンドを入力した場合、そのMACアドレスが学習されて、再び保護される可能性があります。ポート セキュリティをディセーブルにしてから、MACアドレスを消去するようにしてください。


セキュアMACアドレス リストからすべてのMACアドレス、または特定のMACアドレスを消去するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

セキュアMACアドレス リストから全部または特定のMACアドレスを消去します。


) トランク ポートでは、VLANリスト パラメータを使用して1つまたは複数の特定VLANのリストからMACアドレスを消去できます。allキーワードを指定すると、トランク ポート上にあるすべてのVLAN用のセキュアMACアドレス リストからMACアドレスが消去されます。


clear port security mod/port all | mac_addr [ all | vlan_list]

次に、ポート3/37上のセキュア アドレス リストからMACアドレスを1つ消去する例を示します。

Console> (enable) clear port security 3/37 00-00-aa-00-00-aa 20,30
Secure MAC address 00-00-aa-00-00-aa cleared for port 3/37 and Vlan 20.
Secure MAC address 00-00-aa-00-00-aa cleared for port 3/37 and Vlan 30.
Console> (enable)
 

次に、ポート3/37からすべてのMACアドレスを消去する例を示します。

Console> (enable) clear port security 3/37 00-00-aa-00-00-aa all
Secure MAC address 00-00-aa-00-00-aa cleared for port 3/37 and Vlan 1.
Secure MAC address 00-00-aa-00-00-aa cleared for port 3/37 and Vlan 20.
Secure MAC address 00-00-aa-00-00-aa cleared for port 3/37 and Vlan 30.
Console> (enable)
 

次に、トランク ポート2/2のVLAN 1からMACアドレスをすべて消去する例を示します。

Console> (enable) clear port security 2/2 00-90-2b-03-34-09 1
Secure MAC address 00-90-2b-03-34-09 cleared for port 2/2 and Vlan 1.
Console> (enable)

セキュア ポート上でのユニキャスト フラッディング ブロックの設定

セキュア ポートでユニキャスト フラッディング ブロックを設定するには、ユニキャスト フラッディング機能をディセーブルにします。


) MACアドレスの限度に達すると、ポートはユニキャスト フラッディングをディセーブルにします。


セキュア ポート上でユニキャスト フラッディング ブロックを設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

指定のセキュア ポート上でユニキャスト フラッディング ブロックをディセーブルにします。

set port security mod/port unicast-flood disable

ステップ 2

ユニキャスト フラッディングの設定を確認します。

show port security mod/port

ステップ 3

ユニキャスト フラッディング ブロックのステータスを確認します。

show port unicast-flood mod / port

次に、ポート上でユニキャスト フラッディング パケットをディセーブルにするようにスイッチを設定し、設定を確認する例を示します。

Console> (enable) set port security 4/1 unicast-flood disable
Port 4/1 security flood mode set to disable.
Console> (enable) show port security 4/1
Port Security Violation Shutdown-Time Age-Time Max-Addr Trap IfIndex
----- -------- --------- ------------- -------- -------- -------- -------
4/1 disabled shutdown 0 0 1 disabled 50
 
Port Num-Addr Secure-Src-Addr Age-Left Last-Src-Addr Shutdown/Time-Left
----- -------- ----------------- -------- ----------------- ------------------
4/1 0 - - - - -
 
Port Flooding on Address Limit
---- -------------------------
4/1 Disabled
Console> (enable) show port unicast-flood 4/1
Port Unicast Flooding
---- ----------------
4/1 Disabled
Console> (enable)
 

show port unicast-floodコマンドにより、ユニキャスト フラッディング ブロックの実行時のステータスが表示されます。出力では、ポートがアドレスの限度を超えているかどうかに応じて、ユニキャスト フラッディングがイネーブルまたはディセーブルのいずれになっているかが表示されます。


セキュリティ違反時の処置の指定

ポートには、セキュリティ違反に対する処理として、次の2つのモードを設定できます。

シャットダウン ― ポートを永続的にまたは指定した期間だけシャットダウンします。永続的なシャットダウンがデフォルトのモードです。

制限 ― 非保護ホストから送られてきたすべてのパケットを廃棄しますが、ポートは引き続きイネーブルです。

セキュリティ違反の発生時にとるべき処置を指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ポート上での違反発生時の処置を指定します。

set port security mod/port violation { shutdown | restrict }

次に、ポート7/7上で、非保護ホストから送られたすべてのパケットを廃棄するように指定する例を示します。

Console> (enable) set port security 7/7 violation restrict
Port security violation on port 7/7 will cause insecure packets to be dropped.
Console> (enable)

) ポートのセキュアMACアドレス数を1に制限して、他のホストがそのポートに接続しようとした場合、ポート セキュリティによって、他のホストからそのポートに接続することが禁止されるとともに、VLANエージング タイムの間、同じVLAN内のすべてのポートへの接続が防止されます。デフォルトの設定では、VLANエージング タイムは5分です。セキュア ポートであるために、同一VLAN内のポートにホストが接続できない場合は、VLANエージング タイムが経過したあとで、もう一度ホストからポートに接続してください。


シャットダウン タイムアウトの設定

セキュリティ違反が発生した場合に、ポートをディセーブルにしておく時間を指定できます。デフォルトの設定では、ポートは永続的にシャットダウンされます。有効な範囲は1~1440分です。

この時間をゼロに設定すると、そのポートではシャットダウンがディセーブルになります。


) シャットダウン タイムが満了すると、ポートは再びイネーブルになり、ポート セキュリティ関連のすべての設定が維持されます。


シャットダウン タイムアウトを設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ポート上でシャットダウン タイムアウトを設定します。

set port security mod/port shutdown time

次に、ポート7/7上でシャットダウン タイムアウト値を600分に設定する例を示します。

Console> (enable) set port security 7/7 shutdown 600
Secure address shutdown time set to 600 minutes for port 7/7.
Console> (enable)

ポート セキュリティのディセーブル化

ポート セキュリティをディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

ポートを指定して、ポート セキュリティをディセーブルにします。

set port security mod/port disable

ステップ 2

設定を確認します。

show port security [ mod / port ]

次に、ポート セキュリティをディセーブルにする例を示します。

Console> (enable) set port security 2/1 disable
Port 2/1 port security disabled.
Console> (enable)
Console> (enable) show port security 2/1
Port Security Violation Shutdown-Time Age-Time Max-Addr Trap IfIndex
----- -------- --------- ------------- -------- -------- -------- -------
3/24 disabled restrict 20 300 10 disabled 921
 
Port Num-Addr Secure-Src-Addr Age-Left Last-Src-Addr Shutdown/Time-Left
----- -------- ----------------- -------- ----------------- ------------------
3/24 1 00-e0-4f-ac-b4-00 - - - -
Console> (enable)

ホストMACアドレスに基づくトラフィックの制限

特定のMACアドレスのトラフィックを制限するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

指定したMACアドレスとの間の送信または受信トラフィックを制限します。

set cam { static | permanent } filter unicast_mac vlan

ステップ 2

フィルタを削除します。

clear cam mac_address vlan

ステップ 3

設定を確認します。

show cam { static | permanent }

次に、特定のMACアドレスに対するトラフィックを制限するフィルタを作成する例を示します。

Console> (enable) set cam static filter 00-02-03-04-05-06 1
Filter entry added to CAM table.
Console> (enable)
 

次に、フィルタを消去する例を示します。

Console> (enable) clear cam 00-02-03-04-05-06 1
CAM entry cleared.
Console> (enable)
 

次に、スタティックCAMエントリを表示する例を示します。

Console> show cam static
 
VLAN Dest MAC/Route Des [CoS] Destination Ports or VCs / [Protocol Type]
---- ------------------ ----- -------------------------------------------
3 04-04-05-06-07-08 * FILTER

ポート セキュリティの表示

show port securityコマンドを使用すると、次の情報が表示されます。

ポートのセキュアMACアドレス リスト

ポート上で使用できる最大セキュア アドレス数

セキュアMACアドレスの総数

エージング タイム

残っているエージング タイムおよびシャットダウンのタイムアウトまでの時間

シャットダウン/セキュリティ モード

ポート セキュリティ関連の統計情報

ポート セキュリティの設定情報および統計情報を表示するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

設定を表示します。

show port security [statistics] mod/port

ステップ 2

ポート セキュリティの統計情報を表示します。

show port security statistics [system] [ mod/port ]

次に、ポート セキュリティの設定情報および統計情報を表示する例を示します。

Console> (enable) show port security 4/1
* = Configured MAC Address
 
Port Security Violation Shutdown-Time Age-Time Maximum-Addrs Trap IfIndex
----- -------- --------- ------------- -------- ------------- -------- -------
4/1 enabled shutdown 120 1440 25 disabled 3
 
Port Secure-Src-Addrs Age-Left Last-Src-Addr Shutdown Shutdown-Time-Left
---- ----------------- -------- ----------------- -------- ------------------
4/1 00-11-22-33-44-55 4 00-11-22-33-44-55 No -
00-10-14-da-77-f1 100
Port Flooding on Address Limit
----- -------------------------
4/1 Enabled
Console> (enable) show port security statistics 4/1
Port Total-Addrs Maximum-Addrs
----- ----------- -------------
4/1 4 10
Console> (enable)
 

次に、モジュールに関してポート セキュリティの統計情報を表示する例を示します。

Console> (enable) show port security statistics 7
Port Total-Addrs Maximum-Addrs
----- ----------- -------------
7/1 0 1
7/2 0 1
7/3 0 1
7/4 0 1
7/5 0 1
7/6 0 1
7/7 0 1
7/8 0 1
7/9 0 1
7/10 0 200
7/11 0 1
7/12 0 1
7/13 0 1
7/14 0 1
7/15 0 1
7/16 0 1
7/17 0 1
7/18 0 1
7/19 0 1
7/20 0 1
7/21 0 1
7/22 0 1
7/23 0 1
7/24 0 1
Module 7:
Total ports: 24
Total secure ports: 0
Total MAC address(es): 223
Total global address space used (out of 4096): 199
Status: installed
Console> (enable)
 

次に、システムに関してポート セキュリティの統計情報を表示する例を示します。

Console> (enable) show port security statistics system
 
Auto-Configure Option: Enabled
Module 2:
Total ports: 24
Total secure ports: 0
Total MAC addresses: 24
Total global address space used (out of 4096): 0
Status: installed
Module 3:
Total ports: 48
Total secure ports: 0
Total MAC addresses: 48
Total global address space used (out of 4096): 0
Status: installed
Module 5:
Total ports: 2
Total secure ports: 0
Total MAC addresses: 2
Total global address space used (out of 4096): 0
Status: installed
Total secure ports in the system: 0
Total secure MAC addresses in the system: 74
Total global MAC address resource used in the system (out of 4096): 0
Console> (enable)

MACアドレス モニタリングの設定

ここでは、MACアドレス モニタリングを設定する手順について説明します。

「グローバルMACアドレス モニタリングの設定」

「CAMテーブル内のMACアドレスのモニタリング」

「モニタリングのポーリング間隔の指定」

「MACアドレス モニタリングの下限スレッシュホールドの指定」

「MACアドレス モニタリングの上限スレッシュホールドの指定」

「MACアドレス モニタリング設定の消去」

「CAMモニタの設定の表示」

「CAMモニタのグローバル設定の表示」

グローバルMACアドレス モニタリングの設定

MACアドレス モニタリングをグローバルにイネーブルまたはディセーブルにできます。MACアドレス モニタリングをグローバルにディセーブルにしても設定は消去されません。

MACアドレス モニタリングをグローバルにイネーブルまたはディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

MACアドレス モニタリングをグローバルにイネーブルまたはディセーブルにします。


) デフォルトで、モニタリングはグローバルにイネーブルです。


set cam monitor { disable | enable }

次に、グローバルMACアドレス モニタリング設定をディセーブルおよびイネーブルにする例を示します。

Console> (enable) set cam monitor disable
Cam monitor disabled
Console> (enable) set cam monitor enable
Cam monitor enabled
Console> (enable)

CAMテーブル内のMACアドレスのモニタリング

学習されてCAMテーブルに保存されたMACアドレスをモニタするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ポート単位、VLAN単位、またはポート/VLAN単位ベースで学習されてCAMテーブルに保存されているMACアドレスをモニタします。


) MACアドレス モニタリングは、インターフェイス(ポート、VLAN、ポート/VLANベース)上でデフォルトでディセーブルです。


set cam monitor {disable | enable} [mod/port | {mod/port vlan } | vlan]

次に、特定のポートで学習されてCAMテーブルに保存されているMACアドレスをモニタする例を示します。

Console> (enable) set cam monitor enable 3/1
Successfully enabled cam monitor on 3/1
Console> (enable)
 

次に、特定のポートで学習されたMACアドレスのモニタリングをディセーブルにする例を示します。

Console> (enable) set cam monitor disable 3/1
Successfully disabled cam monitor on 3/1
Console> (enable)

モニタリングのポーリング間隔の指定

MACアドレス モニタリングはソフトウェアでサポートされています。CAMテーブルに多くのMACアドレスと多くの設定済みインターフェイス(ポート、VLAN、またはポートVLAN)がある場合、CPU使用率が上がります。 set cam monitor interval コマンドを入力してソフトウェア ポーリング間隔を調整することで、CPUの負荷を低減できます。

CAMテーブルのポーリング間隔を指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

CAMテーブルのモニタリングに関するポーリング間隔を秒単位で指定します。有効な範囲は5~30秒です。


) デフォルトのポーリング間隔は5秒です。


set cam monitor interval time_s

次に、CAMテーブルのポーリング間隔を指定する例を示します。

Console> (enable) set cam monitor interval 20
Cam monitor interval set to 20 sec
Console> (enable)

MACアドレス モニタリングの下限スレッシュホールドの指定

MACアドレス モニタリングの下限スレッシュホールドを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

MACアドレス モニタリングの下限スレッシュホールドと、システムがこのスレッシュホールドを超過した場合に行う処置について指定します。下限スレッシュホールドの有効な範囲は5~32000です。


) no-learnキーワードを指定する場合、設定はポート/VLAN設定で、違反発生時には、すべてのVLAN上のポートでMACアドレスの学習を停止します。warning キーワードを指定した場合、下限スレッシュホールドを超過するとシステムはシステム メッセージを表示します。


set cam monitor low-threshold value [action {no-learn | warning}] {mod/port | {mod/port vlan } | vlan}

次に、ポートの下限スレッシュホールドとスレッシュホールドを超過した場合に行う処置を指定する例を示します。

Console> (enable) set cam monitor low-threshold 500 action warning 3/1
Successfully configured cam monitor on 3/1
Console> (enable)

MACアドレス モニタリングの上限スレッシュホールドの指定

MACアドレス モニタリングの上限スレッシュホールドを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

MACアドレス モニタリングの上限スレッシュホールドと、システムがこのスレッシュホールドを超過した場合に行う処置について指定します。上限スレッシュホールドの有効な範囲は5~32000です。


) no-learnキーワードを指定する場合、設定はポートとVLANの組み合わせで、違反発生時には、VLAN上のすべてのポートでMACアドレスの学習を停止します。shutdownキーワードを指定し、設定がポートとVLANの組み合わせの場合、違反発生時にはポートをerrdisableにします。warning キーワードを指定した場合、上限スレッシュホールドを超過するとシステムはシステム メッセージを表示します。


set cam monitor high-threshold value [action {no-learn | shutdown | warning}] {mod/port | {mod/port vlan } | vlan}

次に、ポートの上限スレッシュホールドとスレッシュホールドを超過した場合に行う処置を指定する例を示します。

Console> (enable) set cam monitor high-threshold 28000 action shutdown 3/1
Successfully configured cam monitor on 3/1
Console> (enable)

MACアドレス モニタリング設定の消去

MACアドレス モニタリングの設定を消去するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

MACアドレス モニタリングの設定を消去します。

clear cam monitor mod/port | mod/port vlan | vlan

clear cam monitor all

clear cam monitor high-threshold mod/port | mod/port vlan | vlan

clear cam monitorlow-threshold mod/port | mod/port vlan | vlan

次に、ポート3/1上で上限スレッシュホールドを消去する例を示します。

Console> (enable) clear cam monitor high-threshold 3/1
Successfully cleared high-threshold on 3/1
 

次に、すべてのポートからCAMテーブル モニタリングおよびMACアドレス モニタリング設定を消去する例を示します。

Console> (enable) clear cam monitor all
Cleared all cam monitor configuration
Console> (enable)

CAMモニタの設定の表示

CAMモニタの設定を表示するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

CAMモニタの設定を表示します。

show cam monitor [mod/port | mod/port vlan | vlan | all]

次に、CAMモニタの設定を表示する例を示します。

Console> (enable) show cam monitor all
Cam monitor global configuration:
status : enabled
interval : 5 seconds
* = violation occured
 
Port Status Low Low High High No. of
Threshold Action Threshold Action mac addrs
------ -------- --------- -------- --------- -------- ---------
3/1 enabled 500 warning 32000 warning 0
4/2 enabled 500 warning* 32000 warning 0
 
Total port entries = 2
 
Console> (enable)

CAMモニタのグローバル設定の表示

グローバルCAMモニタの設定を表示するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

CAMモニタのグローバル設定を表示します。

show cam monitor

Console> (enable) show cam monitor
Cam monitor global configuration:
status : enabled
interval : 5 seconds
Console> (enable)